Pour Bruce Schneier (IBM Resilient), la régulation des objets connectés arrive

La régulation de la sécurité des objets connectés devient d’autant plus critique que des choses critiques sont connectées, selon Bruce Schneier. S’exprimant à l’occasion de l’événement Infosecurity Europe 2017, à Londres, l’expert, directeur technique d’IBM Resilient, estime ainsi que « la réglementation arrive, avec force ».

Et pour lui, s’il y a toujours la crainte que celle-ci puisse freiner l’innovation, cela n’a pas été historiquement confirmé. Et cela parce que l’industrie finit par s’adapter : « et nous nous adapterons également. Nous devrons le faire parce que les gouvernements vont être impliqués, car les risques et les enjeux sont trop grands. La menace réellement physique venue de l’Internet des objets va forcer les gouvernements à agir. Parce que l’on parle de peur et que rien n’incite les gouvernements à faire quelque chose mieux que la peur ».

Mais cela ne va sans problème. Car pour Schneier, rien n’incite les gouvernements à faire des choses « stupides » mieux que la peur. Et c’est pour cette raison que l’industrie de la sécurité de l’information se doit de s’impliquer : « le choix n’est pas entre réglementation et l’absence de réglementation. Le choix est entre une régulation intelligente et une régulation stupide. Et si l’on ne veut pas d’une régulation qui nous soit imposée de l’extérieure, avec peu de réflexion et peu de temps, nous devons commencer à y réfléchir et à prendre les devants ».

Et d’insister : « il suffira d’un désastre pour que mon gouvernement, votre gouvernement, voire les deux, fasse quelque chose. Et ils se saisiront de la solution la plus rapide. Nous devons donc nous assurer qu’il s’agisse de quelque chose d’intelligent ».

Ce n’est pas la première prise de position de Bruce Schneier en ce sens. Il s’était déjà exprimé de la sorte à l’automne dernier devant les parlementaires américains, se prononçant clairement en faveur de réglementations imposées par les gouvernements. Il estimait alors que l’on observe « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité ». Car pour lui, « les risques sont trop grands, les enjeux sont trop élevés ». Surtout, « le marché ne va pas [améliorer la sécurité des objets connectés], parce que ni l’acheteur ni le vendeur ne s’en préoccupent. Le marché tend à ne pas corriger les problèmes de sûreté ou de sécurité sans intervention des gouvernements ».

Aujourd’hui, il souligne en outre que les objets connectés sont intégrés à des appareils à longue durée de vie. Et hélas, personne ne sait comment mettre à jour des systèmes informatisés vieux de quarante ou cinquante ans. Une difficulté que mesurent bien les opérateurs de systèmes industriels (ICS/Scada).

Mais Bruce Schneier semble avoir déjà commencé à être entendu. L’agence européenne pour la sécurité des réseaux et de l’information (Enisa) vient en effet de rendre publique sa position sur la sécurité des objets connectés. Etablie avec Infineon, NXP et STMicroelectronics, cette position se veut un « reflet des préoccupations de l’industrie » et un recueil de suggestions à l’intention notamment de la Commission européenne.

Et l’agence prend là résolument la voie de la régulation, recommandant de « définir un cadre réglementaire pour assurer des exigences de sécurité minimales pour les objets connectés ».

Avec nos confrères de Computerweekly (groupe TechTarget).