Cybersécurité des objets connectés : standards industriels ou régulation ?

Lors d’une table ronde organisée à RSA Conférence, qui se déroule actuellement à San Francisco, Craig Spiezle, directeur général et président de l’Online Trust Alliance, n’a pas manqué de le rappeler : « l’Internet des objets est en train de devenir un vecteur d’abus ». Et de demander à l’audience si l’industrie peut là se réguler elle-même. Selon son décompte, « un robuste 90 % » de la salle ne se fait aucune illusion : des réglementations sont nécessaires. Mais pour Olaf Kolkman, directeur de l’Internet Society en charge des technologies d’Internet, non : « sans ambiguïté », l’industrie peut se réguler elle-même.

Pour lui, « l’Internet des objets entre en profondeur dans nos vies de nombreuses manières différentes qui sont complètement inattendues. Et cela fait émerger un vaste éventail de problèmes que nous avons déjà connus par le passé sur Internet ». Et de prendre l’exemple d’un constructeur de réfrigérateurs : « il devient soudainement une entreprise IT, mais n’a pas d’historique de prise en compte des questions de sécurité, de la rapidité du marché et de tous les éléments qui entre en jeu. Nous observons donc un environnement qui déborde rapidement d’appareils qui mesurent nos activités, nos mouvements. Et avec eux, des problèmes de sécurité, des problèmes de confidentialité ».

Alex Cantman, vice-président de Qualcomm en charge de l’ingénierie produits, estime également que l’industrie peut se réguler elle-même : « en tant qu’ingénieur en sécurité, je n’ai jamais vu de réglementation effectivement utilisée pour améliorer la sécurité d’un produit ; elles ont toujours été utilisées contre l’amélioration du niveau de sécurité parce que lorsque vous êtes en conformité, vous n’avez pas besoin de faire plus ». Et puis pour lui, qui dit réglementation dit législateur : « et vous ne voulez pas que le législateur conçoive la sécurité de votre produit ».

Mais l’inquiétude de Spiezle ne porte pas seulement sur l’état des appareils à leur sortie d’usine, mais aussi sur leur cycle de vie : « et ils sont susceptibles de vivre au-delà de leur propriétaire initial ». Pour lui, la capacité à appliquer des correctifs est essentiel : si après quelques années, le constructeur cesse d’en proposer, cela ne risque pas seulement d’en affecter l’utilisabilité – « votre ampoule connectée risque de rester allumée pour des années et des années. Mais si votre ampoule est utilisée pour conduire une attaque sur une infrastructure ailleurs – un hôpital ou un réseau de distribution électrique –, c’est un tout autre problème ».

Alors oui, « nous avons eu cette conversation il y a 10 ans au sujet de l’application des correctifs de sécurité pour les ordinateurs personnels ». Mais lorsqu’un PC plante et que l’on perd un fichier, « c’est quelque chose qui n’impacte que l’utilisateur, voire son entreprise ». Alors qu’aujourd’hui, « on passe de la sécurité logique à la sûreté physique ; la menace se déplace sur le monde réel ».

Et pour Spiezle, la question est simple : « comment pousser à l’adoption [de normes de sécurité pour les objets connectés] ? Où est la motivation ? »

Et justement, Bruce Schneier, directeur technique d’IBM Resilient, ne semble pas beaucoup en trouver. Interrogé par des parlementaires américains à l’automne dernier, il s’était clairement prononcé en faveur de réglementations imposées par les gouvernements. A l’époque, il estimait que l’on observe « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité ». Une position que cette table ronde à RSA Conférence lui a donné l’occasion de réaffirmer.

Car pour lui, « les risques sont trop grands, les enjeux sont trop élevés ». Surtout, « le marché ne va pas [améliorer la sécurité des objets connectés], parce que ni l’acheteur ni le vendeur ne s’en préoccupent. Le marché tend à ne pas corriger les problèmes de sûreté ou de sécurité sans intervention des gouvernements ». D’ailleurs, selon Schneier, le débat est aujourd’hui ailleurs : que cela plaise ou non, il estime que les gouvernements vont se saisir du sujet. Alors pour lui, l’industrie doit s’impliquer dans la réflexion, « parce que sinon, [les réglementations] seront écrites pour nous. Et elles n’en seront pas meilleures pour autant ».

Avec nos confrères de SearchSecurity.com