La cyber-sécurité des objets connectés : réflexes à adopter face aux nouvelles menaces

L’augmentation du nombre d’objets connectés et la place de plus en plus importante qu’ils occupent dans la vie quotidienne des individus conduisent au traitement d’une masse exponentielle de données – parfois sensibles mais souvent très privées, et à l’exposition à de nouvelles menaces cyber.

L’internet des objets (« Internet of Things » ou « IoT » en anglais) recouvre une typologie d’objets très variée, allant de l’assistant vocal, de la voiture connectée aux systèmes de vidéosurveillance dits « augmentés ».

Tel que relevé par l’ANSSI, de tels outils numériques présentent des « risques pouvant être perçus comme nouveaux du fait de leur capacité à produire des effets « physiques » en dehors des systèmes d’information ou des effets systématiques lorsqu’ils sont déployés massivement »1.

Le présent article a pour objet de présenter les nouveaux risques en matière de cybersécurité associés à l’essor des objets connectés et d’identifier les bons réflexes à adopter.

1. Les obligations règlementaires applicables à l’IoT

Les prestataires – et notamment les fabricants d’objet connectés – sont désormais soumis à des obligations qui s’appliquent en surcouche, issues des nouvelles règlementations européennes. Afin de garantir la conformité du dispositif connecté, il est indispensable de connaître les obligations et les interactions entre ces différents textes.

La protection des données personnelles collectées ou générées

Le RGPD2 s’applique aux traitements mis en œuvre par l’objet connecté dès lors que des données personnelles sont traitées. De façon générale, les données collectées par l’objet connecté sont pour la plupart des données personnelles (rythme cardiaque, empreinte digitale, voix, données de localisation, etc.), et régulièrement des données dites « sensibles » (données de santé, données biométriques, etc.).

Le RGPD impose un cadre exigeant afin de garantir la protection des données personnelles, à travers des principes clés (principe de finalité du traitement, base légale, respect des droits des personnes concernées, etc.). Notamment, le principe de minimisation prévoit que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. En le respectant, le responsable du traitement permet ainsi de restreindre l’étendue des données potentiellement accessibles aux cyberattaquants et de limiter le périmètre de compromission, car aucune collecte excessive de données non pertinentes n’a été effectuée et n’est ainsi rendue accessible.

Surtout, le RGPD impose au responsable du traitement de garantir un niveau de sécurité adapté aux risques, notamment en mettant en place des mesures techniques et organisationnelles appropriées. Le responsable du traitement doit s’assurer que de telles mesures techniques et organisationnelles soient répercutées tout au long de la chaîne du traitement, dans les contrats de sous-traitance et de sous-traitance ultérieure, comme le rappelle le CEPD au sein de son récent avis du 7 octobre 20243. Il peut s’agir de mesures de pseudonymisation ou de chiffrement des données, mais plus généralement de toutes mesures de sécurité informatique et physique visant à garantir la confidentialité, la disponibilité et l’intégrité des données personnelles, ou encore de procédures permettant de tester régulièrement l’efficacité de ces mesures. Le responsable du traitement a en outre l’obligation de notifier toute violation de données personnelles à l’autorité compétente (en France, la CNIL) dans les 72 heures après en avoir pris connaissance.

Concernant les utilisateurs, la CNIL les sensibilise également, en leur recommandant de s’assurer que l’objet connecté soit connecté à un réseau WI-FI sécurisé, notamment avec un mot de passe fort, et que les mises à jour du système, des logiciels et du pare-feu de l’objet connecté soient régulières.

La transparence et la libre circulation des données

En complément des dispositions du RGPD, le Data Act4, entré en vigueur le 11 janvier 2024 et qui sera applicable en septembre 2025, règlemente les objets connectés. Son champ d’application est très large puisqu’il s’applique à l’ensemble des « données générées » qui sont produites par les objets connectés et les services liés (y compris les métadonnées associées).

En vertu du Data Act, tout détenteur de données – qui correspond en substance au fabricant de produits connectés et aux éditeurs des services liés au produit – a notamment l’obligation de :

  • Rendre les données relatives aux produits et les données relatives aux services connexes accessibles à leur utilisateur ;
  • Garantir une transparence quant aux données accessibles ;
  • Assurer la portabilité des données générées vers un tiers destinataire lorsque l’utilisateur l’exige ;
  • Mettre en place des mesures techniques appropriées de protection afin d’empêcher l’accès aux données par d’autres tiers – et ainsi renforcer la cybersécurité des objets connectés.

La gestion des risques via la cybersécurité et la cyber-résilience

Dispositions spécifiques à la cybersécurité et à la cyber-résilience – L’objet connecté est au cœur des nouvelles règlementations en matière de cybersécurité et de cyber-résilience, lesquelles visent à renforcer la sécurité globale des dispositifs connectés. Un objet connecté, en raison de ses caractéristiques, est particulièrement vulnérable aux cyberattaques.

Le règlement sur la cyber-résilience5 prévoit des exigences en matière de cybersécurité à l’échelle de l’Union européenne pour la conception, le développement, la production et la mise à disposition sur le marché de produits matériels et logiciels sur le marché européen. Son entrée en vigueur est attendue pour le second semestre 2024 et les fabricants devront mettre leurs produits en conformité avec ledit règlement d’ici 2027.

Le règlement s’appliquera ainsi à tous les produits qui sont directement ou indirectement connectés à un autre dispositif ou à un réseau. Toutefois, il ne concerne pas d’autres produits pour lesquels des exigences en matière de cybersécurité sont déjà définies par les règles de l’Union européenne, comme tels que les dispositifs médicaux – connectés).

L’objectif de ce texte est de garantir la sécurité des produits comportant des éléments numériques, tout au long de la chaîne d’approvisionnement et de leur cycle de vie6.

Le règlement sur la cyber-résilience introduit des normes de cybersécurité obligatoires, en particulier :

  • Les fabricants sont soumis à des obligations de sécurité et de gestion des vulnérabilités dès la conception des produits7. Plusieurs mesures doivent être mises en place comme l’évaluation des risques, la documentation des vulnérabilités et des composants, la configuration de sécurité par défaut, la protection contre les accès non autorisés, etc. ;
  • Les fabricants sont également soumis à des obligations d’information renforcée des utilisateurs8.

Les obligations de sécurité imposées par le texte reposent sur une approche par les risques, ce qui implique en pratique l’élaboration d’une cartographie des risques. En outre, une liste de produits considérés comme « critiques » font l’objet d’un encadrement plus strict. Ces produits sont répartis en deux classes, parmi lesquels figurent les gestionnaires de mots de passe, les navigateurs autonomes et intégrés, les logiciels de gestion des identités (classe I), les microprocesseurs à usage général et les systèmes d’exploitation (classe II).

Outre les obligations en matière de cyber-résilience, les organisations qui fabriquent ou commercialisent des objets connectés sont potentiellement soumises aux obligations de la directive NIS 29.

En fonction du statut et de la taille de l’organisation – Entité Essentielle (EE) ou Entité Importante (EI) (anciennement les opérateurs de services essentiels en vertu de la directive NIS 1) – la directive NIS 2 impose des obligations particulières liées à la gestion d’une cyberattaque, quel que soit le point d’entrée de cette dernière.

Les entités – publiques ou privées – essentielles et importantes doivent ainsi soumettre une alerte précoce, sans retard injustifié, à son CSIRT (centre de réponse aux incidents de sécurité informatique), ou selon le cas, à son autorité compétente, de tout incident ayant un impact important sur leur fourniture de services10. Les informations transmises devront ensuite être mises à jour dans un délai de 72 heures. Un rapport final présentant les détails de l’incident et les mesures d’atténuation appliquées et en cours devra également être adressé au CSIRT dans le délai d’un mois après la notification.

Les contrats de ces entités devront également être révisés, afin d’intégrer dans les contrats conclus avec leurs prestataires informatiques (qui commercialement ou proposent des services liés à un objet connecté) des mesures de gestion des risques, conformes à la directive NIS 2 : audits et scans de sécurité, demandes d’informations et transparence, etc.

2. Panorama des nouvelles attaques potentielles visant les objets connectés

La connectivité permanente des objets connectés offre de multiples et de nouveaux points d’entrées pour les hackeurs. Ces objets comportent de nombreuses vulnérabilités car ils sont souvent peu sécurisés et mis à jour.

Une attention particulière doit être portée aux dispositifs médicaux connectés. Un objet connecté peut être considéré comme un dispositif médical s’il est conçu pour répondre à une ou plusieurs finalités médicales visées dans la définition du dispositif médical, notamment le diagnostic, la prévention et la surveillance d’une maladie11. Les dispositifs médicaux connectés sont divers : prothèses cardiaques implantables connectées, lecteurs de glycémie connectés, etc.

La gestion des risques appliquée aux dispositifs médicaux est définie dans la norme ISO 14971, utilisée par les fabricants de dispositifs médicaux. Afin de remplir les conditions d’obtention du marquage CE, l’ANSM (l’Agence Nationale de Sécurité du Médicament et des produits de santé) précise que « le fabricant doit garantir que son dispositif médical répond aux exigences générales en matière de sûreté et de performance tout le long de son cycle de vie, depuis sa phase de conception jusqu’à son retrait du marché »12 et ce afin de limiter le risque de propagation des menaces cyber dans le système plus global auquel il est intégré.

A titre d’illustration, les objets médicaux connectés dans les chambres des patients et les blocs opératoires des hôpitaux sont autant de points d’entrée permettant aux cyberattaquants de s’introduire et d’altérer le fonctionnement de toute l’organisation. Les conséquences peuvent également être dévastatrices pour la santé des patients dans la mesure où les cyberattaquants pourraient modifier les données d’un moniteur permettant de visualiser la fréquence cardiaque d’un patient13.

Par ailleurs, l’implication des objets connectés dans les smart citiesrévèlent également des enjeux importants en matière de cybersécurité. Leurs utilisations peuvent être variées : gestion du trafic, surveillance et réduction de la pollution atmosphérique, amélioration de la gestion des déchets, etc.

En outre, la fréquence des incidents de cybersécurité relatifs aux systèmes de « caméras augmentées » lors d’évènements de grande ampleur (comme les Jeux Olympiques) met particulièrement en lumière l’importance du risque cyber lors du recours à des objets connectés. Le terme de caméra « augmentée » désigne des dispositifs vidéo auxquels sont associés un logiciel permettant une analyse automatique (via un traitement algorithmique) des images14. Parmi les exigences en matière de cybersécurité, une analyse d’impact relative à la protection des données personnelles (AIPD) devra être effectuée par les responsables du traitement15. Toutefois, compte tenu des risques importants inhérents au déploiement de tels dispositifs, des indications supplémentaires sont attendues par la CNIL et l’ANSSI.

La mise en place de véritables systèmes de gestion des risques cyber doit devenir une priorité pour l’ensemble des acteurs fabricant, distribuant ou utilisant des objets connectés. La sécurité informatique de ces produits doit alors être structurée et renforcée dès leur développement, et tout au long de leur cycle de vie.

3. Création de nouvelles structures dédiées à l’investigation cyber

Afin de contrer les risques liés à la cyberdélinquance et améliorer l’investigation cyber, il a été créé début 2019 le Plateau d’investigation des objets connectés (PIOC)16 au sein du Centre de lutte contre les criminalités numériques (C3N), unité de police judiciaire à compétence nationale rattachée au Pôle judiciaire de la gendarmerie nationale. Les enquêteurs du PIOC appréhendent, entre autres infractions, des cas de détournement d’un objet déconnecté (jouet connecté, caméras de surveillance, etc.) par un individu malveillant, à des fins d’escroquerie (moyens de paiement, demandes de crédit), d’usurpation d’identité ou de harcèlement.

Ces objets, sans être un moyen de réaliser une infraction, peuvent également contenir des éléments de preuves d’une infraction, particulièrement utiles pour les enquêteurs. Par exemple, la montre connectée de la victime d’un homicide qui collecte les données de pulsations cardiaques peut permettre de déterminer l’heure exacte du décès.

Les nouvelles menaces cyber impactant les objets connectés sont non seulement encadrées par de nombreux textes européens, mais font également l’objet d’une surveillance de la part des autorités.

Dès lors, au regard de la multiplicité des textes applicables aux objets connectés et des conséquences potentiellement majeures pour les systèmes d’information en cas de cyberattaque, il est absolument nécessaire que les fabricants et les utilisateurs d’objets connectés se saisissent de ces enjeux, quelle que soit leur taille ou leur nature juridique, au besoin accompagnés d’un conseil juridique spécialisé.

  1. ANSSI – Recommandations relatives à la sécurité des (systèmes d’objets connectés – V1.0 – 27.08.2021 ↩︎
  2. Règlement (UE) n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ↩︎
  3. Avis 22/2024 sur certaines obligations découlant du recours au(x) sous-traitant(s) et sous-traitant(s) ultérieur(s), CEPD, 7 octobre 2024 ↩︎
  4. RÈGLEMENT (UE) 2023/2854 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données). ↩︎
  5. RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020 ↩︎
  6. Source : https://www.consilium.europa.eu/fr/press/press-releases/2023/11/30/cyber-resilience-act-council-and-parliament-strike-a-deal-on-security-requirements-for-digital-products/ ↩︎
  7. Annexe I de la Proposition de Règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020 ↩︎
  8. Annexe II, idem. ↩︎
  9. Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (Texte présentant de l’intérêt pour l’EEE) ↩︎
  10. Article 23 NIS 2. ↩︎
  11. Article L5211-1 du Code de la santé publique ↩︎
  12. Agence nationale de sécurité du médicament et des produits de santé (ANSM), Cybersécurité des Dispositifs Médicaux Intégrant du Logiciel au cours de leur Cycle de vie, septembre 2022 ↩︎
  13. Source : https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/video-l-hopital-sous-la-menace-des-hackers-en-piratant-des-objets-connectes-des-cybercriminels-pourraient-prendre-en-otage-des-services-entiers_5464942.html ↩︎
  14. Source : https://www.cnil.fr/fr/jop-2024-les-questions-reponses-de-la-cnil ↩︎
  15. Loi n°2023-380, 19 mai 2023, relative aux Jeux olympiques et paralympiques de 2024 et portant diverses autres dispositions ↩︎
  16. Source : https://www.gendarmerie.interieur.gouv.fr/gendinfo/actualites/2020/la-montee-en-puissance-de-l-investigation-cyber-en-gendarmerie ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille 
+33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36