Business

Sécurité : des données personnelles aux objets connectés

Sécurité : des données personnelles aux objets connectés
Lors de la conférence « Sécurité : des données personnelles aux objets connectés » organisée par CIO le 19 mai 2015, plusieurs experts ont témoigné.

Le 19 mai 2015, CIO a organisé une matinée stratégique « Sécurité : des données personnelles aux objets connectés, les nouveaux défis des RSSI ». Cette conférence a été réalisée en partenariat avec Check Point / Westcon, Oracle et Symantec ainsi qu'avec le soutien du CESIN et de l'AFCDP.

PublicitéLes DSI et les RSSI sont-ils prêts à affronter les nouveaux risques encourus par les systèmes d'information ? En particulier, les risques les données personnelles, enjeu d'importance croissante, et les objets connectés, à la base de nombreuses innovations, sont-ils bien appréhendés ? Lors de la Matinée Stratégique « Sécurité : des données personnelles aux objets connectés, les nouveaux défis des RSSI » organisée par CIO le 19 mai 2015 au centre d'affaires Paris Trocadéro, la révélation des résultats de l'étude Comment les RSSI relèvent les défis de la privacy à l'heure de l'IoT ? a montré que les bonnes pratiques étaient loin d'être généralisées. L'objet de la conférence a d'ailleurs été, en partenariat avec Check Point / Westcon, Oracle et Symantec et avec le soutien du CESIN (Club des Experts de la Sécurité et du Numérique) et de l'AFCDP (Association française des correspondants à la protection des données personnelles), d'expliquer les nouveaux enjeux et de définir les bonnes pratiques.

Une problématique juridique mal traitée

Olivia Luzi, Avocat associé cabinet Féral-Schuhl / Sainte-Marie, est d'ailleurs intervenue pour expliciter les impacts juridiques de l'évolution des systèmes d'information et de la généralisation des objets connectés, en particulier sur les données personnelles. « Le partage des données issues des objets connectés amène une perte de maîtrise des informations personnelles et un risque de profilage non-bienveillant (par exemple pour accroître le montant d'une prime d'assurance) » a ainsi souligné l'avocate.
Les obligations des responsables de traitements sont d'ailleurs croissantes, notamment en matière de sécurité. La future réglementation européenne, en préparation, les renforcera encore.

Protéger sans bloquer les usages légitimes

« Si un objet connecté est attaqué, le pirate rentre dans la vie des gens » a alors souligné Cédric Pottier, Consultant Avant-Vente Sécurité de Symantec. Si la grande tendance du piratage actuel est le ransomware, les objets connectés commencent à être des cibles. Cédric Pottier a pointé : « tout le monde est potentiellement ciblé par des attaquants de plus en plus compétents ». Mais protéger ne doit pas amener à bloquer les usages. Surtout que, concernant les objets connectés, l'innovation repose sur leur utilisation légitime. La réponse peut être de considérer que l'important n'est pas l'objet ou le terminal mais bien les données.
La première table ronde de la matinée a poursuivi l'étude de la sécurisation des données personnelles à l'heure des objets connectés. Y participaient deux membres du CESIN (Club des Experts de la Sécurité et du Numérique) : le Commandant Michel Dubois, officier de sécurité des SI au Service de Santé des Armées, et Philippe Loudenot, Fonctionnaire de sécurité des SI aux Ministères chargés des Affaires Sociales.

PublicitéSécuriser la donnée dans les bases et jusqu'au coeur des objets connectés

Yves Toubhans, Consultant Ventes Oracle France, est alors intervenu pour rappeler que les bases de données elles-mêmes devaient être protégées. Et cette protection doit être dressée également face aux administrateurs et prestataires qui disposent souvent d'accès illimités aux données et de fortes compétences. Il a également relevé : « la menace de l'injection SQL est toujours d'actualité, et n'est pas bien traitée actuellement par les protections réseau classiques. »
Lorsque les données proviennent d'objets connectés, la charrue est parfois mise avant les boeufs. « Il y a des demandes, par exemple de directeurs marketing, pour transformer des objets actuels en objets connectés pour récupérer des données mais c'est bien au DSI d'assurer la sécurité de l'ensemble de la chaîne, des objets jusqu'aux applications métiers. » a observé Jean-Marc Hui Bon Hoa, Principal Sales Consultant Middleware Oracle France.

Un monde tout sauf sécurisé

« Il faut prendre conscience de l'insécurité des objets connectés, comme l'ont démontré les études que nous avons menées » a confirmé Philippe Rondel, Directeur Technique France Check Point. La sécurité doit bien porter sur tous les objets connectés, surtout à une époque où les attaques ne sont plus du tout confidentielles. Un exemple de faille béante a ainsi été montré au travers de l'absence d'up-grade des micro-codes embarqués par les fabricants de matériels alors que les éditeurs des logiciels avaient bien assuré les évolutions nécessaires.
La sécurisation des objets connectés eux-mêmes a d'ailleurs été le sujet de la deuxième table ronde de la matinée. Nacira Salvan, Responsable architecture sécurité de Safran, et Sylvain Géron, Directeur associé de Polyconseil (Autolib BlueSolutions), y ont apporté leur témoignage.
Enfin, le Grand Témoin ayant conclu la matinée était Yann Padova, commissaire à la Commission de Régulation de l'Energie. Cet ancien secrétaire général de la CNIL était en effet bien placé pour détailler le cas concret du compteur communicant, un objet connecté traitant des données personnelles à sécuriser.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Disposez-vous d’une plateforme de gestion des APIs ?