Ils se comptent déjà par milliards. Bientôt, par dizaine de milliards. Ils seront omniprésents, transformant notre vie quotidienne et le fonctionnement de nos entreprises, établissant des passerelles aux possibilités infinies entre le monde réel et la puissance du numérique. « Ils », ce sont les objets connectés, des traqueurs d’activité aux caméras de vidéosurveillance, des thermostats intelligents aux capteurs industriels. Mais leur essor annoncé ne sera possible qu’à une condition : que soient levés tous les doutes concernant leur sécurité.

Dès lors qu’un appareil est relié à Internet, il est susceptible d’être attaqué. Longtemps, les objets connectés n’ont cependant suscité aucun intérêt malveillant car ils étaient trop peu nombreux et ne manipulaient que des données anodines. Mais aujourd’hui, les solutions proposées sont de plus en plus riches, leurs données de plus en plus sensibles et, dans le domaine de la production industrielle par exemple, elles s’intègrent de plus en plus étroitement avec des systèmes critiques. Aussi, que ce soit pour eux-mêmes ou comme porte d’entrée, les objets connectés éveillent désormais les convoitises et, avec elles, des doutes et des inquiétudes chez leurs utilisateurs, particuliers ou entreprises. Un exemple très récent survenu avec un robot cuiseur star équipé d’un micro caché, inactif mais fonctionnel…

Ces préoccupations se répercutent chez les professionnels du secteur, concepteurs, revendeurs et installateurs de solutions connectées, car, à l’heure du Règlement général sur la protection des données (RGPD), ils se savent coresponsables d’éventuels incidents de sécurité. Disposant d’assez peu d’informations en la matière, et souvent démunis face à des solutions complexes associant des composants d’origines différentes, ils hésitent légitimement à s’engager. Ce désarroi constitue l’un des freins majeurs au développement des solutions connectées, notamment auprès des particuliers, des PME et des collectivités qui n’ont pas les moyens et les compétences pour sécuriser eux-mêmes leurs systèmes.

La priorité pour accompagner l’essor de l’Internet des objets (IoT) est donc de donner confiance à l’ensemble des acteurs pour qu’ils puissent les uns recommander, les autres utiliser des solutions connectées en toute sérénité. De même que l’informatique a su dépasser la complexité technique pour parvenir à ce que se protéger devienne une évidence, l’écosystème des objets connectés doit à son tour se mobiliser pour apporter à tous l’information, la simplicité et les garanties attendues en matière de sécurité.

Il est nécessaire d’initier un indicateur fiable, neutre et objectif, destiné à informer les acquéreurs potentiels de solutions IoT qu’elles respectent un certain nombre d’exigences en matière de sécurité des données, des personnes et des biens. Tantôt d’ordre technique (les données sont-elles chiffrées ?), tantôt d’ordre pratique (la mise en service requiert-elle de changer le mot de passe par défaut ?), ces exigences ne garantissent pas l’invulnérabilité de la solution mais elles attestent d’un minimum vital, qui suffit en général à décourager et écarter la plupart des attaques.

Contrairement à de nombreuses normes et certifications de sécurité déjà existantes, il est important de ne pas se focaliser sur l’objet connecté lui-même mais de s’intéresser surtout à la solution dans sa globalité. À quoi bon, en effet, une caméra de vidéosurveillance inviolable s’il suffit à un pirate d’attendre en aval le flux d’images pour l’intercepter ? Derrière le capteur ou l’actionneur, chaque solution connectée met en œuvre une chaîne technologique de transmission, de traitement et de commande dont la sécurité n’est que celle du maillon le plus faible. En envisageant la question de bout en bout, on se place résolument du point de vue du revendeur, de l’installateur ou de l’utilisateur final, dont la préoccupation est la sécurité effective des données et non la vulnérabilité de tel ou tel composant.

Ainsi, au travers d’un possible processus de labellisation, les fabricants et les intégrateurs de solutions sont amenés à s’engager dans une démarche de vigilance et d’amélioration continue qui bénéficiera à l’ensemble de la filière. C’est d’autant plus vrai dans le secteur de la domotique qui adresse une multitude d’acteurs qui doivent tous s’impliquer dans une démarche de sécurité.

Prendre en compte la sécurité n’est pas aussi coûteux qu’on pourrait le croire. La plupart des exigences essentielles de sécurité ne réclament pas des investissements lourds ou des développements complexes, mais seulement du bon sens et de la rigueur dans la configuration des solutions. En revanche, les retombées pourraient être considérables. Savoir afficher les efforts de sécurité mis en œuvre dans une solution peut constituer un argument commercial décisif et, dans un secteur naissant où les places sont encore à prendre, cela n’a pas prix.