Je suis enchantée d'accueillir Craig Spiezle, directeur exécutif et président de l'Online Trust Alliance (OTA), pour le billet du jour sur notre blog. L'OTA est connue pour ses initiatives dans le domaine de la sécurité en ligne, notamment pour la Journée de la confidentialité et de la protection des données (Data Privacy and Protection Day) ainsi que l'Audit et le tableau d'honneur de la confiance en ligne (Online Trust Audit and Honor Roll) annuels. L'OTA a par ailleurs annoncé plus tôt dans l'année vouloir étendre son champ d'action à l'Internet des Objets (IoT).
L'objectif de l'Alliance de confiance pour l'Internet des objets (OTA) est de développer un référentiel de confiance pour la sécurité, la confidentialité et la durabilité des appareils IoT dans le but d'y adosser un éventuel programme de certification pour les appareils IoT et leurs fabricants. Ce référentiel concerne en priorité la domotique et les technologies appliquées aux vêtements intelligents et aux produits forme et bien-être. Pour sa mise en place, l'OTA a constitué un groupe de travail composé de leaders sectoriels. L'Alliance organise également plusieurs ateliers (dont le dernier s'est tenu le 16 juin 2015).
Miser sur la sécurité et la confidentialité à l'ère de l'IoT ? Cela semble dans nos cordes ! J'étais impatiente d'en savoir plus sur les initiatives de l'OTA et heureusement, Craig était prêt à m'en dire plus.
GlobalSign (GS) : Dans son référentiel IoT, comment l’OTA présentera-t-elle les principes ou les règles d’évaluation applicables à la sécurité des infrastructures des fournisseurs ?
Craig Spiezle (CS) : Nous n'en sommes qu'au début, mais nous devons aborder la sécurité (et la confidentialité) d'un point de vue global. Nous devons par exemple réfléchir à la manière dont les données sont stockées sur l'appareil et transmises vers une appli mobile puis le service Cloud. L'idée globale est la suivante : les données en transit doivent être chiffrées, les applis doivent être renforcées pour être à l'abri des exploits perpétrés contre les plateformes, l'appareil doit être protégé contre les tentatives d'espionnage et le backend doit adopter les bonnes pratiques classiques.
GS : Que pouvez-vous nous dire sur les fondements du référentiel IoT de l'OTA ?
CS : Nous nous appuyons sur trois fondements complémentaires que sont la confidentialité, la sécurité et la durabilité. La notion de durabilité englobe les questions liées au cycle de vie et qui dépassent le cadre de garantie habituel des produits. Cela concerne notamment les modalités d'application des correctifs. Ou alors ce qu'il advient en cas de dépôt de bilan de l'entreprise.
GS : Avec la concrétisation du rêve de l'IoT, quels sont les domaines qui doivent être le plus réglementés et cadrés ?
CS : Le développement de l'IoT laisse incontestablement transparaître des caractéristiques et des problématiques de sécurité spécifiques :
- Collecte et transferts de données caractérisés par leur aspect éminemment personnel, dynamique et persistant
- Dépendance vis-à-vis d'une combinaison d'appareils, d'applications, de plateformes et de services Cloud
- Multiplication des flux de données, des points de contact et des divulgations
- Problématiques liées aux notions de durabilité et de cycle de vie
- Manque de normes définies
Nous entendons définir les bonnes pratiques auxquelles les entreprises pourront volontairement adhérer. Sur le plan réglementaire, nous nous attendons à voir émerger un arsenal de législations concernant la collecte des données, les obligations d'information des clients et le contrôle de leurs données. Nous pourrions ainsi assister à l'évolution d'une logique d'opt-out vers un régime d'opt-in.
GS : À votre avis, comment les organisations doivent-elles envisager la sécurité lors de la création d'une solution IoT ?
CS : Elles doivent aborder simultanément la sécurité et la confidentialité. Elles étudieront dans un second temps le flux de données et les points de contact, et responsabiliseront leurs partenaires et fournisseurs de services.
Nous avons identifié ci-après quelques-unes des problématiques clés rencontrées par les entreprises qui font leurs premiers pas dans l'écosystème de l'IoT, et plus particulièrement celles qui opèrent sur le marché B2C :
- Qu'arrivera-t-il demain aux données que vous collectez et transmettez ? Il est possible qu'elles soient réutilisées sans que vous n'en soyez informé et avec des conséquences accidentelles.
- Compatibilité : le client a-t-il la possibilité de revenir à des versions ou correctifs antérieurs si l'appareil n'est plus compatible avec le réseau ou avec d'autres appareils connectés ?
- Quel serait l'impact, si tant est qu'il y en ait un, d'une modification de la politique de confidentialité des données sur les fonctionnalités principales du produit ?
- Si la durée de conservation d'un mobile est de deux ans, celle d'une porte de garage ou d'un thermostat excède parfois 15 ans. Quelle prise en charge est-on en droit d'attendre pour les correctifs de vulnérabilité ? Même hors cadre de garantie habituel pour les produits, quelles sont les conditions auxquelles le consommateur peut s'attendre ?
- Faites-vous appel à des installateurs ou des tiers ? Quelles actions et quels réglages effectuent-ils pour le compte du consommateur ?
- Comme dans le secteur des cartes bancaires (PCI), si vous traitez, touchez, stockez ou transférez des données de carte bancaire, vous devez respecter les principes de sécurité du PCI.
- Une solution d'antivirus est-elle prévue ? Comment empêcherez-vous que vos appareils soient compromis ?
- À l'heure où un nombre croissant de logements sont livrés avec le label « maison intelligente », quelles sont les implications sur la vente de tels logements ? Qui a accès aux données ? Quelle est la procédure de suppression et de réinitialisation des accès à la porte du garage, aux appareils intelligents et au thermostat ?
- Les consommateurs doivent prendre conscience des problématiques clés autour de leurs données. Que se passe-t-il s'ils cessent d'utiliser l'appareil ? Qu'arrive-t-il s'ils souhaitent changer de bracelet intelligent ? Les données peuvent-elles être « portées » ailleurs ? Sont-elles compatibles ? Peuvent-ils demander à ce que leurs données soient retirées et supprimées dès lors qu'ils ne sont plus clients ? Les informerez-vous en cas de violation ?
GS : Qu'est-ce que le secteur peut mettre en place pour aider les fournisseurs à intégrer d'emblée la sécurité et la confidentialité à leur écosystème IoT ?
CS : Un rapprochement est indispensable pour pouvoir définir et mettre en place des bonnes pratiques. Au vu du nombre d'acteurs non conventionnels qui font leur entrée sur ce marché, ce rapprochement est indispensable. Les nouveaux entrants (et les vétérans) sur ce secteur auraient tout à gagner d'un ensemble de standards et de recommandations transposables à plusieurs types d'appareils et d’environnements.
Nous tablons sur la pertinence de ces recommandations pour les acteurs de la distribution au moment d'évaluer les produits « intelligents » qu'ils souhaitent vendre et promouvoir. Un appareil IoT certifié par un organisme indépendant bénéficiera potentiellement d'une meilleure exposition qu'un appareil non conforme aux recommandations en vigueur. Les distributeurs ont voix au chapitre. Ils peuvent influer sur l'adoption des bonnes pratiques par les vendeurs et accélérer le mouvement.
Le manque de standards ou de recommandations établis peut constituer un obstacle de taille pour les organisations qui mettent en place des écosystèmes IoT. Comment sont-elles supposées savoir par où commencer ? Nous sommes ravis d'apprendre que l'OTA prend le problème à bras le corps et sommes impatients de découvrir le référentiel qui en résultera.
Vous souhaitez vous impliquer et aider l'OTA à définir les bonnes pratiques de l'IoT ? Leur groupe de travail accueille toutes les bonnes volontés ! Pour en savoir plus et remplir le formulaire, rendez-vous sur https://otalliance.org/IoT.