Sécurité IoT Risques et opportunités

Matthias Bossardt (KPMG) sur la sécurité IoT

«Il faut faire plus pour la sécurité»


Matthias Bossardt, expert sécurité chez KPMG, souligne les opportunités de l’IoT - en dépit des problèmes de sécurité. Il appelle les entreprises à cesser l’esprit de silo pour l’informatique de bureau et la technologie opérationnelle (OT).


Texte: Hansjörg Honegger, Images: Daniel Brühlmann, 06 novembre 2017




Vous vous occupez de sécurité IoT. Arrivez-vous encore à dormir sur vos deux oreilles?


Je dors bien tout le temps, je suis un optimiste. C’est indispensable lorsqu’on travaille dans la gestion des risques. Là où il y a des risques, il y a des opportunités. Mais une chose est claire: les cyberrisques et les questions de protection des données sont très importants et nous sommes à la traîne par rapport aux développements technologiques.


Pourquoi?


Par Internet des objets, nous entendons la mise en réseau des objets du quotidien avec des ordinateurs intégrés, tels que les voitures, les capteurs de température, les caméras, les appareils médicaux, mais aussi les systèmes de production et de contrôle industriels. Le terrain d’attaque croît massivement avec l’Internet des objets. Et ce, à une vitesse incroyable.


«Les hôpitaux étaient dans l’incapacité d’opérer, les constructeurs automobiles de produire et les entreprises de logistique de livrer.»


Il y a eu ces derniers mois un certain nombre d’incidents qui ont également été connus du grand public. Quels ont été les événements les plus importants selon vous?


Je note qu’en général, l’attention portée aux cyberattaques augmente. Prenons Wannacry, qui ne constituait pas quelque chose de fondamentalement nouveau, mais qui a énormément attiré l’attention parce qu’il a exposé devant nos yeux de façon très concrète les effets que les cyberattaques peuvent avoir sur nous tous: les hôpitaux étaient dans l’incapacité d’opérer, les constructeurs automobiles de produire et les entreprises de logistique de livrer.


Cette attention est en principe plutôt positive.


D’un côté, oui. De l’autre, les gens se fatiguent très rapidement lorsqu’ils entendent toujours la même chose. Aux États-Unis, il existe une obligation de déclaration lorsque certaines données à caractère personnel disparaissent. Et on remarque une certaine lassitude. Cela n’intéresse plus personne.


L’UE l’introduit également avec le RGPD. C’est une erreur?


Comprenez-moi bien: je suis convaincu que cette obligation de déclaration est nécessaire. Il n’ y a pour le moment aucune transparence sur le nombre de cas et leurs répercussions. Pour comprendre les causes et prendre les mesures qui s’imposent, il faudrait plus de transparence. Ce constat est d’ailleurs de plus en plus répandu, surtout dans le secteur privé. Enfin, une plus grande transparence conduit à un combat plus ciblé des risques, ce qui permet une utilisation plus efficace des ressources financières et humaines.


Wannacry a surtout endommagé les systèmes qui n’utilisaient pas la dernière version du logiciel. Ne comprend-on pas qu’une infrastructure informatique doit également être modernisée? Un pont doit être rénové si on ne veut pas qu’il s’effondre.


C’est un bon exemple. Dans le domaine des cyberrisques, nous n’avons pas la même maturité que dans la construction ou d’autres disciplines d’ingénieur. En revanche, dans l’industrie, les systèmes de commande ont par exemple un cycle de vie de 20 ans ou plus. Si d’aventure, l’actualisation de tels systèmes était possible, le risque opérationnel d’une mise à jour devrait être confronté au risque pour la sécurité. Ce ne sont pas des décisions faciles. En outre, de nombreux capteurs et autres dispositifs IoT ne sont tout simplement pas conçus pour recevoir des mises à jour logicielles. Ce qui signifie que certaines stratégies de sécurité établies ne sont pas pertinentes pour l’IoT.


«De nombreux capteurs et autres appareils IoT ne sont tout simplement pas conçus pour recevoir des mises à jour logicielles.»


Que faudrait-il faire pour améliorer la situation?


Beaucoup de choses sont déjà faites à différents niveaux, mais pas toujours avec la détermination et la rapidité nécessaires. Les politiciens se sont emparés du sujet, les directions des entreprises discutent des cyberrisques et les premiers fabricants de produits commencent à considérer la cybersécurité comme une marque de différenciation.


En fin de compte, les fabricants ont également une obligation. Il y a un manque de normes et l’absence de conscience que la sécurité doit faire partie intégrante du développement d’un appareil ou d’une solution.


Malheureusement, la sécurité ne joue pratiquement pas de rôle dans le développement des appareils IoT, la priorité est donnée aux fonctionnalités. Nous ne pouvons cependant pas nous le permettre. Surtout que lorsqu’on parle d’IoT, le monde physique est concerné. Les attaques peuvent avoir des répercussions fatales sur la vie des gens.





Quel serait un levier possible?


Des incitations devraient être créées pour que les fabricants et les entreprises utilisatrices mettent en œuvre des concepts tels que «Privacy by Design», «Security by Design» et «Ethical Design». Il est extrêmement important de concevoir des systèmes plus résistants et plus robustes. Cela peut se faire, par exemple, au moyen de normes industrielles et des labels de qualité correspondants ou par des mesures réglementaires appropriées. Dans tous les cas, il est important que toutes les entreprises puissent lutter à armes égales et que l’innovation soit freinée le moins possible. En outre, les investisseurs sont aujourd’hui de plus en plus vigilants sur le fait que les entreprises doivent avoir leur cybersécurité bien en main. Des dégradations de la valeur de l’entreprise de 7% en raison de cyberincidents, comme ce fut le cas par exemple lors de la reprise de Yahoo! par Verizon, ne laissent pas les investisseurs indifférents.


Quel est votre point de vue sur les réglementations nationales?


Je ne suis pas un grand ami des réglementations, car cela conduit souvent à mettre l’accent sur la conformité plutôt que sur l’endiguement des risques à proprement parler. Mais on a besoin aujourd’hui dans le domaine de l’IoT au minimum d’un certain degré d’autorégulation par le biais de normes. J’observe également que les cas de responsabilité du fait de produits défectueux et les actions de rappels coûteuses dans l’IoT, tout comme les réglementations en matière de cybersécurité et de protection des données (RGPD dans l’UE ou nouvelle loi sur la protection des données en Suisse) contribuent à une mise en œuvre renforcée des mesures de cybersécurité.


«Mais on a besoin aujourd’hui dans le domaine de l’IoT au minimum d’un certain degré d’autorégulation par le biais de normes.»


Pour de nombreuses entreprises utilisatrices, l’IoT offre des possibilités lucratives, malgré toutes les préoccupations liées à la sécurité. Comment les responsables trouvent-ils le juste équilibre entre risque et sécurité?


Pour trouver cet équilibre, il faut connaître et gérer le risque. Cependant, selon une enquête que nous avons menée, moins de 50 pour cent des responsables ont une vue d’ensemble de ce qui est mis en réseau et comment. Moins de la moitié d’entre eux ont déclaré que l’IoT fait partie de la stratégie de sécurité.


Pour quelle raison?


La complexité a augmenté. Les appareils IoT sont souvent exploités séparément des systèmes informatiques traditionnels. Les responsabilités en matière d’exploitation et de sécurité des appareils IoT ne sont donc souvent pas clairement définies. La sécurité des systèmes IoT industriels, elle aussi, qui fait partie de la technologie opérationnelle (OT), est souvent mise en œuvre indépendamment de l’informatique de bureau, bien que cette séparation semble de plus en plus être moins justifiée dans la réalité, en raison de la convergence des technologies utilisées.


De nouvelles formes d’organisation sont donc nécessaires. Quelles sont vos recommandations?


Aujourd’hui, il faut très soigneusement se demander si la sécurité de l’informatique de bureau et de l’OT, c’est-à-dire la technologie opérationnelle, doivent continuer à être pensées dans des silos séparés. Il est de plus en plus important que la sécurité soit considérée comme un tout. Une vulnérabilité de l’OT peut être utilisée pour les attaques contre l’informatique de bureau et vice versa.


Personne n’aime lâcher une part de son influence.


Cela peut changer. Ce qui est plus important, c’est la différence culturelle entre l’IT et l’OT et le facteur humain en lui-même. À mon avis, l’un des principaux problèmes dans le domaine de la sécurité est que le facteur humain est beaucoup trop peu compris et n’est pas inclus dans les concepts de sécurité. Les concepts de sécurité actuels n’offrent souvent aucune convivialité pour l’utilisateur. Il suffit de penser à la gestion fastidieuse des mots de passe.


Mais dans le domaine de l’IoT, justement, le facteur humain est plutôt en retrait: les machines communiquent de plus en plus entre elles et les données sont aussi évaluées de façon automatique. Est-il déjà trop tard pour pouvoir intervenir de façon raisonnable?


Au bout du compte, les appareils IoT sont également utilisés par et pour les hommes. D’une façon ou d’une autre, on ne peut pas se permettre de ne rien faire. Par conséquent, le principal défi est maintenant de concevoir des systèmes plus résistants et plus robustes.


«Les efforts pour maîtriser ces risques ne sont pas suffisants pour l’instant, nous devons passer à la vitesse supérieure.»


Qui doit s’investir maintenant?


Tout le monde. Ce sont, d’une part, les entreprises utilisatrices, mais aussi les fabricants d’IoT, les États, ainsi que la communauté internationale.


Tout le monde devrait, personne ne le fait…


Sur ce point, je suis plus optimiste. L’humanité a toujours été pragmatique face à de tels défis. Mais je suis d’accord avec vous: les efforts pour maîtriser ces risques ne sont pas suffisants pour l’instant, nous devons passer à la vitesse supérieure. C’est extrêmement important, notamment pour la place économique suisse.





La sécurité IoT comme opportunité et non comme facteur de coût?


Évidemment, nous disposons en Suisse d’une combinaison unique de compétences logicielles ainsi que les connaissances d’ingénierie nécessaires dans le domaine industriel. C’est notre chance, car la Silicon Valley ne possède pas ces compétences dans la même mesure.


Matthias Bossardt

Partenaire, Responsable Cyber Security et Technology Risk, KPMG Suisse


Matthias Bossardt a plus de 18 ans d’expérience dans les domaines des cyberrisques et des risques liés à l’information, la protection des données et la technologie. Il est également membre du Global Cyber Security Leadership de KPMG ainsi que du Digital Board de KPMG Suisse. En octobre 2016, Matthias Bossardt a été désigné par Bilanz, l’un des plus grands magazines économiques suisses, comme l’un des «digital shapers» les plus influents de Suisse. Avant de rejoindre KPMG, Matthias Bossardt a effectué des recherches sur les systèmes de communication et la cybersécurité à l’École polytechnique fédérale de Zurich (ETH Zurich) et à l’Institut de recherche du Beckman Institute of Advanced Studies de l’Université de l’Illinois, Urbana-Champaign. Il a commencé sa carrière professionnelle comme ingénieur en micropuces en 1998.





Newsletter

Abonnez-vous à la newsletter pour suivre les tendances, les actualités de la branche et les benchmarks.





En savoir plus sur ce thème