« Ces dernières années, beaucoup d'objets connectés ont été touchés par des problèmes de sécurité », observe François Ortolan, spécialiste des questions de sécurité chez le fabricant de matériel de tests et mesures Anritsu. « Souvent, ils ont été développés par des petites entreprises n'ayant pas une connaissance approfondie des systèmes en jeu. » « Les sociétés sont de plus en plus nombreuses à dire qu'elles ont subi des attaques », ajoute Gérard Matheron, président d'Acsiel et vice président de la FIEEC, en charge de l'électronique. En juillet, la FIEEC publiait un rapport intitulé Confiance et sécurité numérique dans un monde connecté [1], qui passe en revue les différents aspects de cette problématique, et les solution à y apporter.
« Il est indispensable de réfléchir à cette question pour garantir la confiance des utilisateurs, aussi bien dans le grand public que chez les industriels », estime Gérard Matheron. Mais cela a un coût: « Si la sécurisation d'un objet connecté grand public multiplie son prix par deux ou trois, cela sera mal accepté ». Il faudra donc trouver la juste balance entre le service rendu par l'objet, les risques liés à sa mise en réseau, et son prix. « On peut tolérer une résilience moins importante pour un objet domestique que pour des systèmes critiques », concède Gérard Matheron. En effet, les conséquences d'une faille de sécurité sur une montre connectée sont moins graves que dans le cas d'une voiture autonome ou d'un site nucléaire.
« Mais il y a des milliards d'objets à connecter dans le milieu industriel », rappelle Gérard Matheron. « Ceux-ci pourront recevoir des données, envoyer des ordres, interagir entre eux sans intervention humaine. Ici, le prix à payer pour la sécurisation est plus acceptable que pour le grand public. » Pourtant, actuellement « le manque de standards et de certifications est un gros problème dans l'industrie », observe François Ortolan. « Pour valider la sécurité d'un système, il n'existe que des guides de bonnes pratiques. » Ainsi, les réseaux industriels communiquent parfois via le Wi-Fi ou le Bluetooth, soit des réseaux sans licence, administrés de façon locale, sur lesquels chacun peut émettre ou recevoir. Ni les objets ni les réseaux ne sont soumis à des vérifications obligatoires de leur bon fonctionnement. « Des centaines de milliers de caméras connectées, non sécurisées, ont ainsi été utilisées par des hackers pour attaquer des sites internet », continue François Ortolan.
Pour plus de sécurité, les objets connectés pourraient s'inspirer des réseaux cellulaires, où la certification est obligatoire selon des processus de internationaux standardisés. « Quand un téléphone est mis sur le marché, il est vérifié par des centaines de milliers de tests, destinés à s'assurer qu'il se comporte comme prévu sur le réseau », explique François Ortolan. Pour les objets connectés, peu de tests existent actuellement. Face à ce problème, les industriels doivent faire confiance à des intermédiaires, comme des laboratoires indépendants. « Un opérateur réseau est bien placé pour définir le niveau de sécurité nécessaire, et n'autoriser que les objets dignes de confiance à se connecter », estime François Ortolan. « Mais pour l’instant seuls les grands groupes de télécommunications américains, comme AT&T, restreignent l'accès à leurs réseaux pour les objets non approuvés. »
Les choses devraient changer grâce aux prochaines innovations de la 4G, puis à l’avènement de la 5G, qui rendront les réseaux cellulaires adaptés aux contraintes des objets connectés. La sécurité sera alors prise en compte dans le standard cellulaire, avec des tests obligatoires. Les acteurs du marché développent donc de nouveaux composants de sécurité, qui permettront notamment de bien identifier les objets. L'amélioration devra également passer par « le développement des relations entre les différents acteurs de la chaine », plaide Gérard Matheron. La FIEEC, avec son équivalent allemand la ZVEI, travaille actuellement à la création d'un label, et pousse l'Union Européenne à créer des standards. « Cela va prendre du temps. Mais il faut que les industriels développent des solutions sans attendre de futures obligations. Sinon, la confiance des utilisateurs sera perdue », prévient François Ortolan.
Contenu proposé par Acsiel Alliance Electronique
En savoir plus :
Acsiel Alliance Electronique fédère 150 adhérents de la filière depuis les composants et systèmes jusqu’aux machines de production en passant par le test et mesure électroniques.
Du grand groupe à la pme, de la conception à la fabrication et à la distribution ces entreprises travaillent pour des secteurs de plus en plus divers en raison notamment du développement de l’internet de objets et de besoins sociétaux auxquels les technologies électroniques apportent des solutions.
