Conseil

Le RGPD : la solution pour sécuriser les objets connectés

En 2017, on comptait 8,4 milliards d’objets connectés pour 7,5 milliards d’habitants. De la vie professionnelle à l’usage personnel, les objets connectés sont omniprésents tout autant que les failles de sécurité liées à leur utilisation.

La vulnérabilité des objets connectés

Les objets connectés forment un réseau appelé internet des objets ou Internet of Things (IoT). Les objets connectés sont des terminaux, connectés à l’internet et dotés de capacités en communication, traitement, mémoire, énergie et collecte de données. La fonction principale de ces différents objets est de fournir un service adapté au profit des utilisateurs, ce qui nécessite de capter des données, bien souvent sensibles.

En avril 2018, un casino a été piraté via un thermomètre connecté dans un aquarium. Le pirate a pu s’emparer de données stockées sur les serveurs de l’établissement. Ce fait divers illustre parfaitement les failles de sécurité que constitue l’utilisation grandissante des objets connectés de nos jours.

L’internet des objets présente un caractère vulnérable, vecteur de risques potentiels pour la vie privée des utilisateurs. Une des raisons viendrait de la conception de ces objets, les fabricants s’étant concentrés sur leur fonctionnalité, afin de proposer des solutions innovantes, délaissant ainsi parfois certains aspects de sécurité.

Bien que les particuliers soient principalement concernés par la sécurité de ces objets en raison d’un usage personnel, les entreprises le sont également. En effet, la démocratisation du Bring Your Own Device (BYOD, désignant l’utilisation de matériels informatiques personnels dans un contexte professionnel) mais aussi l’équipement des salariés de terminaux mobiles dans le cadre de leurs activités justifient l’augmentation des objets connectés utilisés au sein des entreprises. Ils constituent alors des portes d’entrée sur les systèmes des entreprises que les pirates peuvent exploiter.

Ces risques s’accroissent en même temps que le développement de l’internet des objets. Le marché des objets connectés connaît actuellement une croissance effrénée. En 2020, le nombre d’objets connectés est estimé à 20,8 milliards (Source : Gartner).

Le RGPD sera-t-il la solution ?

L’adoption du Règlement Général sur la Protection des Données (RGPD) rentré en application le 25 mai 2018 consacre des nouvelles obligations qui pourront résoudre les problèmes actuels relatifs à la sécurité des objets connectés.

Deux concepts obligent les entreprises à intégrer en amont d’un traitement toutes les mesures permettant de protéger la vie privée des personnes concernées : le Privacy by design et Privacy by default.

Selon le Privacy by design, la protection des données à caractère personnel devra être intégrée dans l’architecture de l’objet connecté. C’est un concept qui articule à la fois des standards juridiques et techniques intégrant ainsi la protection des données à la technologie. Le Privacy by default quant à lui impose aux fabricants de garantir, par défaut, le plus haut niveau de protection possible.

Ce règlement a pour objectif de responsabiliser les entreprises qui traitent les données de leurs clients comme les fabricants de terminaux. Il a également vocation à sensibiliser les utilisateurs afin qu’ils puissent comprendre et faire appliquer leurs droits en termes de sécurité.

En attendant la prise en compte de ces obligations par les fabricants des objets connectés, il convient d’être attentif sur la manière de partager et de donner des accès à ces données.

Lors des incidents de sécurité traités par les experts d’INQUEST, nous avons de plus en plus à faire à ce type de technologies et aux failles qu’elles transportent. Nous proposons à nos clients de les accompagner sur les notions de sécurité liés à l’utilisation des objets connectés ainsi que sur les aspects juridiques pour se conformer aux obligations liées aux traitement des données nécessaires à l’utilisation de ces terminaux.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

1 commentaires