L’IoT est un tournant. Il oblige tous les acteurs de l’économie à repenser les écosystèmes dans leur globalité face aux notions de cyber sécurité. L’industrie est le premier secteur concerné. Il doit désormais prévoir dans son ingénierie et dans l’évolution de sa production l’intégration de nouvelles contraintes, subtiles et surtout ignorées, pour garantir la fiabilité et la disponibilité des outils. Si auparavant le hacking se limitait à une attaque provenant de l’internet ou d’une clé USB, désormais c’est l’ampoule, la caméra et l’agrafeuse que la gouvernance de sûreté doit ingérer. Mais une mauvaise nouvelle s’accompagne toujours d’une bonne : l’IoT est une opportunité exceptionnelle pour permettre aux industries de se renouveler, de se repenser et d’innover pour qu’à leurs tours, elles deviennent la locomotive de l’ère 4.0. La convergence des SCALA vers l’IP va générer des nouveaux produits, faire naître des nouveaux services et bien entendu entraîner des nouvelles opportunités d’affaires. Frein ou moteur de l’innovation ? Comme en débattait le CEFCYS lors de sa conférence annuelle 2016, l’IoT est bien entendu une chance pour la compétitivité industrielle à condition que la cyber sécurité soit de la partie.

Gouvernance, design, procédures, formations et bien entendu technologie sont les nouveaux outils qu’il faut désormais rendre agiles et compatibles avec cette innovation. Pour éviter de freiner l’organisation, l’enjeu est de poser LA bonne question. Et cette question consiste à savoir ce qui doit être protégé et maintenu au sein de l’entreprise versus ce qui finalement n’a ni valeur ni enjeux.

La donnée devient un asset à part entière, pourvue d’un statut changeant en fonction de son âge, de sa rareté et de ses enjeux. Pouvoir identifier et distinguer ce qui est sensible de ce qu’il ne l’est pas est déterminant pour mesurer la difficulté, le coût et les chances de succès. Et cette question devra être posée de façon claire et audible pour tous les acteurs parties prenantes, c’est-à-dire la totalité des salariés y compris le corps ouvrier dès lors qu’il possède un équipement connecté à commencer par son badge intelligent.

La question formulée, il convient de décider, stratégiquement, comment on souhaite aborder ces enjeux. Il y a deux axes majeurs. Le premier est de considérer que chaque actif de l’entreprise, connecté ou non, doit rentrer dans une procédure de sûreté. Car ce qui n’est pas connecté aujourd’hui le sera demain. Cela implique de considérer la sécurité des IoT dès la conception, l’installation et la mise en service. C’est une réalité nécessaire mais pas encore accessible. À ce jour, les IoT ont un niveau de défaillance sécuritaire extrêmement fort. Cela s’explique par la précipitation des industriels à innover et mettre sur ce marché émergeant à des vitesses record des offres aussi brillantes que farfelues dans le but d’y être le premier. Mais au prix d’un design sécuritaire absent ou quasi nul. Ce design s’appelle le Smart Fuzzing. Il identifie en mode “Boîte Noire “les failles type Zero Day sur les protocoles de communication de l’objet. Les grands acteurs du marché comme Beyond Security qui offre une certification ADSA 2.0 pour assurer une homologation US avec sa base Securiteam.com assurent aujourd’hui une conception durcie des équipements. Ces solutions connues des grands acteurs de l’industrie connectée sont encore ignorées des PME/ETI en raison de leur coût mais aussi d’une réglementation absente et d’un législateur européen déjà dépassé.

Le second axe, plus agile, plus pragmatique et plus efficace consiste à élaborer en interne une politique de sûreté qui distingue une partie des assets. Ce type de politique à l’avantage d’engendrer moins de changements internes, plus de simplicité dans la mise en œuvre, et d’identifier ce que l’on a vraiment besoin de protéger. Il est plus simple de protéger une poche qu’un costume ! Reste à savoir quelle poche ?

L’Exécutif doit engager cette réflexion interne pour garantir l’intégration des bonnes pratiques dans l’ADN de l’organisation. Ne pas hésiter à reconsidérer l’organigramme et initier une nouvelle fonction au sein de l’organigramme comme un COSIoT pour compenser ce que le CESO ne pourra absorber. Car il ne faut pas se mentir, l’IoT dans l’industrie, ce n’est pas simplement une convergence ou une évolution technique : c’est un nouveau monde qui s’ouvre. Un nouveau monde de génie et de risque. Le facteur humain est l’enjeu majeur, de très loin, et aux mêmes niveaux que dans le risque aéronautique. C’est dire combien le management doit davantage sacrifier son temps à l’accompagnement des hommes qu’au budget d’équipements souvent bien suffisant et déjà en place.

La cyber sécurité est avant tout une histoire humaine. C’est son maillon faible. La cyber sécurité des IoT a pour maillon faible sa conception ouverte et sans architecture certifiée.

Désormais, avant d’installer une ampoule connectée dans une salle de réunion, demandez-vous comment votre gouvernance IT va digérer ce composant ? Vous verrez qu’elle ne le pourra pas. Elle n’est pas prête. Et pour cause, elle ne sait pas encore ce qu’elle doit absorber et protéger.

Paradoxe, pour cette année, soyez connectés sans perdre de vue que la maturité des IoT n’est qu’à l’âge de pierre de son ère.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.