Conférence CyberCercle : cybersécurité et objets connectés

Filtrer par catégorie :

01 Juillet 2016 by Julia Juvigny
Julia Juvigny

Face aux multiples enjeux sécuritaires de l'Internet des objets, le CyberCercle a organisé le jeudi 16 juin 2016 à l’Ecole Militaire, une conférence sur la « Cybersécurité et objets connectés ». Animée par Laure de La Raudière, députée d’Eure-et-Loire, secrétaire de la commission des Affaires économiques, co-rapporteur du rapport parlementaire à venir sur l'IoT, cette matinale a vu se succéder quatre spécialistes sur la sécurité des objets connectés dans des secteurs d'activités variés.


 

Préambule

Laure de la Raudière, députée d'Eure-et-Loire

L’Internet des objets, ce n’est pas simplement une révolution industrielle, c’est une mutation de société, profonde, comme il y en a peu dans l’Histoire1. Cette mutation de société est la conséquence de l’arrivée simultanée de trois technologies numériques : Internet, qui représente une véritable démocratisation du savoir, comme au temps de la Renaissance, période faste d’innovation (Imprimerie de Gutenberg)2 ; les technologies d’intelligence artificielle, qui traitent de grands volumes de données récoltées par nos capteurs, et qui permettent de faire de la prédiction de comportement, en particulier dans le domaine industriel; et enfin, la blockchain, qui va provoquer son lot de mutations : des milliers de registres publics physiques pourraient en effet être remplacés par une certification sur un registre distribué.

Le développement des objets connectés introduit un changement de paradigme

Aujourd’hui, la maturité des algorithmes d’intelligence artificielle donne à l’Internet des objets, un champ gigantesque d’applications. Nos smartphones proposent par exemple des services très variés, de la réservation en ligne de billets de train, à la lecture en temps réel de nos emails, mais ils récupèrent également l’ensemble des données de nos comportements, récoltées via des applications. La machine peut prendre des décisions à notre place si nous le souhaitons. On assiste ainsi à un changement de paradigme dont les objets connectés sont le fer de lance : l’homme ne contrôle plus la machine, comme au temps de la Révolution industrielle3, mais ce sont les algorithmes d’intelligence artificielle qui prennent des décisions à la place de l’homme.

Une sécurité mal implémentée voire inexistante.

La cybersécurité de l’Internet des objets est une priorité majeure face à la mauvaise implémentation de protocoles et des mécanismes de sécurité. Cette défaillance sécuritaire se voit décuplée avec l’arrivée massive de nouveaux objets connectés dans notre vie quotidienne (drones, capteurs d’activité, balances, ampoules, lunettes, voitures, etc). Les récents exemples de piratage, attestent de la nécessité de mettre en place de nouvelles mesures de sécurité, et une réglementation adaptée à l’écosystème des objets connectés.
 

Conférence N°1 - Droit, cybersécurité et objets connectés

Maître François Coupez, Avocat à la Cour, Cabinet ATIPIC Avocats

Plus les objets intelligents se développent, plus la question de leur régulation se pose. En effet, les objets connectés ne peuvent être commercialisés, hébergés ou utilisés sans s'assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. De nombreuses lois et règlements peuvent déjà être appliqués au domaine de l’Internet des objets, sans pour autant les viser strictement. Par exemple, la loi informatique et libertés (1978) et la loi Godfrain (1988).

Les articles 6 et 7 de la loi informatique et libertés insistent sur le fait que la collecte, le traitement et le stockage des données à caractère personnel doivent avoir le consentement des personnes concernées. De plus, l’article 34 de la loi Informatique et Libertés oblige d’assurer la sécurité des données. Une autre loi a servi de canevas à la nouvelle réglementation européenne sur la protection des données personnelles, la loi Godfrain du 5 janvier 1988. Relative à la fraude automatique, la loi Godfrain est la première loi française réprimant les actes de criminalité informatique et de piratage. Cette loi introduit la notion de système de traitement automatisé de données (STAD) et peut donc s’appliquer au champ des objets connectés.

Le 14 avril dernier, le Parlement européen a adopté le Règlement européen sur la protection des données à caractère personnel (RGPD). Ce texte unique vise à harmoniser les règles de protection des données personnelles. Ce règlement remplace l’actuelle directive 95/46/CE du 24 octobre 1995. En cas de fraude contre un objet connecté, le RGPD stipule que la responsabilité peut également être celle du sous-traitant (notion d’accountability) au titre de la conformité légale des traitements dont il assure la mise en œuvre (obligation d’un contrat ou tout acte juridique opposable, désignation d’un délégué…). Par ailleurs, cette nouvelle réglementation met en exergue la nécessité de conserver toute trace documentaire, en cas de fraude informatique (notion de traçabilité des données). Ce texte sera appliqué dès le 25 mai 2018.

En termes de sanctions, le projet de loi numérique (adopté en mai 2016 par le Parlement français) augmente le niveau des sanctions financières que peut prendre la Commission nationale de l'informatique et des libertés (CNIL), qui constate, de la part d'une entreprise, un manquement à la protection des données personnelles des consommateurs. Au cours des trente derniers mois, 20 sanctions publiques de la CNIL ont été distribuées. On retiendra la sanction à l’encontre de la société DHL, pour avoir laissé en libre accès sur la toile plus de 680 000 données clients.
 

Conférence N°2 - Transports intelligents et sécurité

Colonel Franck Marescal, Chef de l’Observatoire Central des Systèmes des Transports intelligents, Gendarmerie Nationale

Si la démocratisation des voitures connectées peut aboutir à moyen terme au renforcement de la sécurité routière et à une meilleure prise en charge en cas d’accident de voiture, (à partir du 1er avril 2018, tous les véhicules qui sortiront de l’usine seront équipés du « e-call », un système qui permettra d'alerter, manuellement ou automatiquement les services de secours en cas d'accident), l’ajout d’algorithmes d’intelligence artificielle dans nos véhicules n’est pas sans risque. Récemment, un hacker a réussi à pirater l’application NissanConnect EV, qui permet de contrôler à distance certaines fonctionnalités. Il suffit de récupérer le numéro d’identifiant de la voiture, qui se trouve sur le pare-brise et qui est visible de l’intérieur.

Les menaces contre les voitures connectées sont en effet protéiformes : technique d’intimidation des criminels passant par la prise de contrôle d’un véhicule; attaque DDOS applicable à un véhicule (les systèmes d’aide à la conduite ne fonctionneront plus); attaque terroriste (utiliser le véhicule comme arme par destination), vol de véhicule via le mousejacking; accès à des informations sensibles sur le véhicule via les prises OBD « diagnostique – garagiste ». Pour contrer ces menaces, plusieurs grands organismes ont lancé des alertes afin de sensibiliser les consommateurs et les constructeurs. Le 17 mars 2016, le FBI a publié un bulletin d’alerte sur la prise de contrôle à distance d’un véhicule et donc l’augmentation des vulnérabilités. En avril 2016, les ministres européens des transports ont lancé un appel à la communauté européenne dans le but de sécuriser les transports et en particulier les véhicules de particuliers.

Le colonel Franck Marescal a énuméré une liste de principes clés pour renforcer la sécurité des voitures connectées : la mise en place au sein de l’entreprise d’un processus prenant en compte la résilience et la sécurité dès le début du véhicule (principe du security by design); la réalisation de guide de bonnes pratiques ou des standards afin de renforcer la sécurité des voitures connectées, tels que l’ENISA, avec son guide de recommandations dans le secteur des transports intelligents ; le développement de groupes de travail, comme SystemX, qui propose un nouveau projet pour améliorer la sécurité dans les transports; la détection en temps réel et l’enregistrement des tentatives d’intrusion pour une réaliser une analyse inforensique ultérieure si nécessaire; et enfin, le partage de l’information recueillie sur des éventuelles tentatives de piratage dans un CERT dédié. L’industrie automobile américaine vient de créer à Washington un « auto ISAC » (Automotive Information Sharing & Analytics Center) au même titre que l’aviation ISAC qui joue ce rôle.
 

Conférence N°3 - Sécurité et Internet des objets dans l’univers de la santé – Premiers constats et pistes d’étude

Philippe Loudenot, FSSI, Ministère des Affaires sociales, de la Santé et des Droits des femmes

L’Internet des objets n’est pas nouveau dans le domaine de la santé. Les pacemakers, pompes à insulines et seringues connectées existaient déjà auparavant. Ce qui est nouveau en revanche, c’est le changement sociétal. Aujourd’hui le patient est acteur de sa propre santé, notamment via les applications de santé sur leurs smartphones et la télémédecine. En décembre 2015, près de 100 000 trackers d’activité ont été vendus, dont 50% en Ile-de-France.

Comment se protéger contre ces cyberattaques ? Face à l’absence de normes et une réglementation peu adéquate avec l’écosystème actuel des objets connectés, il faut envisager une réponse commune, en France et à l’international. En France, plusieurs initiatives ont vu le jour, dont l’objectif est d’élever le niveau de maturité IT des établissements de santé : Programme Hôpital Numérique, Association pour la promotion de la sécurité des systèmes d’information de santé, référentiels de l’ASIP Santé, l’ENISA et l’ANSSI.

L’article 22 de la LPM promeut également la protection des systèmes d’information d’importance vitale (SIIV), qui passe par un contrôle régulier de leur SI, la notification des incidents à l’ANSSI et l’application de règles de sécurité strictes. La LMP est confortée par la loi de santé, Art. L 1111-8-2, qui ordonne aux établissements de santé, de déclarer sans délai, les incidents graves de sécurité de leur SI auprès de l’agence régionale de santé.

Au niveau européen, la protection des données à caractère personnel est couverte par deux directives principales: la directive sur la protection des données (directive 95/46/CE) et la directive relative à la vie privée et aux communications électroniques (2002/58/EC). Par ailleurs, le 14 avril 2016, un nouveau règlement sur la protection des données personnelles a été adopté par le Parlement européen. Outre la sécurisation des réseaux et des Cloud, l’un des axes majeurs du renforcement de la sécurité de nos appareils médicalisés intelligents, repose sur la sécurisation des terminaux « ouverts ». Par terminaux ouverts, on entendra les smartphones, montres connectées, ou tout autre capteur d’activité qui récupère nos données médicales.
 

Conférence N°4. Assurances et objets connectés : quels enjeux de responsabilité ?

Kresnik Musaraj, Manager R&D Cybersecurity, AXA

Dans les prochaines années le nombre d’objets connectés explosera sur le marché. Mais quel est le sens réel de cette expansion ? Outre leur croissance exponentielle, les objets connectés acquièrent de nouvelles fonctionnalités. « C’est cette richesse des fonctionnalités des objets connectés qui impactent très lourdement les assurances » affirme Kresnik Musaraj. Par conséquence, on assiste à une dématérialisation de l’assurance.

Les objets connectés ont apporté une connectivité à des objets qui étaient autrefois passifs, ce qui les rend d’autant plus difficile à assurer (maison, voiture connectée). Les assureurs proposent des cyber-assurances face à l’évolution constante des nouvelles technologies. Demain, l’assureur pourra demander à ses clients si sa maison est connectée. Il pourra envisager de changer la prime d’assurance en fonction de l’opérateur de sécurité qui vous a fourni l’équipement. En cas de cambriolage qui prendra en charge les réparations? Finalement le voleur n’est même pas rentré par effraction physique au sein du domicile, il a juste piraté la serrure connectée en lui donnant l’ordre de se déverrouiller….

La principale cible des criminels restent les données de nos objets connectés. Ces données peuvent être usurpées, dénaturées, « libérées au profit de la transformation numérique »4. La donnée privée, générée par de multiples équipements, est d’abord collectée par les constructeurs, qui possèdent les technologies nécessaires à ce processus. Néanmoins, cette collecte de données doit être garantie par des mesures d’authenticité et de chiffrement. La protection des données pour les assureurs, est le socle fondamental qui permet d’avoir la confiance de leurs clients, car « l’objet connecté à protéger au final, c’est l’humain ».
 

Conclusion

Les données personnelles étaient le thème central de ces différentes présentations. La démocratisation de l’accès à nos données personnelles entraîne une perte de contrôle et d’autonomie de notre vie privée. En effet, l’accès à nos données est source de vulnérabilités : clés WiFi qui peuvent faciliter le cambriolage de maisons connectées, accès aux dossiers patients, données sensibles sur des infrastructures critiques, etc. S’il existe déjà un cadre législatif qui punit sévèrement les actes mentionnés précédemment, la communauté européenne doit réfléchir à la mise en place d’une cyberpolice européenne, spécialisée sur le vol de données sensibles. A ce titre, la détection en temps réel et l’enregistrement des tentatives d’intrusion contre des objets connectés et la réalisation d’une analyse inforensique ultérieure est un bon moyen de répondre aux cybermenaces qui touchent cet écosystème en pleine mutation. Cette bataille contre des adversaires dématérialisés et des menaces asymétriques requiert également de faire porter des obligations légales sur les constructeurs en matière de processus de sécurisation de leurs logiciels, en particulier pour les firmwares.