La sécurité des IoT a-t-elle pris du retard ?

Sécurité du monde des IoT en quelques chiffres

La lecture du chiffre relatif à l’augmentation des dépenses en matière de sécurité pour le monde des IoT : + 28% en 2018, peut s’interpréter de différentes manières. D’abord, cette croissance importante souligne le boum de ce marché au niveau mondial. Certains prévisionnistes ayant annoncé plus de 40 milliards d’objets connectés pour 2020, il est logique que le rythme des investissements liés à leur sécurisation soit très élevé. Selon le cabinet Gartner, ce sont plus de 1,5 milliard de dollars qui seront ainsi dépensés cette année au lieu de 1,2 milliard l’an dernier, fixant l’horizon des 2,5 milliards pour 2020. Rien de surprenant selon les analystes, puisque les développeurs d’IoT découvrent sur le tard, les imperfections ou les failles de sécurité, au lieu de les anticiper.

« Les organisations n’ont souvent aucun contrôle sur la source et la nature des logiciels et du matériel utilisé par les appareils intelligents connectés », explique Ruggero Contu, directeur de recherche chez Gartner.

IoT : deux marchés en parallèles

Il se crée donc deux marchés en parallèle : celui des pirates et des logiciels malveillants (dénommés ransomwares) et celui des logiciels qui peuvent les contrer ou immuniser les objets connectés visés. Les sociétés qui développent ces objets n’ont souvent qu’une faible connaissance des logiciels ou terminaux qui permettent le recueil et l’émission des données à partir d’un objet intelligent. On comprend alors que les difficultés naissent au gré des lancements de produit et des tentatives d’attaques des fameux pirates.

Une sécurité préoccupante

Ainsi une étude menée par Vason Bourne pour Trend Micro, auprès de plus de 1000 responsables IT et sécurité révélait, que 43% des sondés se préoccupent de la sécurité après le développement du produit. Seul un tiers (ou presque) des répondants attribue une équipe sécurité à un projet IoT que ce soit pour une smart factory ou un projet lié à l’énergie. Un chiffre qui tombe à 30% dès lors qu’il s’agit de projets d’accessoires. Pour autant, ces responsables sont conscients du danger et 63% d’entre eux estiment qu’il a augmenté rapidement au cours de l’année passée. D’ailleurs, les principales failles se situent sur les données personnelles des utilisateurs qui pourraient être subtilisées ou utilisées frauduleusement. Selon les mêmes responsables, ceci constitue le risque majeur (perte de confiance et donc perte de clientèle), cité avant même le risque financier pour l’entreprise.

Alors pourquoi ce retard et comment peut-il être comblé ?

Il semble que ce genre de problème soit inhérent à tout projet industriel, la mise au point du produit occultant souvent la sécurité dans l’usage. Aujourd’hui, les préconisations sont la prise en compte des difficultés et des risques dès le début d’un projet IoT mais aussi l’examen attentif de l’architecture du réseau en amont du projet.

On évoque désormais une nouvelle vision du monde de la sécurité, sortant d’une action passive ou correctrice, pour s’orienter vers la sécurité by design. Dépenser près d’un milliard pour externaliser le traitement des problèmes de sécurité auprès de « professionnels spécialisés » est sans doute le signal que des solutions intégrées au cœur des équipes de recherche et développement, doivent maintenant être privilégiées afin de limiter le retard et d’accompagner la croissance avec davantage de sérénité.

A découvrir également : IoT : faut-il choisir entre data et sécurité ?