Sécurité des objets connectés et sécurité des systèmes d’information : même combat

de | 10 janvier 2017

La sécurité des objets connectés est au cœur l’actualité et des inquiétudes des organisations qui basent le développement de leurs activités sur cette nouvelle tendance.

Dans une précédente publication [1], j’avais mis en avant 13 bonnes pratiques à considérer pour concevoir des objets connectés. A posteriori, je me suis rendu compte que j’avais succinctement (re)situé les raisons de l’(in)sécurité des objets connectés.

Par ailleurs, en écrivant cette publication, je me suis rendu compte que les maux qui conduisent à l’(in)sécurité des objets connectés sont également la cause de l’(in)sécurité des systèmes d’information des entreprises.

Pourquoi la sécurité des objets connectés est-elle au centre des inquiétudes et de l’actualité ?

Les objets connectés font partie du notre quotidien : ils collectent de nombreuses données personnelles et environnementales pour exécuter les services pour lesquels ils ont été conçus. Ils constituent nos montres, nos voitures, et même nos maisons. Ils pilotent les activités des entreprises et notamment dans l’industrie, où les systèmes industriels évoluent vers plus de connectivités… pardon : se digitalisent. Ils font partie de l’espace public avec des capteurs divers et variés qui permettent d’organiser le fonctionnement des villes. N’importe quelle compromission d’un objet connecté peut avoir des conséquences plus ou moins graves. Cela va du vol de données personnel au sabotage des installations et sûrement dans le futur causeront des dommages corporels qui pourraient être fatals.

Les objets connectés font partie du notre quotidien : ils collectent de nombreuses données personnelles et environnementales pour exécuter les services pour lesquels ils ont été conçus. Ils constituent nos montres, nos voitures, et mêmes nos maisons. Ils pilotent les activités des entreprises et notamment dans l’industrie, où les systèmes industriels évoluent vers plus de connectivités… pardon : se digitalisent. Ils font partie de l’espace public avec des capteurs divers et variés qui permettent d’organiser le fonctionnement des villes. N’importe quelle compromission d’un objet connecté peut avoir des conséquences plus ou moins graves. Cela va du vol de données personnel au sabotage des installations et sûrement dans le futur causeront des dommages corporels qui pourraient être fatals.

A mon sens l’(in)sécurité des objets connectés et des systèmes d’information est liée à la conjoncture de deux principaux maux :

  1. Le manque de compétence des concepteurs, développeurs et architectes SI, de solutions à base de nouvelles technologies.
  2. Les difficultés de certains collaborateurs en particulier, les concepteurs et les chefs de projet voire les dirigeants, à saisir les enjeux de sécurité des données manipulées par les services “innovants” qu’ils proposent aux clients de leur entreprise.

Le manque de compétence des concepteurs, développeurs et architectes SI, de solutions à base de nouvelles technologies.

Une partie du problème réside dans l’innovation et la rapidité des changements technologiques qui la porte. A peine une nouvelle technologie maîtrisée par un développeur qu’une nouvelle arrive et chasse la précédente. Cette courte pratique d’une technologie ne laisse pas le temps au développeur de monter en compétence sur la dimension sécurité de la technologie … ça c’est pour la partie empathie. Le pire c’est que le développeur prend le temps qu’il faut pour apprendre un nouveau langage à la mode pour qu’il figure dans son CV, mais ne prend jamais le temps pour se former à la sécurité… probablement peu valorisable dans le CV. Les plus téméraires diront que la sécurité “c’est compliqué” : je ne vois pas où est la complexité à forcer le changement de l’identifiant et mot de passe par défaut, généralement, admin/admin, d’un système ou encore positionner des contrôles dans le traitement des données par un programme voire, éviter d’envoyer un mot de passe en clair dans les échanges avec les applications… c’est d’autant aberrant que ces protections s’appliquent à n’importe quel langage et qu’il existe de nombreuses littératures sur les bonnes pratiques de sécurité dans les développements. À ce titre, je conseille le site de L’OWASP [2] qui regorge de conseils, d’outils et de librairies pour renforcer la sécurité des développements, évidemment, pour celles et ceux qui prennent le temps de se renseigner.

Ce constat est flagrant avec les objets connectés :

  • Pour les développeurs d’applications dans les systèmes d’information qui doivent maintenant développer des services dans des systèmes embarqués et de plus en plus mobiles : ils adressent de nouvelles contraintes à prendre en compte tel que la sûreté de fonctionnement, la prise en compte de faible de ressources matérielles, machine 2 machine, etc.
  • Pour les développeurs des systèmes embarqués, qui doivent maintenant développer dans les “couches hautes” : ils proposent des services et écrans riches aux usagers des objets connectés, plus de connectivités vers les mobiles et vers des applications accessibles à travers Internet voire dans un Cloud.

Les difficultés de certains collaborateurs en particulier, les concepteurs et les chefs de projet voire les dirigeants, à saisir les enjeux de sécurité des données manipulées par les services “innovants” qu’ils proposent aux clients de leurs entreprises.

Une grande partie du problème réside dans la sensibilité nulle de bon nombre de collaborateurs des entreprises à la sécurité et la protection des systèmes d’information. Pour nombre d’entre eux, la sécurité coûte cher, bloque les projets et ne sert à rien. Des arguments qu’ils utilisent pour réduire les budgets et les délais de leurs projets ou encore pour simplement se faciliter le quotidien sans réfléchir sur les conséquences de leurs positions. Je pense que ces collaborateurs sont bien contents de savoir en sécurité leurs identifiants et mots de passe dans leurs banques en ligne ou encore les numéros de leurs cartes bancaires qu’ils ont enregistrés dans leurs sites d’e-commerce favoris. Se sont-il posés la question de la sécurité de leurs données si les collaborateurs de ces entreprises avaient les mêmes positions que les leurs ?

Je propose à ces collaborateurs d’aller à la rencontre des clients et des actionnaires de leurs entreprises pour leur annoncer que la sécurité ne sert rien… mais que leurs données dans les systèmes d’information sont en sécurité.

Bon ok, j’admets une chose : certains experts en sécurité sont un peu trop rigides, trop dans le dogme et pas assez pragmatiques… malheureusement, il en faut en regard des positions dangereuses de certains collaborateurs des entreprises vis-à-vis de la sécurité des données, cf. mes précédents points.

Voilà ! Avec cet article, je me suis mis à dos une bonne partie des développeurs, des architectes SI et chefs de projet francophones !

Hormis la réglementation qui structure pour beaucoup la sécurité de systèmes d’information et demain des objets connectés, pensez-vous qu’il existe d’autres facteurs à adresser pour améliorer la sécurité des objets connectés et plus globalement des systèmes d’information ?

[1] Il y a encore de l’espoir pour la sécurité des objets connectés

[2] OWASP

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *