Objets connectés : la FTC appelle à plus de sécurité et de protection de la vie privée
Un rapport de commission américaine du commerce appelle les constructeurs d’objets connectés à faire preuve d’anticipation dans la création de contrôles de sécurité et de confidentialité.
Une nouvelle étude indique qu’un nombre croissant d’employés utilisent des objets connectés sur les réseaux d’entreprise. De son côté, la FTC, la commission américaine du commerce, s’inquiète du manque de contrôles de sécurité et de confidentialité dans la gestion de ces objets, intimant aux constructeurs de palier cette lacune.
Après avoir interrogé 700 professionnels de l’IT et décideurs aux Etats-Unis et Royaume-Uni, ainsi que 600 consommateurs travaillant à domicile, Tripwire a découvert que les objets connectés – imprimantes, téléviseurs intelligents, prêt-à-porter numérique et électroménager connecté – sont déjà sensiblement répandus. Selon Tripwire, un travailleur à domicile dispose ainsi déjà en moyenne de 11 appareils connectés. Et 25 % d’entre eux connectent au moins l’un de ces appareils à un réseau d’entreprise.
De leur côté, les organisations semblent résignées : 67 % des décideurs sondés estiment que les gains de productivité vont forcer l’adoption de plus d’objets connectés, malgré les risques potentiels.
Mais les RSSI semblent peu confiants dans leur capacité à circonscrire les risques de sécurité induits par les objets connectés. Seuls 37 % d’entre eux s’attendent à recevoir des budgets supplémentaires pour faire face à ces risques. Moins de la moitié des professionnels interrogés estiment que les objets connectés courants profiteront de configurations sécurisées. Et moins de 20 % sont confiants pour trouver une configuration sécurité sur les appareils les plus récents. Enfin 33 % des dirigeants américains ne pensent pas que la sécurité pourra rattraper le rythme de l’innovation.
La FTC prône une approche pragmatique
De son côté, la FTC a pris acte, dans un rapport, de l’importance croissante des objets connectés et des risques induits pour la sécurité et la vie privée. Et de formuler de nombreuses recommandations à l’adresse des constructeurs de ces objets, appelant à une meilleure auto-régulation de cette industrie.
En ce sens, la commission se concentre largement sur les questions relatives au risque d’accès non autorisé à des données personnelles, à ceux induits pour la sûreté des personnes et de leurs biens – à travers, notamment, la connaissance de leurs habitudes et déplacements.
Mais la FTC s’est également intéressée au risque d’attaques lancées à partir d’objets connectés compromis. De quoi appeler les constructeurs à mettre en œuvre les pratiques de sécurité de référence dans la conception de leurs appareils connectés, jusqu’à suivre l’intégralité de leur cycle de vie.
La FTC ne cache pas son inquiétude : « les entreprises entrant sur le marché de l’Internet des objets n’ont pas forcément d’expérience de la gestion de questions de sécurité. […] Dans certains cas, si une vulnérabilité est découverte après la fabrication, il peut être difficile, sinon impossible, de mettre à jour le logiciel embarqué et d’appliquer un correctif. Et si une mise à jour est disponible, de nombreux consommateurs n’en entendront jamais parler ».
Sans appeler à une législation spécifique à l’Internet des objets, la FTC encourage à l’adoption d’un cadre légal général sur la sécurité des données. Qui n’est d’ailleurs pas sans rappeler le projet de loi sur la protection du consommateur que Barack Obama a récemment présenté.
Adapté de l’anglais par la rédaction.
Pour approfondir sur Internet des objets (IoT)
-
Log4Shell : les autorités américaines mettent les entreprises face à leurs responsabilités
-
Les vulnérabilités URGENT/11 affectent des millions d’appareils utilisant VxWorks
-
ForeScout renforce ses activités ICS/Scada avec le rachat de SecurityMatters
-
Brèches de sécurité sur Facebook : un incident aux vastes répercussions