Objets connectés et RGPD: comment protéger vos données sensibles?
L’internet des objets révolutionne littéralement nos vies. Grâce aux objets connectés, de nombreuses actions deviennent plus simples. Automatisation des tâches, précision inouïe, collecte et transmission d’informations simples, rapides et efficaces, quel que soit le secteur d’activité ou le besoin personnel, on peut aujourd’hui trouver une solution connectée à même de répondre parfaitement à nos attentes, et parfois plus encore. Mais il reste un problème à gérer, celui de la sécurité. Comment partager des informations sans pour autant nuire au respect de la vie privée, d’une personne comme d’une entreprise ? Et comment être certain qu’un tiers n’en profitera pas pour hacker ces informations personnelles ?
Le souci de la sécurité
Quelle que soit l’application visée, la sécurité et de la sauvegarde des ses informations personnelles en milieu connecté pose un vrai problème. Au départ, lorsque les ingénieurs développent ces applications et ces objets connectés, ils ne pensent qu’à leurs multiples bienfaits. C’est vraiment l’aspect positif du développement de ces produits et services qui les animent. Malheureusement, d’autres ne sont pas aussi bienveillants, et profitent de la moindre faille pour faire valoir leur habileté à voler. Rien qu’en France, on compte aujourd’hui plus de 9 millions de cartes Sim et on estime à 25 milliards, le nombre de connexions IoT dans le monde à l’horizon 2025. Un marché potentiel énorme pour un pirate.
Les dangers du piratage à proprement parler
L’un des aspects les plus dangereux lié au piratage est sans aucun doute celui inhérent à la prise de contrôle à distance d’une application. Du côté de la domotique personnelle par exemple, si un pirate parvient à pénétrer le réseau domestique, il peut, au choix, s’amuser à déclencher la fermeture ou l’ouverture des volets quand il le souhaite, allumer ou éteindre les lumières, voire, pourquoi pas, jouer avec votre cafetière connectée au beau milieu de la nuit. Mais tant qu’il s’agit des volets, de la télé ou du réveil, et même si l’idée seule suffit à faire peur, le danger n’est pas très grand. Il peut le devenir si votre hacker déverrouille les codes de votre alarme, mettant à mal la sécurité de votre maison, ou pire encore, s’il parvient à prendre le contrôle de votre pacemaker, de votre pompe à insuline voire de votre voiture connectée. Or, de nombreuses expériences ont été réalisées dans ce sens, démontrant que certains systèmes ne jouissaient pas des sécurisations nécessaires pour empêcher ce genre d’évènements d’arriver.
Le vol et la revente des informations personnelles
L’autre grand problème lié à la sécurité est le vol des informations personnelles. On peut évoquer l’usurpation d’identité, le vol de votre compte bancaire, de vos documents numérisés, de vos différents comptes dans vos magasins en ligne ou sur vos réseaux sociaux. Là encore, les risques sont grands. D’abord parce que vous risquez un pillage en règle de vos avoirs. Mais surtout parce que ces informations sont susceptibles d’être revendues à des tiers dont le but final n’est certainement pas de vous aider… à l’heure où un simple téléphone portable mal protégé centralise absolument toute la gestion de votre vie, il devient donc plus qu’urgent de protéger vos données personnelles, à commencer par votre smartphone, l’objet connecté le plus simple à pirater. Et souvent à cause d’un défaut de sécurisation de la part de l’utilisateur. Et oui. On aime aller vite, et l’idée de devoir taper un mot de passe compliqué pour accéder à son contenu nous ennuie. Pourtant, c’est le moyen de base pour dissuader n’importe quel pirate en herbe. Mais s’il vous plaît, évitez les mots de passe du type ‘password’, ‘123456’ ou reprenant simplement votre nom ou votre date de naissance… Et l’on ne parle là que de la sécurité de l’IoT au niveau des particuliers.
Quels sont les éléments de sécurité déjà existants?
Fort heureusement, aujourd’hui, les réseaux sont cryptés et interdisent normalement leur accès à toute personne étrangère. Au niveau de l’entreprise, devant l’afflux d’objets connectés et la multiplication des réseaux aux protocoles et aux architectures différents, c’est toute la chaîne qui doit être sécurisée (mémoire, micro processeur, modules, centrales…) et cela entraîne forcément différentes technologies de sécurisation. UEFI pour sécuriser le logiciel lié à l’objet, PKI, pour la reconnaissance mutuelle entre le réseau et l’objet, cryptage TLS pour les échanges d’informations… Autant de protocole qu’il convient de maîtriser pour chaque réseau et pour chaque appareil connecté, qu’il s’agisse de M2M interférant avec des I.A. ou de la simple régulation de la température dans les bureaux.
Compte tenu de la complexité engendrée par la multiplication des protocoles et des architectures, il devient donc impératif d’intégrer les questions de sécurisation des réseaux dès la conception de ceux-ci. Il faut être capable de créer une chaîne vertueuse intégrant tous les maillons, de l’objet au réseau, en passant par la plateforme, les serveurs et les applications. Autre élément important en matière de sécurité des réseaux, l’apport des opérateurs télécom. Egalement concepteurs de solutions IoT intégrés, ils doivent pouvoir partager leur expérience en matière de sécurisation des réseaux. Pour finir, tous ces éléments doivent respecter les normes édictées par le RGPD, le règlement général sur la protection des données.
Qu’est-ce que le RGPD et à quoi sert-il?
Le Règlement Général sur la Protection des Données est un texte remplaçant notre loi du 6 janvier 1978 dite, informatique et libertés. Alors que jusqu’à présent les normes étaient strictement fixées par la loi Française, c’est désormais un texte européen qui définit le cadre de la protection des données personnelles. La grande nouveauté de ce texte, c’est qu’il demande aux entreprise de s’autoréguler, avec comme condition première, d’être totalement transparentes sur les données personnelles en leur possession. De surcroît, le traitement de ces données doit respecter les conditions édictées par le RGPD, et notamment en matière de sécurité.
De fait, les objets connectés sont au cœur de ce nouveau règlement européen. Tout simplement parce qu’elles collectent et transmettent des données personnelles. Ne serait-ce que le transfert d’informations entre votre smart Watch et votre mobile par exemple. Ces données sont détenues par l’entreprise qui commercialise l’application, le logiciel, le hardware, les différents soft et le protocole réseau permettant la communication entre l’un et l’autre des appareils. Et chacune de ces entreprises est susceptible de se faire pirater, et donc de divulguer les données personnelles collectées. Le but du RGPD est d’imposer des règles de transparence de base, permettant d’éviter, ou au pire de minimiser ces actions de piratage.
Comment assurer la sécurité de l’IoT grâce au RGPD?
Désormais donc, les nouveaux projets IoT doivent respecter le principe du « Privacy by Design », c’est à dire de la sécurité imposée et réfléchie dès le concept de l’objet, de la plateforme ou du réseau. Avant même de monter un projet d’objet connecté, les concepteurs doivent se demander si les données qui seront collectées seront bien protégées, comment elles seront collectées et comment elles seront utilisées. Un travail en amont de la construction véritablement indispensable, pour respecter le RGPD et surtout pour assurer une meilleure sécurité des données personnelles collectées par les entreprises via l’IoT. Elément supplémentaire, les fabricants doivent également tenir un registre de la base de données des données collectées, consultable à n’importe quel moment par la CNIL, de façon à assurer la traçabilité des données. Une double contrainte logique quand on souhaite avant tout gagner la confiance des utilisateurs…
Autre aspect non négligeable du RGPD, il impose aux entreprises collectrices de permettre aux utilisateurs de modifier leurs données personnelles, de les amender ou de les effacer définitivement. Il faut donc prévoir, dès la conception, un moyen simple permettant aux utilisateurs d’accéder à leurs données. Les différentes étapes de la collecte et du traitement des données doivent être anticipées par les fabricants d’appareils connectés. Tout doit être pensé pour vérifier en amont l’impact que pourrait avoir cette collecte et ce traitement de données sur chaque utilisateur. A chaque étape de la conception d’un objet connecté, les constructeurs de l’objet doivent de surcroît être certains que les données qu’ils collectent respectent bien le RGPD en ne demandant que le minimum de données assurant la viabilité et le bon fonctionnement de l’objet.
Enfin, n’oublions jamais qu’une fuite de données est irrécupérable. Le maximum doit donc être fait pour assurer la sécurité des données personnelles des utilisateurs.
Les nouveaux schémas envisagés pour la sécurité de l’IoT
Si l’univers de l’IoT rencontre tant de problèmes en matière de sécurité pour l’instant, c’est en grande partie pour deux raisons. La première, c’est la multiplicité de protocoles et d’architectures propriétaires. Il est déjà parfois très compliqué d’assure la simple compatibilité d’usage entre un objet connecté, une plateforme ou un réseau. Comment dès lors lier les protocoles de sécurités d’appareils connectés et de réseaux développés par des entreprises différentes ? L’autre obstacle, c’est l’obsolescence des systèmes de sécurité, qui doit supporter des conceptions bien plus récentes. En effet, l’IoT doit pour l’instant se satisfaire de protocoles de sécurité antédiluviens, du moins en ce qui le concerne. Il devient donc impératif de créer de nouveaux schémas, de nouvelles normes, capables d’intégrer à la fois cette modernité et la quantité d’objets, de plateformes et de réseaux différents à travers le monde.
Et la solution se trouve sans doute dans la blockchain. Cette dernière a déjà démontré qu’elle était capable d’assurer la sécurité totale des transactions en toute transparence, malgré les différentes plateformes par lesquelles elle transite. La blockchain est donc sans aucun doute l’avenir de la sécurité de l’IoT. Adapté à l’internet des objets, el permettra la libre circulation de l’information et des données personnelles (en total respect du RGPD) sans que ces dernières ne soient piratables. Vous pourrez donc faire transiter les informations reçues de votre smart Watch directement à votre médecin sans craindre que votre bilan de santé ne soit hacker par un quelconque pirate malveillant. Et la bonne nouvelle, c’est qu’on pourrait voir apparaître les premiers protocoles empruntés à la blockchain adaptés à l’IoT dès cette année 2020 ! Ensuite, nous devrons débattre tous ensemble de l’opportunité de la diffusion des informations personnelles. Entre sauvegarde de la vie privée ou de l’intimité, transparence et intérêt général.
Entrer en contact avec nous aujourd’hui ou complétez le formulaire ci-dessous pour un devis.