QUELLES SÉCURITÉS POUR L’INTERNET DES OBJETS ?

QUELLES SÉCURITÉS POUR L’INTERNET DES OBJETS ?

En 2035, nous aurons 200 objets connectés par personne. Cette consommation massive d’objets qui parlent de nous à travers la collecte massive et pas encore bien régulée des données à caractère personnel, doit se développer dans une volonté déterminée de sécurité.

Ces objets connectés dotés de capteurs sont censés nous faciliter la vie dans tous les secteurs : du bien-être à l’alimentation, du coach sportif à l’e-santé, de la maison intelligente à l’aide aux personnes dépendantes, à l’économie d’énergie, voire à l’autosuffisance énergétique.

Nous devons faire face à ce « marécage » tel que le souligne , notre Monsieur Internet : Louis Pouzin.

Pour éviter l’embourbement voire l’enlisement numérique du citoyen, de chacun de nous tous, il faut donc envisager une politique numérique responsable et profitable pour tous en se fondant sur une double sécurité :

1) la sécurité technique sur l’objet lui-même (privacy by design)

2) la sécurité juridique.

I– La sécurité technique passe par la sécurité des systèmes globaux et par la sécurité a minima de l’objet lui-même par l’instauration de normes européennes et non celles de chaque constructeur. Avec la monté du système sans fil de machine à machine, nombreuses sont les possibilités d’attaques et de failles.

Les entreprises devront faire des choix entre la sécurité du système et la facilité d’usage de leurs objets connectés. Il faut sécuriser les actifs de la société mais aussi la communication des liens. Les VPN, les prises sécurisées, la cryptologie et des identifications par appareils constituent autant de techniques à mettre en place pour protéger le système de la société. D’habitude il existe un firewall qui sécurise l’espace intranet de la société de l’espace extranet. Il faut donc dès maintenant penser à l’architecture globale de la société pour éviter le sabotage, le vol de données, la malveillance, l’intrusion frauduleuse, les rangonciels, le déni de service et encore d’autres attaques aujourd’hui inconnues

Le problème de l’internet des objets est la réseau wifi en lui-même qui est très facilement source de fuites. Sur le plan de la sécurité interne à la société, il existe de nombreux outils tels des détections d’intrusion, des surveillances d’identifications, une surveillance des comportements numériques, des firewalls etc.

L’internet des objets nous confronte à un potentiel énorme de fuites sur de milliers de points de données. Il faut donc analyser le trafic d’information et les flux. De nombreux objets connectés ne sont pas dotés de mises à jour en usant de vieux ou traditionnels systèmes de sécurité, sans penser aux connections wifi et au cloud.

Il faut donc que la société pense à

i) La sécurité versus la commodité de l’objet connecté
ii) Les impératifs réglementaires et légaux
iii) Le contrôle des communications machine à machine
iv) Quelles sont les données collectées ? données sensibles ?
v) Le vendeur de l’objet connecté est-il à même d’expliquer à l’acheteur les consignes de sécurité ?
vi) Quels sont les vecteurs de failles ?
vii) Quelle est la sécurité à déployer : sécurité informatique ou physique ?
viii) Quelles sont les vulnérabilités que la communauté d’usagers a déjà mis en évidence ?
ix) Quel est le seuil de compromis entre la sécurité de l’objet, la facilité d’usage et les options de cet objet connecté ?
x) Avons-nous un plan de test pour cet objet connecté ?

II– La sécurité juridique de l’objet connecté passe par la mise en place de conditionsgénérales d’utilisation claires et obligatoires. Le mode d’emploi s’efface au profit des conditions générales d’utilisation. Ces CGU doivent respecter les dispositions de la loi du 4 janvier 1978 sur les données personnelles mais doivent aussi intégrer les nouvelles dispositions issues des lois et directives, notamment les dispositions qui seront adoptées définitivement du projet de loi pour une république numérique et la nouvelle directive européenne sur les données à caractère personnel.

La jurisprudence « facebook » a déjà permis d’utiliser le droit classique des clauses contractuelles abusives pour rejeter la clause attributive de compétence aux seuls tribunaux et cous de l’Etat de Californie.

Le projet de loi pour une république numérique contient plusieurs articles forts intéressants, entres autres articles :

Les articles 18 et 21 prévoient la portabilité des données : l’internaute pourra récupérer ses données auprès des acteurs majeurs de l’internet et en demander le transfert vers d’autres opérateurs ; L’ article 22 : les plateformes en ligne ont eu une obligation de loyauté envers les consommateurs, notamment dans les CGU pour les informations concernant le référencement et le déréférencement ; L’article 26 consacre le droit de l’internaute à la libre disposition de ses données. Ce droit est appelé le droit à l’autodétermination. C’est un premier pas vers le contrôle et la gestion de ses données par l’internaute lui-même.

La jurisprudence et les nouvelles lois et directives vont dans le sens d’une meilleure protection du citoyen, d’un internaute passif à un cyber-citoyen actif.

Isabelle LANDREAU
Docteur en droit
Avocat en nouvelles technologies, www.droitdanslemil.fr

Fermer le menu