Security by design : une approche recommandée pour les objets connectés
Les objets connectés ne cessent de s'imposer dans notre vie quotidienne mais ils sont aussi en proie à de nombreuses menaces de cybersécurité. Focus sur le security and privacy by design : quel enjeu de sécurité pour l'IoT à l'ère du big data ?
Qu'est-ce que la security by design ?
Les objets connectés doivent garantir la sécurité des données qu'ils récoltent et envoient dans le cloud. Pour cela, les processus de sécurité doivent être pensés dès la conception même de l'objet. C'est ce que l'on appelle la security by design.
Qu'est-ce que la privacy by design ?
La sécurité liée à l'utilisation d'un objet connecté est composée de deux notions : d'une part, le "security by design" qui consiste pour le constructeur à inclure la notion de risque dans son projet dès la phase de conception. C'est donc un travail d'identification des vulnérabilités de l'objet lui-même. D'autre part, le "privacy by design" fait référence à la protection des données personnelles des utilisateurs. Ce sont des normes éthiques concernant l'environnement autour de l'objet qui permettent le stockage et le partage de la data à des tiers.
RGPD, lois, normes : quelles réglementations pour l'IoT en France ?
- Le règlement général sur la protection des données (RGPD) est un texte de référence européen entré en application le 25 mai 2018. C'est un dispositif qui permet d'encadrer la collecte et le traitement des données personnelles sur tout le territoire de l'Union européenne. Le RGPD impose aux fabricants le privacy by design, la traçabilité des données et la rédaction de "cahiers de développement" pour réfléchir sur l'impact que pourrait avoir le traitement de la data sur la vie privée des utilisateurs.
- La norme européenne EN 303 645 définit 13 exigences de cybersécurité pour la fabrication de produits IoT grand public sécurisés (lire notre article L'industrie s'empare de la première norme européenne pour sécuriser l'IoT grand public).
- L'Assemblée nationale a adopté le 18 janvier 2022 en première lecture la simplification du contrôle parental sur les objets connectés (pour les montres connectées principalement, les objets domotiques ne sont pas concernés, ndlr). Le texte veut obliger les fabricants d'appareils connectés à inclure un contrôle parental gratuit et facile d'utilisation.