Nous disposons aujourd’hui de suffisamment de connaissances sur les faiblesses de nos systèmes IoT et sur les solutions proposées pour y remédier. Cependant, la plupart de ces solutions ont des implications politiques plus vastes que nous devons prendre en compte avant de tenter de les mettre en œuvre.
Il s’agit d’une tâche difficile, en raison de la nature multisectorielle du secteur de l’IoT et de la chaîne d’approvisionnement elle-même. Pourtant, il devrait être possible d’améliorer la sécurité de l’IoT, une recommandation à la fois. Examinons le problème de plus près :
Activation de la sécurité de bout en bout
L'une des faiblesses majeures de l'IoT est l'absence de sécurité de bout en bout qui permet de sécuriser un système tout au long de son cycle de vie. Ce problème persiste parce que nos normes de sécurité actuelles sont parfois contradictoires et n'offrent pas une protection suffisante. La création de nouvelles normes ne fera qu'aggraver le problème si nous n'activons pas d'abord la sécurité de bout en bout. C'est l'une des priorités des améliorations de la sécurité de l'IoT.
Secteur par secteur
Travailler sur la sécurité de l'IoT, secteur par secteur, s'avère être une bonne pratique, même si elle est moins complète que ne le souhaiteraient les experts en sécurité. Cela comporte ses défis car chaque secteur doit également reconnaître qu'il n'existe pas en vase clos et que sa chaîne d'approvisionnement est probablement multisectorielle. Il est toutefois possible de parvenir à de meilleures solutions de cybersécurité si chaque secteur y travaillait séparément.
Partage du fardeau réglementaire
La charge réglementaire est actuellement répartie entre les pouvoirs publics et le secteur privé, et il semble parfois que cette répartition ne soit pas aussi efficace qu'elle pourrait l'être. Un autre problème est qu'il existe de nombreuses lois et réglementations « souples » que le secteur privé considère comme des lignes directrices et qu'il n'est pas tenu d'appliquer si une analyse coûts-avantages indique le contraire. Ces problèmes doivent être résolus par un effort conjoint des pouvoirs publics et du secteur privé.
Gestion des cyber-risques de l'IoT
La gestion des cyber-risques est une idée intéressante pour l'IoT. Cependant, même si elle peut être améliorée grâce à l'étude du facteur humain, ces deux approches sont en contradiction quant à leur philosophie globale. L'étude des facteurs sociaux analyse les faiblesses et les vulnérabilités après qu'elles se soient produites, tandis que la gestion des cyber-risques tente de les prévoir et de les traiter avant qu'elles ne se produisent.
Améliorer les pratiques actuelles de fabrication et de conception
De nombreux problèmes liés à l'IoT commencent à la source, dès la phase de conception du processus. Pour les résoudre, les fabricants et les concepteurs d'appareils IoT doivent adopter une approche de sécurité par défaut et de résilience dès la conception . Cela les aiderait à trouver de meilleures solutions de sécurité et de résilience qui seraient intégrées directement dans l'appareil. Ces deux approches ont des implications supplémentaires pour d'autres problèmes courants liés à l'IoT, tels que la responsabilité et la réglementation, mais elles constituent un pas dans la bonne direction.
Une recommandation à la fois
Améliorer la sécurité de l’IoT n’est pas une tâche facile. Cela nécessitera la coopération d’un grand nombre d’industries et de décideurs politiques. Cependant, cet effort peut à terme garantir la cybersécurité de tous nos systèmes IoT. Il est possible d’appliquer une recommandation à la fois, à condition de comprendre ce qui doit venir en premier.