Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité

janvier 2019 par Marc Jacob

A l’occasion de l’édition 2019 du FIC, Red Alert Labs présentera un cadre d’assurance de sécurité IoT adaptable aux marchés verticaux (Grand Public, Entreprise, Industriel et Critique) avec des processus de certification conformes aux exigences du « Cybersecurity Act » couvrant les 3 niveaux de sécurité (Elémentaire, Substantiel, et Elevé). Pour Roland Atoui, Managing Director et Ayman Khalil, VP Cybersécurity & Managing Partner de Red Alert Labs, l’Internet des objets est la tendance aujourd’hui, mais avant de déployer des solutions IoT, les organisations doivent investir dans la sécurité afin de se protéger et protéger leurs clients.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Roland Atoui et Ayman Khalil : La Commission européenne, le Parlement européen et le Conseil de l’Union européenne sont parvenus à un accord en fin d’année 2018 sur la proposition de règlement « Cybersecurtiy Act ». Cette nouvelle règlementation vise à améliorer la cyber-résilience et la réactivité de l’UE en s’appuyant sur les instruments existants qui assurent la sécurité des réseaux et des systèmes d’information.

Cet accord introduit un cadre de certification de cybersécurité à l’échelle de l’UE pour les services et les produits ICT.
Le cadre européen de certification en cybersécurité pourrait aider à créer un marché unique pour la cybersécurité dans l’UE.

En même temps, plus de 50 milliards d’appareils IoT seront disponibles en 2020 dans tous les secteurs, y compris l’automobile, l’éducation, les appareils ménagers, l’électronique grand public, les banques, le médical, la fabrication, etc. Il n’est donc pas surprenant que les fabricants des objets connectés se lancent dans une course contre la montre pour créer des produits IoT destinés aux consommateurs, aux entreprises et aux gouvernements.

Cependant, le développement et la mise en œuvre des objets connectés dans un écosystème « sauvage » qu’est l’IoT sont tout sauf une zone sans risque de failles de sécurité.

Compte tenu du cycle de vie rapide des objets/solutions connectés et de la nature flexible des opérations commerciales, Red Alert Labs a créé un cadre d’assurance de sécurité IoT adaptable aux marchés verticaux (Grand Public, Entreprise, Industriel et Critique) avec des processus de certification conformes aux exigences du « Cybersecurity Act » couvrant les 3 niveaux de sécurité (Elémentaire, Substantiel, et Elevé).

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Roland Atoui et Ayman Khalil : Voici quelques-unes des préoccupations les plus importantes :

Manque d’experts en sécurité
La majorité des organisations ont une pénurie d’experts en sécurité spécialisés dans leurs domaines de métier, ce qui constitue un défi majeur pour incorporer la sécurité lors de la conception.

Incapacité à quantifier l’impact
La plupart des organisations sont incapables de calculer les impacts financiers ou les risques qu’elles ne prennent en n’ayant pas pensé aux mesures de sécurité à mettre en place.

Conformité, Réglementation, Confiance & TTM
Toutes les organisations ont défini des priorités pour se concentrer sur leur propre valeur marchande et perd trop de temps à penser la sécurité, essayant de respecter les exigences de sécurité et les réglementations définies pour chaque secteur. Ils échouent souvent à respecter les délais de commercialisation (TTM) ou à gagner la confiance de leurs clients

Coût, Motivation et Sensibilisation
Les consommateurs préfèrent toujours les fonctionnalités d’utilisation aux fonctionnalités de sécurité d’un produit connecté, ce qui signifie qu’il n’y a aucune incitation à dépenser de l’argent supplémentaire pour des produits sécurisés. Une grande partie des produits ICT ne peut pas supporter des coûts de développement de sécurité élevés pour cette raison.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Roland Atoui et Ayman Khalil : Voici nos conseils :

1. Adopter un cycle de vie de développement logiciel sécurisé tout en intégrant le critère d’assurance ou de confiance (S-A-DLC – Security Assurance Development Life-Cycle)

Cela implique d’intégrer la sécurité dans les produits ou solutions dès la conception. Cela doit inclure également un cadre d’évaluation de sécurité tout au long du cycle de vie.

2. S’engager dans la « privacy by design »

Il s’agit d’une approche de l’ingénierie des systèmes qui prend en compte la confidentialité dans l’ensemble du processus d’ingénierie. Ce concept est un exemple de conception sensible à la valeur. Le processus comprend la réalisation d’évaluations d’impact sur la vie privée (PIA), un outil d’identification et d’évaluation des risques pour la vie privée tout au long du cycle de vie du développement d’un système. Les PIA aident à concevoir des processus d’une manière plus efficace pour protéger les données personnelles. Cette action contribuera également au respect du règlement général sur la protection des données (GDPR).

3. Suivre les meilleures pratiques / ou développer des normes sécurisées internes

La nécessité de normaliser les tâches principales courantes est devenue cruciale. Bien que la normalisation des processus dans des nouveaux domaines comme l’IoT en soit encore à ses balbutiements, les fabricants devraient suivre strictement les meilleures pratiques générales ou développer des normes sécurisées en interne.

Il ne vous appartient donc pas de décider si quelqu’un serait intéressé de voler vos données ou de compromettre votre technologie, mais votre devoir serait de décider maintenant de les protéger tout en protégeant vous-même

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Roland Atoui et Ayman Khalil : L’importance de respecter ces règles est devenue cruciale pour un dirigeant d’entreprise engagé sur le terrain, car les amendes prévues dans le RPGD se comptent par milliers et peuvent réellement nuire à son entreprise. De plus, avec un certain nombre de problèmes de cybersécurité déjà en jeu dans tous les secteurs, ces nouvelles réglementations donneront peut-être l’impulsion nécessaire pour apporter davantage de transparence.

En tout cas la plupart des entreprises commencent à penser différemment à ce sujet, mais très peu d’entre elles ont essayé vraiment de transformer la préparation du GDPR en une opportunité d’apporter une valeur ajoutée à leur entreprise. Il ne s’agit pas simplement d’un coût à ajouter, mais d’une opportunité de tirer parti de la « privacy by design » pour renforcer la confiance au sein de leur organisation.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Roland Atoui et Ayman Khalil : L’année 2018 a été riche en nouvelles sur la cybersécurité et celles-ci n’ont pas été toutes bonnes. Avec la multitude des attaques très médiatisées et de rapports des objets connectés utilisés pour mener des attaques DDoS et de cybercriminels de plus en plus audacieux ; c’est une année difficile pour la cybersécurité. Certaines de ces tendances devraient également se poursuivre tout au long de la nouvelle année. Jetons un coup d’œil à nos prévisions et à notre connaissance de la sécurité de l’IoT à la fin de l’année.

Améliorer la réglementation autour de l’IoT

L’un des problèmes inhérents à l’IoT est la lenteur avec laquelle de nouvelles réglementations modernes régissent ce domaine. L’état naturel de l’industrie évolue rapidement et évolue à un rythme rapide, et la règle doit être suivie. Le respect de la réglementation et des certifications existantes est certes substantiel, mais si les cybercriminels sont en avance sur le match, nous risquons de nous trouver dans une situation où se conformer ne crée qu’un faux sentiment de sécurité.

Sécurité par conception

Avec l’utilisation accrue des objets connectés, il est plus crucial que jamais de les rendre « secure by design ». L’instauration de la confiance dans les objets connectés constituera l’une des principales missions de l’avenir, pour tous ceux qui travaillent dans le secteur de l’internet des objets. Et ce sera une exigence pour l’avenir, compte tenu de la vaste gamme de menaces à la cybersécurité auxquelles nous sommes susceptibles de faire face.

Objets connectés grand public comme cible

Il est prudent de prévoir que nos produits high-techs deviendront plus intelligents et plus connectés au cours de la prochaine année et, compte tenu du nombre de fonctionnalités utiles qu’ils peuvent offrir, davantage de personnes s’intéresseront aux nouvelles technologies. En conséquence, les téléviseurs intelligents, les réfrigérateurs, les jouets et d’autres articles personnels pourraient être plus largement ciblés. Le « Ransomware » est susceptible de devenir un type d’attaque plus commun, verrouillant ces appareils et nécessitant des frais pour les déverrouiller.

Assurance Cybersécurité

Les brèches de haut niveau ont fait la une de l’année 2018 et les entreprises touchées ont subi des pertes énormes en raison de leurs défaillances en matière de cybersécurité. Voyant ce qui s’est passé, il est probable que la majorité des entreprises ont enfin compris que leur stratégie de risque opérationnel devait impliquer une assurance cybersécurité. Nous pouvons également nous attendre à ce que ce type d’assurance évolue pour offrir une meilleure couverture aux entreprises qui ne l’ont pas encore.

Des attaquants plus intelligents

Malheureusement, les cybercriminels ont souvent une longueur d’avance sur les mesures de cybersécurité établies, en particulier dans la zone de l’Internet des objets. Nous pouvons nous attendre à ce que cette tendance se maintienne et que les attaquants proposent de nouveaux moyens de mettre en danger nos appareils intelligents et les systèmes via lesquels ils se connectent. Les nouveaux types de ransomware, les attaques de botnet, ainsi que les stratégies plus grandes et plus audacieuses vont probablement jouer un rôle important dans la manière dont cette année se déroulera la cybersécurité.

GS Mag : Quel est votre message à nos lecteurs ?

Roland Atoui et Ayman Khalil : L’IoT a la capacité de transformer tous les secteurs du marché, mais les organisations doivent se présenter avec confiance, adopter les nouvelles technologies et en tirer parti des avantages. L’Internet des objets est la tendance aujourd’hui, mais avant de déployer des solutions IoT, les organisations doivent investir dans la sécurité afin de se protéger et protéger leurs clients.

Les organisations doivent décider dès maintenant si elles veulent prendre du retard en refusant d’intégrer l’IoT ou d’ajouter une couche de sécurité supplémentaire à l’ensemble de leurs solutions, de maintenir la confiance des clients et d’augmenter leur satisfaction.

- Pour tout renseignement : email : contact@redalertlabs.com


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants