Des centaines de milliers d’objets sont actuellement connectés et peuvent être utilisés pour lancer des attaques. | BRUNO CORDIOLI / CC BY 2.0

La cybersécurité est-elle assez prise en compte dans le développement des objets connectés ? Un début de prise de conscience est venu du piratage, en juillet 2015, d’une voiture Jeep Cherokee de la marque Chrysler. Deux chercheurs étaient parvenus alors à prendre le contrôle d’une voiture connectée : changement de volume du son et des chaînes de la radio, mise en route des essuie-glaces, arrêt total du moteur… le conducteur n’a plus aucune prise sur son véhicule. A l’époque, les chercheurs ayant identifié la faille avaient utilisé le système Uconnect pour reprendre le contrôle de ses outils multimédias.

Un exemple qui a de quoi inquiéter, quand on sait qu’en 2016 6,4 milliards d’objets connectés étaient répartis dans le monde, d’après le cabinet Gartner. Ce nombre devrait passer à 20,8 milliards en 2020, pour un marché estimé à quelque 2 800 milliards d’euros. Les montres, véhicules, réfrigérateurs, chaînes de montage industrielles et sex-toys connectés existent déjà, potentiels petits espions avec leurs micros et caméras. Sans oublier la fuite de données personnelles. Les entrepreneurs envisagent déjà l’arrivée sur le marché d’avions dont on pourrait prendre le contrôle à distance. Ou des pompes à insuline qui pourraient, une fois piratées, distribuer des doses létales. L’Internet des objets (IoT, Internet of Things) est un vaste marché visant à simplifier la vie et améliorer le rendement des entreprises, mais qui n’a pas fait de la cybersécurité sa priorité.

Le bénéfice au détriment de la sécurité

« Le problème, c’est que le marché des objets connectés est concurrentiel, et que les entreprises veulent aller vite. Dès qu’ils sentent qu’un produit peut faire un carton, le marketing devient la priorité et la sécurité des systèmes passe au second plan. Et malheureusement, les industriels attendent souvent de subir des cyberattaques pour se pencher sur le problème », explique Vincent Roquet, qui travaille dans la branche cybersécurité d’EY, une entreprise française d’analyse et de conseil traitant, entre autres, de l’IoT. Mais le spécialiste reconnaît que la demande est encore loin d’être massive sur son marché.

Un avis partagé par Evelyne Raby, à la tête de la start-up française CybelAngel, une entreprise spécialisée dans la cybersécurité qui alerte ses clients dès qu’un document non autorisé atterrit sur le Web. Pour elle, « les entreprises ne regardent pas suffisamment à long terme, trop préoccupées par leurs bénéfices à court terme ». Et même pour celles qui voudraient sauter le pas, la démarche peut se révéler compliquée :

« Avec l’augmentation du nombre d’objets connectés et leur diversité, se mettre à la page est très compliqué pour des entrepreneurs déjà perdus. Cette complexité retarde l’ensemble de la prise de conscience et le moment où l’on se penche dessus. »

Une fausse excuse pour Nils Ahrlich, à la tête de la stratégie pour la sécurité des systèmes et de l’IoT chez Nokia. « Le problème, c’est que la mentalité humaine est par nature optimiste. Comme avec les maladies, les entreprises ont imaginé que tant qu’elles n’avaient rien, ce n’était pas la peine de se pencher sur le sujet, ou alors légèrement », explique t-il.

Attention aux prestataires extérieurs

Les experts en cybersécurité ont des propositions de bonne conduite assez récurrentes à faire passer aux entreprises. Outre le fait d’accorder du temps au cyberrisque dans le processus créatif, il est primordial d’avoir la main sur l’ensemble de la chaîne de production.

« Il faut aux entreprises et industries une parfaite connaissance de toutes les infrastructures qui travaillent sur les objets connectés, et surtout, les contrôler. L’erreur est humaine et les humains sont souvent le point faible de la sécurité informatique, explique Evelyne Raby. L’une des premières choses que je fais savoir à mes clients est d’apporter une attention particulière aux prestataires extérieurs. Ils sont les plus à même de compromettre la sécurité des objets connectés de par leur manque d’encadrement par l’entreprise. »

La moindre faille de sécurité sur un composant et c’est l’ensemble de la chaîne qui est compromise. Les équipes d’EY imaginent la fuite involontaire de données concernant un modèle de réfrigérateur connecté. En entrant dans le réfrigérateur de quelqu’un ayant conservé un mot de passe d’usine, des hackeurs peuvent remonter jusqu’à la maison mère en se servant des rapports que le frigo envoie régulièrement à l’entreprise. La corruption de l’ensemble de l’entreprise, de ses produits et réseaux peut s’effectuer en quelques heures, voire en une seule minute.

« L’offre va toujours plus se fragmenter »

Pour Nils Ahrlich, l’une des difficultés auxquelles feront face les entreprises qui veulent améliorer la sécurité de leurs produits sera la trop large gamme d’offres à leur disposition :

« La demande, donc l’offre, va toujours plus se fragmenter pour répondre aux demandes sur divers objets connectés et leurs différents niveaux de protection. »

Compartimenter, sécuriser, rendre étanches les frontières entre les différentes connexions, comme Chrysler aurait dû le faire en 2015 pour éviter le piratage de ses voitures. L’employé de Nokia regrette en partie cette fragmentation. A ses yeux, il existe déjà des offres compétentes qui n’ont besoin que d’être mises à jour de façon régulière pour être performantes. Il reconnaît en revanche les opportunités pour l’emploi que représente un tel marché fragmenté.

« Il existe des formations sur le sujet en France depuis deux, trois ans. Le marché est pour l’instant saturé et il faudra encore quelques années pour que les jeunes formés soient réellement performants, mais on y arrivera », prédit Vincent Roquet. Il lance cependant un avertissement aux entreprises : tous les scénarios catastrophes envisageables peuvent survenir. Qu’importent les efforts, les moyens et les précautions, le risque zéro n’existe pas.