Tout le monde est un gardien du cyberespace

Pourquoi les risques de sécurité augmentent-ils de manière exponentielle ?

Le nombre croissant d’appareils connectés dans le monde, de 20 à 30 milliards d’ici 2020, génère toujours plus de données ayant de la valeur pour les cybercriminels. En outre, le nombre de points d’accès (c’est-à-dire de points vulnérables) au sein d’un réseau d’entreprise peut aujourd’hui atteindre des millions, souvent avec des appareils obsolètes et peu ou pas protégés. De plus, la responsabilité de l’entreprise ne s’arrête pas à la vente d’un produit, mais se poursuit tout au long de son cycle de vie.

Dans le passé, le contrat entre une entreprise et son client ou produit prenait fin après une période de garantie, par exemple. Aujourd’hui, les entreprises génèrent en permanence des données issues de leurs produits et services et traitent de l’information. Par ailleurs, la nature des objets connectés implique que les incidents ne menacent pas seulement la confidentialité des clients ou des entreprises. Les cyberattaques peuvent même provoquer des problèmes de santé, par exemple en ce qui concerne les pacemakers.

Sommes-nous en retard ?

Dans de nombreuses entreprises, l’idée prévaut – à tort – qu’il est encore trop tôt pour prendre des mesures concernant les risques de sécurité liés à l’IoT. En outre, il existe souvent une grande incertitude quant aux responsabilités : si vous distribuez un produit fabriqué par votre fournisseur – souvent dans un autre pays – êtes-vous responsable de la cybersécurité ou est-ce lui ? Et si votre entreprise est responsable, quel service doit s’en charger ? Le service informatique ? Le service client ? Ou est-ce une question commerciale ?

La cybersécurité dans votre modèle d’affaires

Les fonctionnalités IoT sont désormais un facteur déterminant au niveau des produits et impactent l’ensemble de votre modèle économique. À l’avenir, cela ne sera considéré comme un avantage que si les aspects de cybersécurité associés sont également maîtrisés.

Voici quelques pistes pour développer une approche complète de la sécurité IoT :

Il est important d’évaluer correctement la pertinence de la sécurité IoT et d’identifier à l’avance les principaux risques. Il est donc judicieux de cartographier les scénarios d’attaque les plus probables. Ces informations peuvent ensuite servir de base pour développer une stratégie. Il faut également garder à l’esprit qu’une réponse non professionnelle à une attaque peut causer plus de dommages que l’attaque elle-même. Les entreprises victimes d’un problème de sécurité IoT ont tout intérêt à communiquer rapidement, ouvertement et de manière transparente.

Un niveau minimum de sécurité IoT est évidemment nécessaire dans tous les services de l’entreprise. Mais des accords clairs doivent être établis concernant les responsabilités en matière de cybersécurité tout au long de la chaîne de valeur des produits et services. Il est préférable d’organiser des discussions stratégiques sur le matériel, les logiciels, l’infrastructure réseau et les applications (interfaces, accès clients) avec toutes les parties prenantes, des fournisseurs aux clients.

La sécurité commence par une culture et des compétences techniques adaptées. Les spécialistes de la sécurité au sein de l’entreprise doivent être informés du travail des développeurs produits, de la production, etc. En parallèle, les spécialistes de la production doivent avoir une compréhension des enjeux de sécurité informatique. Il s’agit de briser les silos et de mettre en place une stratégie transversale.

Faits :

• Les organisations qui utilisent le cloud ou l’Internet des objets (IoT) constatent un meilleur retour sur investissement grâce à leur cybersécurité.
• Les utilisateurs de l’IoT rapportent une augmentation de 24 % des bénéfices financiers grâce à une cybersécurité renforcée, notamment en matière d’agilité business.

Source : « Cybersecurity: The Innovation Accelerator », rapport sur la cybersécurité de Vodafone