Cybersécurité des objets connectés : vers une régulation ?

Faut-il définir des réglementations, ou à tout le moins des standards, pour la sécurisation des objets connectés ? C’est à cette question, déjà évoquée dans nos colonnes en juin 2015, que s’est récemment intéressée la sous-commission à l’énergie et au commerce du parlement américain. Greg Walden, son président, élu de l’Oregon, est ainsi revenu sur l’attaque massive dont Dyn a récemment fait l’objet. Pour lui, cet incident soulève justement la question du besoin d’encadrement réglementaire, mais il s’interroge sur « une approche plus globale », car « les Etats-Unis ne peuvent pas réguler le monde ». De fait, des règles obligatoires outre-Atlantique mais pas ailleurs risquent de n’avoir qu’un impact limité. Dès lors, selon lui, « un effort concerté » est nécessaire, impliquant « industrie, gouvernements, chercheurs et consommateurs ».

Témoignant devant les parlementaires, Dale Drew, vice-président sénior et RSSI de Level 3 Communications, estime que les menaces liées à la piètre sécurisation des objets connectés sont appelées à « s’étendre et à évoluer : les acteurs malicieux sont de plus en plus attirés par les objets connectés parce qu’ils peuvent les utiliser sans être détectés pendant de longues périodes ; ils savent que la plupart des appareils ne seront ni surveillés ni mis à jour et qu’il n’y a pas de capacités de protection du point de terminaison pour la détection et la suppression des menaces sur les objets connectés ».

Dès lors, pour Dale Drew, « les constructeurs d’objets connectés devraient adopter et respecter des pratiques de sécurité additionnelles pour prévenir les atteintes aux utilisateurs et à Internet. Dans ce contexte, le gouvernement pourrait jouer un rôle pour la fourniture de recommandations appropriées ». Mais il lui paraît toutefois « impératif que tous les acteurs concernés continuent de travailler ensemble pour répondre aux risques de sécurité liés aux objets connectés ».

Kevin Fu, Pdg de Virta Laboraties, la sécurité doit intégrée dès la conception dans les objets connectés si l’on ne veut pas qu’elle échoue. Mais oui, la menace est appelée à croître : « pour les objets déjà déployés, savourez que les millions d’appareils non sûrs ne représentent qu’une petite fraction de ce à quoi ressemblera le marché de l’Internet des objets en 2020 ». Et cela d’autant plus que, pour lui, le risque n’est plus seulement logique, il touche au monde physique, « menaçant la sécurité des personnes ».

Dès lors, selon Kevin Fu, il convient « de stimuler » une « hygiène de cybersécurité de base pour les objets connectés, en établissement des étapes pertinentes et en encourageant l’utilisation d’une cryptographie forte ». Et outre l’implication d’agences américaines comme le NIST, il recommande la mise en place d’un environnement de test de la cybersécurité des systèmes embarqués, sur le modèle de ce qui est fait pour éprouver la robustesse des automobiles aux accidents.

Bruce Schneier affiche une ligne comparable. Pour lui, on observe actuellement « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité ». Et dans ce contexte, « comme pour la pollution, la seule solution est de réguler. Le gouvernement pourrait imposer des standards de sécurité minimum aux constructeurs d’objets connectés, pour les forcer à rendre leurs appareils sûrs, même si les consommateurs n’en ont cure ». Et d’entrevoir au passage la responsabilisation des constructeurs de ces appareils, « permettant à des entreprises comme Dyn de les poursuivre si leurs appareils ont été utilisés dans des attaques DDoS ».

Pour Bruce Schneier, cela ne fait pas de doute : « les gouvernements vont être impliqués dans l’Internet des objets, parce que les risques sont trop grands ». Et si le problème n’est pas circonscrit à un seul pays, quelques-uns pourraient suffire à jouer un rôle de régulation clé : « si les Etats-Unis et peut-être quelques autres marchés majeurs implémentent des réglementations fortes sur la sécurité des objets connectés, les constructeurs seront forcés de relever leur sécurité s’ils veulent vendre sur ces marchés […] C’est vraiment un domaine où les actions de quelques pays peuvent conduire au changement à l’échelle du monde entier ». Un effet boule de neige vertueux, en somme.

Au passage, Bruce Schneier est revenu sur le débat du chiffrement et de la sécurité des équipements connectés, estimant que « le gouvernement doit résister à la tentation d’affaiblir délibérément la sécurité des appareils informatiques à la demande du FBI. Les appareils tels que les smartphones sont en train de devenir le hub numérique de fait d’où nous contrôlons nombre de nos objets connectés ». Les affaiblir reviendrait donc à fragiliser tout un écosystème, avec le risque de préjudices dépassant de loin « les bénéfices pour les enquêtes du FBI ». Dès lors, pour lui, le FBI ferait mieux d’investir dans sa propre expertise cyber que de demander des portes dérobées.