La sécurité des objets connectés, pourquoi il y a urgence

Cette tribune analyse le développement du marché de l'IoT en France mais aussi les différentes initiatives réglementaires en cours et leur possible impact sur l’économie. Le sujet de la cyber-sécurité est au coeur des discussions du Forum de la Paix et du Forum de la Gouvernance de l'Internet des Nations Unies qui se tiennent à Paris du 11 au 15 novembre 2018.

A l’heure où la start-up française Withings se relance sur le marché de l’hexagone après son rachat par Nokia, nul besoin d’être devin pour prédire que les objets connectés vont faire partie de manière croissante du quotidien des Français. Nouvelle étape de la numérisation de la société, cet internet des objets rapproche le monde physique du monde numérique. Selon les estimations, le monde comptera cinq fois plus d’objets connectés que la population mondiale d’ici à 2020. 

Cependant, selon un sondage commandité par l’Internet Society auprès de l’institut OpinionWay seules 22% des personnes interrogées disent posséder des objets connectés, hors smartphone ou ordinateur. C’est relativement peu en comparaison d’autres pays, mais selon des chiffres publiés par le cabinet GfK le marché français de l’Internet des objets est en pleine accélération avec une croissance de 35% en 2017. Cette évolution, si elle présente des opportunités, pose également des questions en termes de protection des données personnelles, de sécurité ou encore d’éthique.

Parmi ces défis, la sécurité de ces objets est l’un des plus urgents. En effet, l’augmentation du nombre de terminaux connectés au réseau augmente également la surface de vulnérabilité de l’Internet aux attaques de grande échelle. Ainsi, le botnet Mirai,­ dont les attaques de 2016, sur la base de webcams non-sécurisées, ont généré des blocages majeurs du réseau, a marqué les esprits autant des consommateurs que des pouvoirs publics. On se souviendra notamment que l’entreprise française OVH, spécialisée dans l'hébergement et les services de cloud computing, a été l’une des victimes de cette attaque.

Les experts s’accordent pour affirmer que les attaques opérées jusqu’à présent ne représentent que la partie émergée de l’iceberg. Les consommateurs non plus ne sont pas dupes: toujours selon le sondage de l’Internet Society, 76% des personnes interrogées considèrent que ces objets posent un risque pour le respect de leur vie privée, et 44% considèrent qu’il existe un risque pour la sécurité physique.

L’une des difficultés réside dans la contradiction entre une logique de marché basée sur la production rapide de nouveaux produits et une logique de sécurisation et de protection des données personnelles dès conception et par défaut. Ainsi, nombre d’objets connectés sont commercialisés sans être suffisamment protégés : difficulté de mise à jour, peu de transparence quant à l’utilisation de données personnelles, absence de chiffrement, etc.

Comment éviter un scénario catastrophe sans limiter le potentiel d’innovation et de croissance de ce secteur ?

Du côté des régulateurs, plusieurs initiatives sont en cours en France et en Europe. Le European Cybersecurity Act entend unifier les approches en terme de réponses faces aux cyberattaques, notamment en favorisant les efforts de certification du niveau de sécurité des objets connectés et en renforçant leur rôle de l’ENISA, l’Agence européenne en charge de la sécurité des réseaux et de l'information. En France, les députés René Danesi et Laurence Harribey ainsi que la sénatrice Catherine Morin-Desailly, ont également présenté des propositions de résolutions européennes en vue de renforcer les efforts de certification en termes de cybersécurité.

Si ces efforts vont dans la bonne direction, il est nécessaire de les inscrire dans une démarche pragmatique et prospective qui implique tous les acteurs: l’industrie, qui produit les dits objets connectés, la société civile, représentant les intérêts des utilisateurs, la communauté technique, portant des solutions de sécurité ouvertes et globalement compatibles, et naturellement les gouvernements qui ont en particulier un rôle d’incitation. Une telle approche permet de promouvoir des solutions résilientes et durables tant techniquement que socialement, assez agiles pour s’adapter à l’évolution rapide des technologies. C’est aussi la volonté de porter un Internet des objets centré sur l’humain.

La France a toutes les clés en main pour défendre cette approche. Pays hôte du Forum de la Paix et du Forum mondial sur la Gouvernance de l’Internet qui se tiennent à Paris du 11 au 15 novembre, elle a un rôle clé à jouer pour favoriser un environnement digital numérique basé non seulement sur l’innovation mais également sur la confiance des utlisateurs.

Par Lucien Castex, secrétaire général d'ISOC France et Constance Bommelaer de Leusse, directrice des politiques publiques d'ISOC Monde