On attend des milliards d’appareils connectés dans l’avenir – des quantités d’informations gigantesques que l’on ne veut pas retrouver dans la nature. L’internet des objets demande une maîtrise à la fois des identités et des informations contenues dans les appareils.
La règle de base est qu’un fournisseur de service est responsable de l’information et de l’identité d’un appareil connecté : le piratage de l’appareil ne relève pas de la responsabilité de l’utilisateur. Un système d’alarme est un bon exemple : souvent le client s’abonne à un service où la société de surveillance installe un équipement d’alarme et s’assure qu’il n’y a aucune possibilité de piratage de celui-ci. Les problèmes surviennent quand le client installe lui-même une alarme et achète ensuite un service de surveillance.
“Il peut y avoir des failles dans la technologie qui laisse une ouverture à l’intrusion. Du point du vue du client, il est plus attrayant d’acheter un service où la technologie est comprise, puisque le fournisseur est responsable de la globalité » dit Stefan Sundh, architecte de solutions chez Nexus.
Les nouvelles directives de stockage de données augmentent les exigences de ceux qui proposent des services numériques. Celui qui stocke des données doit être en mesure de produire un rapport sur le type de données qui sont stockées ainsi que sur le but du stockage et garantir que l’information peut être supprimée. Le fournisseur de services doit pouvoir assurer l’identité pour que des personnes non autorisées n’aient pas accès à l’information ou la possibilité de la modifier ou de la voler. Ceci met davantage la pression sur les fournisseurs de services des appareils connectés pour contrôler les appareils et diminuer le risque d’intrusion.
“Celui qui stocke de l’information est responsable de la façon dont elle est protégée et sécurisée, tout simplement”, dit Stefan Sundh.
Pour réussir ce pari, d’après Stefan Sundh, il faut travailler avec les normes ouvertes qui existent pour une communication et une identification sécurisées entre les appareils connectés, systèmes et services. L’interopérabilité est ainsi sécurisée pour les différents produits et fournisseurs. Les normes ouvertes montrent bien comment la sécurité est construite, ce qui conduit à rendre plus facile le développement de solutions de sécurité d’autres fournisseurs avec des normes ouvertes.
Il peut être difficile de suivre le conseil classique de conserver le logiciel en patch, c’est à dire mis à jour avec les dernières versions qui n’ont pas de vulnérabilité connue. Le problème est que les logiciels dans les appareils ne sont pas faits pour être mis à jour – pour réussir à le faire il faudrait les ouvrir physiquement et se connecter à l’appareil. Ceci n’est pas pratique et économiquement impossible.
“C’est simplement une erreur de système au départ. Il faut bien réfléchir au début – est-ce qu’il est possible de patcher le logiciel de l’appareil connecté que vous avez acheté ? Les acheteurs professionnels doivent l’exiger”, dit Stefan Sundh.
Et il y a la question de la gestion du cycle de vie – l’’appareil connecté doit contenir un processus où il est facile de révoquer ou renouveler des identités. Il a été révélé récemment qu’il a été utilisé seulement un très petit nombre de clés de cryptage pour toutes les clés numériques dans l’industrie automobile. Ce qui veut dire que si une clé de cryptage se retrouve dans la nature, des millions de voitures sont exposées à des risques d’intrusion.
“Il est impossible que le consommateur final le sache. C’est pourquoi l’industriel qui propose des appareils connectés doit réfléchir en amont”, dit Stefan Sundh.
Dans une vision, Ericsson a prédit qu’il y aurait 50 milliards d’appareils connectés en 2019. D’autres, comme la société d’analyse Gartner est plus prudente et prévoit un peu plus de 20 milliards d’appareils connectés en 2020.