Technologies

Dès aujourd'hui, la sécurisation des objets connectés n'est plus une option

Dès aujourd'hui, la sécurisation des objets connectés n'est plus une option
Nacira Salvan (Safran) et Sylvain Géron (Polyconseil Autolib BlueSolutions) – de droite à gauche, photo : Bruno Lévy
Retrouvez cet article dans le CIO FOCUS n°99 !
La sécurité des données personnelles à l'heure des objets connectés

La sécurité des données personnelles à l'heure des objets connectés

Les objets connectés envahissent de plus en plus notre quotidien. La montre ou le gadget de surveillance pseudo-médicale sont certes les objets auxquels on pense spontanément. Mais il ne faut pas oublier d'autres objets, de l'automobile au compteur d'énergie communiquant, aux enjeux bien plus...

Découvrir

Le 19 mai 2015, CIO a organisé une matinée stratégique « Sécurité : des données personnelles aux objets connectés, les nouveaux défis des RSSI ». Nacira Salvan (Safran) et Sylvain Géron (Polyconseil Autolib BlueSolutions) y ont témoigné.

PublicitéLes objets connectés, au sens large, ont déjà envahi notre quotidien tant personnel que professionnel. Et la sécurité n'est plus du tout une option tant les données qui sont créées ou émises par ces objets sont parfois sensibles. Lors de la matinée stratégique « Sécurité : des données personnelles aux objets connectés, les nouveaux défis des RSSI » organisée à Paris par CIO, Nacira Salvan, responsable architecture sécurité de Safran, et Sylvain Géron, directeur associé de Polyconseil Autolib BlueSolutions (groupe Bolloré), ont apporté leur témoignage sur leurs bonnes pratiques en la matière.
D'origine française et opérant dans des secteurs très sensibles (défense, aéronautique...), le groupe Safran dispose de 280 sites dans le monde pour un effectif global de 70 000 collaborateurs dont 18 000 aux Etats-Unis et 3500 en Chine. Tant les secteurs que certains pays d'implantation sont en eux-mêmes des facteurs de risques sur la sécurité des systèmes d'information. Safran gère bien entendu des terminaux mobiles classiques (smartphones...), de l'électronique embarqué dans des véhicules (notamment des avions) et a travaillé avec Valéo au guidage des voitures sans GPS d'après une captation de l'environnement. Le GPS est en effet une fragilité en lui-même : soumis au bon vouloir d'un gouvernement étranger et susceptible d'être brouillé par des pirates souhaitant détourner le véhicule guidé (y compris des drones militaires).
De son côté, le service Autolib, mis en place à Paris par le Groupe Bolloré est par nature basé sur des objets connectés, en l'occurrence les automobiles Bluecar. Autolib propose un service de véhicules électriques partagés que chaque utilisateur peut louer à la demande le temps d'un trajet urbain en région parisienne. La facturation repose sur l'usage réel et la bonne marche du service implique donc de suivre la position de chaque véhicule ainsi que son utilisation par quel conducteur.

Sécuriser le BYOD

Mais les premiers objets connectés, dans une entreprise, sont en général plus simples qu'un véhicule inséré dans un service complexe. Il s'agit simplement des multiples terminaux mobiles connectés. Et quand le terminal en question est le joujou d'un directeur métier, il est impossible de le refuser. « La problématique du BYOD arrive en général par le top management » reconnaît Nacira Salvan. Safran a cependant rejeté le concept de BYOD au profit de celui de COPE.
La DSI doit cependant déjà être bien contente si elle sait qu'un iPhone se connecte au système d'information. Nacira Salvan souligne : « il est impossible de demander à un top manager de s'identifier quatre fois pour connecter son terminal personnel au système d'information en sécurisant sa connexion. » Or plus le niveau hiérarchique de l'utilisateur s'accroît, plus le niveau de sensibilité potentielle des données échangées sur son terminal, notamment par mail, s'accroît également.
« Un tel utilisateur va de toutes façons chercher à se connecter au système d'information comme il l'entend, autant faire l'analyse de risque et prendre les mesures adéquates en amont » insiste Nacira Salvan. Cela passe par l'authentification forte. Mais tous les moyens de sécurité, pour être mis en oeuvre, supposent une adhésion des utilisateurs faute de quoi ceux-ci chercheront un moyen de les contourner. Nacira Salvan reconnaît : « la conduite du changement est nécessaire mais on ne peut pas non plus demander à des top managers de recopier un mot de passe à usage unique donné par une application pour se connecter à un VPN avant de s'authentifier une deuxième fois pour accéder à tel système, etc. » L'accès doit être simple et sécurisé. Safran a donc choisi des solutions du marché qui sécurisent le poste de manière simple. Safran sait donc à chaque connexion quel terminal se connecte, avec quel utilisateur et dans quel contexte (dans ou hors des murs de l'entreprise par exemple). Et les droits du terminal (y compris la connexion Internet) seront strictement limités en fonction de ce contexte. Dans certains pays, le contexte implique, même dans les murs de Safran, des mesures particulières et le blocage de certains droits d'accès au système central.
Techniquement, le BYOD ou les terminaux mobiles d'entreprises peuvent être suffisamment sécurisés. « Mais sur le BYOD, la question est juridique : un outil de sécurité de l'entreprise pourrait-il détruire des données personnelles de l'utilisateur ? » soulève Nacira Salvan.

PublicitéSécuriser les données associées aux véhicules connectés

Les droits d'accès et la sécurité doivent être particulièrement bien gérés lorsqu'il s'agit d'un véhicule automobile. En effet, cet objet connecté a comme particularité de pouvoir révéler tous les déplacements opérés grâce à lui, donc potentiellement tous les déplacements de ses chauffeurs successifs. « Pour Autolib, la question de la sécurité a été traitée dès le départ » rassure Sylvain Géron.
Polyconseil a reçu la mission de concevoir le système d'information d'Autolib à Paris en février 2011 pour une ouverture commerciale en décembre de la même année. Même si la sécurité n'est pas la première pensée que l'on a quand on doit mener un tel projet en dix mois, l'architecture a été conçue pour être sécurisée dès le départ. Sylvain Géron se souvient : « nous avons notamment rapidement pris contact avec la CNIL pour savoir comment nous devions traiter les données personnelles. Celles-ci ont ainsi été totalement séparées des données de trajet dans l'architecture même du système d'information. » Et la sécurité même du véhicule a fait l'objet d'une grande attention. Ainsi, aucun dispositif ne peut commander à distance le véhicule, y compris pour le stopper ou, au contraire, désactiver les freins. « C'est physiquement impossible » martèle Sylvain Géron.
Mais il existe aussi des risques plus classiques qui prennent une dimension particulière dans ce genre de projets. « Lors du lancement, un constructeur automobile allemand a tenté de pénétrer le système, ce qui nous a amené à réfléchir de nouveau à la manière de renforcer la sécurité » rappelle Sylvain Géron. Un RSSI permanent a été embauché. L'analyse des risques a été reprise en totalité. Un audit complet a été mis en oeuvre avec, notamment des tests d'intrusion. « Même s'il y a quelques petites choses à corriger, l'audit s'est plutôt bien passé et a conclu que nous avions bien travaillé » indique Sylvain Géron.

Séparer les données pour les sécuriser

Mais nul ne peut se prévaloir d'être toujours à l'abri. Pour éviter qu'un éventuel piratage n'ait rapidement des conséquences trop importantes, les bases de données avec les informations sur les clients et celles avec les informations sur les véhicules et leurs déplacements sont totalement séparées. Rapprocher les données -pour la facturation par exemple- suppose de faire partie du très petit nombre de personnes qui ont une vraie raison pour cela. Sylvain Géron insiste : « même pour répondre à une sollicitation de la police, il est physiquement impossible de suivre en temps réel une personne, le suivi ne pourra qu'être a posteriori. »
Assez curieusement, aucun client n'a jamais posé de questions sur la sécurité d'Autolib. « Mais si nous avions eu un incident grave, parions que cela serait devenu un sujet pour nos clients » reconnaît Sylvain Géron. Nacira Salvan soupire : « il faut qu'il y ait un gros problème pour que l'on prenne conscience des risques, dans tous les domaines, y compris pour les objets grand public comme les montres connectées. Acceptera-t-on demain d'avoir un capteur de glycémie qui incitera son assureur à augmenter le montant de sa police d'assurance en cas de diabète ? »

Les anciens systèmes connectés sans précautions

Si Autolib -système récent- a été conçu dès l'origine comme très sécurisé, ce n'est pas le cas de systèmes plus anciens. Nacira Salvan a notamment travaillé sur les systèmes industriels (de type SCADA) qui ont été conçus initialement pour être totalement séparés du réseau général de l'entreprise et d'Internet. Elle a ainsi traité une analyse de risques de systèmes industriels en milieu très contraint dans l'industrie nucléaire. « En tel cas, une analyse de type Ebios, avec probabilité et impact, n'a pas de sens : même un risque très improbable doit être traité car sa réalisation déclencherait une catastrophe majeure, éventuellement de type Tchernobyl » explique Nacira Salvan. En l'occurrence, il s'agissait de permettre une supervision de capteurs physiques, la transmission des données s'opérant à travers le réseau informatique de l'établissement.
Nacira Salvan pointe : « la prise de conscience des risques encourus par les systèmes Scada date de l'affaire Stuxnet où un malware a détruit des systèmes industriels iraniens à partir de la contamination par une clé USB. » Conçus pour ne pas être connectés, les systèmes Scada sont souvent vulnérables à pratiquement tous les niveaux, même sur des basiques comme le mot de passe. « Vous pouvez déclencher de nombreuses morts en modifiant la quantité de chlore injectée dans l'eau courante d'une ville, vous pouvez faire exploser une centrale nucléaire en piratant les capteurs de température » s'alarme Nacira Salvan.
La sécurité concerne bien sûr les données sortantes des objets connectés, celles qui vont être utilisées pour le pilotage d'une usine ou d'un installation de type industrielle. Récupérer de telles données peut avoir du sens : connaître le rythme d'une chaîne de montage, par exemple, peut donner beaucoup d'informations sur l'activité d'une entreprise. Sylvain Géron observe : « la première faille est toujours humaine, comme nous l'a rappelé l'affaire Snowden où des données très sensibles ont été sorties manuellement. » Face à ces risques, tous les salariés d'Autolib reçoivent régulièrement des rappels de sécurité.
Mais on peut aussi imaginer un piratage crapuleux visant à altérer des données entrantes, par exemple pour déclencher une autodestruction d'une coûteuse chaîne de production lors d'un chantage avec extorsion de fonds. Est-ce vraiment de la science-fiction ? « Chez nous, la menace ne serait pas pertinente car notre architecture interdit un danger trop important pour les véhicules, même si nous avons eu des tentatives d'intrusion » explique Sylvain Géron. Mais la question reste ouverte concernant des systèmes Scada...

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis