En général, les traitements des données biométriques, analysées pour authentifier un individu (c’est-à-dire déterminer irréfutablement son identité), sont de plus en plus répandus. La CNIL définie la biométrie comme l’ensemble des techniques informatiques permettant de reconnaitre automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. L’analyse des caractéristiques physiques propres aux individus, comme la voix, le visage, l’iris, les empreintes digitales et la reconnaissance faciale, leur permettent de se protéger contre la fraude et le vol. Cependant, prises hors du cadre personnel, ces pratiques posent des problèmes éthiques et de sécurité. Aujourd’hui, au-delà de l’authentification des téléphones et appareils électroniques, on peut payer ses courses dans certains pays avec la reconnaissance faciale, s’enregistrer à l’entrée d’un local pour participer à un évènement (concerts, match etc…), et la technologie peut aller plus loin. Cette innovation qui combine intelligence artificielle et avancée technologique refroidit les ardeurs de certains pays dont les pays de l’Union Européenne. Au-delà de la nécessité d’adapter la législation, les questions que soulèvent la reconnaissance faciale remettent en cause la maturité de la population à laquelle l’innovation serait apportée.

Il est nécessaire de comprendre, d’une part ce que la reconnaissance faciale pourrait emmener concrètement comme changement dans nos sociétés, et d’autre part ce qu’elle comporte comme risque. Alors que nos pays prennent le temps de faire le tour du sujet, et de se doter de législations adéquates pour réguler et protéger leurs valeurs, un marché en plein essor se développe. Il est important de ne pas rater la fièvre du marché et de se retrouver submergé par l’innovation développée par les sociétés étrangères une fois que le public ciblé arrivera à maturité. Ces sociétés étrangères auront déjà maitrisé les coûts et auront gagné en compétitivité. Les efforts de l’Union Européen dans la protection de sa souveraineté face au digital, la protection des données personnelles et la sauvegarde de la société éthique, bien qu’étant dans l’intérêt des citoyens, fragilisent les entreprises Françaises qui sont face à la concurrence rude, presque déloyale, des sociétés étrangères, en termes d’innovation. D’où l’urgence pour l’UE d’adopter une stratégie claire en ce qui concerne la reconnaissance faciale. Il en va de sa compétitivité et de sa place dans la course mondiale à l’Intelligence artificielle. Cet article analyse la position de l’UE en général et de la France en particulier, face à la reconnaissance faciale.

La reconnaissance faciale et les problèmes qu’elle soulève

Le principe de cette technologie est qu’un programme utilise l’intelligence artificielle pour analyser un visage. Des capteurs 2D et 3D mesurent la distance entre les yeux et à partir de celle-ci analysent des milliers de données biométriques afin de trouver un code qui correspond au visage. Grâce à ce code on peut être identifié ou s’authentifier. Dans le cadre de l’authentification aucun problème ne se pose dans la mesure où elle est souvent l’initiative de la personne authentifiée. C’est donc une comparaison d’informations données à un système. Par exemple pour déverrouiller un téléphone, une application, ou accéder à un bâtiment. L’identification au contraire suppose un apprentissage du système de qui on est, sans avoir besoin de donner délibérément des informations préalables. Ou alors le système dispose d’informations procurées par une entité par exemple dans le cas du paiement sans carte bancaire ou d’un contrôle d’identité. Ceci est inquiétant dans la mesure où n’importe quelle société disposant de données personnelles susceptibles de permettre la reconnaissance faciale peut nous identifier. Libéraliser cette pratique pourrait donc conduire à une surveillance de masse. Si, dans certains pays comme la France, les citoyens sont réfractaires à la mise en place d’une surveillance par leurs gouvernements, à plus forte raison la surveillance de sociétés privées peut être inquiétante dans un contexte où les données personnelles sont de plus en plus vendues.

Etat des lieux au sein de l’Union Européenne

Pour l’union européenne, les enjeux sont de taille. Rejeter la reconnaissance faciale reviendrait à abandonner la course à l’IA. Toutefois, elle veut éviter la surveillance de masse à l’insu des citoyens, préserver la vie privée, les droits essentiels et l’égalité de traitement. Le 28 Janvier, le conseil de l’Europe (qui a également travaillé sur l’élaboration du RGPD) a publié des directives strictes concernant la reconnaissance faciale notamment en interdisant la détermination du sexe, de la couleur de peau, de l’âge, du statut social, pour éviter la discrimination surtout dans l’emploi, l’éducation et l’assurance. Par exemple en Chine, le système développé par Dahua serait capable de détecter les Ouïghours et d’alerter la police. Les interdictions s’adressent aux développeurs, aux gouvernements et aux entreprises. La réglementation européenne dispose que le consentement n’est pas un fondement juridique suffisant pour utiliser la reconnaissance faciale dans la sphère publique ni dans la sphère privée. La position de l’UE est d’autant plus compréhensible que les voix sur les réseaux sociaux s’élèvent contre l’adoption de la reconnaissance faciale. A l’initiative de plusieurs associations, une pétition est lancée depuis quelques semaines pour bannir la surveillance biométrique dans l’union. Dans le monde entier, des actions sont entreprises, par des internautes, des activistes, des artistes, pour bannir la reconnaissance faciale et préserver les données et les vies privées.

La France a déployé la reconnaissance faciale à l’aéroport de Nice en 2019 puis de Lyon en 2020 afin de fluidifier le parcours des voyageurs. Tandis que 97% des aéroports es Etats-Unis utilisent cette technologie, ce déploiement se fait au grand dam de la CNIL qui s’inquiète du nombre sans cesse croissant de caméra dans les villes françaises. Les ambitions du pays pour les smart city nécessitent une maitrise de tout ce qui touche à l’IA et un cadre juridique et réglementaire solide.

Il y a moins d’un mois, les journaux révélaient qu’une plainte a été déposée en France contre la société américaine Clearview AI. Cette société qui a développé un système grâce à des données collecté sur le web est accusée de surveillance illégale au Canada et dans d’autres pays dont la France. On se rappelle également l’affaire IDEMIA de l’année dernière. Cette société française était citée parmi les mauvais élèves par Amnesty international. L’ONG avait accusé certaines sociétés Européenne d’exporter leur technologie de reconnaissance faciale en Chine. IDEMIA, qui était au temps des faits une filiale de Safran, s’est défendue en assurant que la technologie n’était pas déployée et a réitéré sa vision d’un cadre réglementaire clair pour la reconnaissance faciale en Europe.

L’hexagone n’est pas en marge des ambitions de l’UE en termes de protection de données et de réglementation de l’IA. Cependant, l’intérêt de la France pour la reconnaissance faciale n’en est pas moindre. Il y a un réel potentiel qui peut être exploité en maintenant une couture entre innovation et réglementation. Les entreprises Françaises ont une double charge. Elles doivent être compétitives à l’international tout en respectant les contraintes et les valeurs du pays. L’UE pourrait idéalement offrir un cadre où ces entreprises pourraient se développer sans enfreindre les règles en vigueur.

La question des traitements biométriques en général et la reconnaissance faciale en particulier renvoie au même sujet qui suscite les débats depuis quelques années : les données personnelles et leurs traitements. L’union européenne en s’attelant à la tâche de réglementation propose une porte de sortie face à la complexité du sujet et à la gestion libérale et risquée de certains pays. Toutefois, le sort des entreprises du secteur doit être toujours pris en considération surtout parce qu’il s’agit d’un marché en forte croissance (augmentation de 20% par an au cours des trois dernières années) dominée par la Chine, le Japon et les Etats-Unis. Il est nécessaire de créer un marché intérieur de l’IA et d’éviter de se montrer réfractaire au changement aujourd’hui pour être dans un futur proche les importateurs de cette technologie.

Par Colette Armandine Ahama, promotion 2020-2021 du M2 IESCI

Sources

https://www.cnil.fr/fr/definition/biometrie

http://www.economiematin.fr/news-reconnaissance-faciale-ethique-progres

https://siecledigital.fr/2021/01/29/vers-un-encadrement-de-la-reconnaissance-faciale-en-europe/

https://www.latribune.fr/opinions/tribunes/reconnaissance-faciale-un-debat-utile-et-necessaire-875195.html

https://www.lefigaro.fr/secteur/high-tech/reconnaissance-faciale-la-societe-clearview-ai-accusee-de-surveillance-de-masse-illegale-20210204

https://siecledigital.fr/2021/02/22/pourquoi-la-reconnaissance-faciale-fait-peur/

https://www.usine-digitale.fr/article/le-francais-idemia-accuse-d-avoir-vendu-un-systeme-de-reconnaissance-faciale-a-la-police-chinoise.N1007364

CNIL = Commission nationale informatique et libertés

UE = Union Européenne

L’article La position de la France à l’ère de la reconnaissance faciale est apparu en premier sur Master Intelligence Economique et Stratégies Compétitives.

Avec la transformation digitale et le nombre sans cesse croissant de données gérées, la cybersécurité n’est plus une question de protection du patrimoine immatérielle mais implique également la protection de l’activité et de toute la chaine de valeur étant donné que les attaques informatiques paralysent l’activité. Aujourd’hui la force d’une entreprise se mesure à l’interopérabilité de ses systèmes et donc des différentes parties qui la composent, qui sont une et indissociable. La mise en œuvre d’une politique de cybersécurité est une dynamique qui rentre dans le cadre de la stratégie et nécessite des apports humains et techniques. Avec un retour en force des ransomwares l’année dernière, les spécialistes du sujet prédisaient l’augmentation des attaques contre les villes, les collectivités, les gouvernements, le cloud avec les jeux vidéo. Sachant qu’une toute petite faille peut servir à paralyser des organisations et que l’aspect le plus déplorable est la révélation par l’extérieur de possibilités de faille dans le système, la protection systémique n’est plus uniquement une question technique mais aussi managériale dans la mesure où il faut installer une culture de la protection des données, de l’information et des systèmes d’information – culture de la protection prêchée justement par l’intelligence économique-. Quelle sont les enjeux des risques cyber ? Quel a été l’impact du Covid ? Quelle est la portée du risque humain ? Quelle approche pour, à défaut de maitriser totalement, gérer le risque cyber ?

Statistiques, chiffres clés et risque humain

Selon le rapport Hiscox 2020 sur la gestion des cyber-risques[1], le coût moyen des pertes liées aux cyberattaques en France ne cesse de grimper et a été évalué à 35000 euros par incident en 2019. Le total des pertes est passéde 1,1 à 1,6 milliards d’euros entre 2018 et 2019. En revanche le nombre des entreprises touchées par un cyber-évènement passe de 67% à 37% en France, et les dépenses ont progressées de 39%. Alors que les grandes entreprises de plus de 1000 salariés sont les plus visées (51% ont signalé au moins un incident), les PME sont souvent les plus exposées en raison de leur faible expertise en protection systémique. Ainsi des actions sont mises en place à différent niveau, pour à défaut d’endiguer, limiter les risques. Nous pouvons évoquer entre autres le site de l’agence Européenne enisa.europe.eu qui propose un large panel de documentations, de formations et de communications sur des évènements, le site du gouvernement Français cybermalveillance.gouv.fr, le site de l’Agence nationale de la sécurité des systèmes d’informations ssi.gouv.fr également diffuse énormément d’informations pouvant aider les entreprises et même les particuliers dans leur protection. Enfin, le site Le monde informatique propose également une rubrique dédiée à la cybersécurité et la rédaction a organisé entre mars et juin des webconférence, des débats, témoignages et démonstrations de partenaires sur le thème de la cybersécurité.

Par ailleurs les attaques informatiques, sont d’ordres diverses. D’après un sondage de OpinionWay et du CESIN, l’hameçonnage ou phishing est la plus répandue. Evaluée à 79% des cas de Cyberattaque, elle consiste à leurrer l’internaute pour lui soutirer des informations personnelles. L’arnaque au président qui représente 47% des attaques consiste en une fraude au cours de laquelle le fraudeur cible une entreprise ou une personne en se faisant passer pour un directeur hautement placé dans la hiérarchie ou une personnalité. Il organise des échanges par mail ou par téléphone pour instaurer la confiance avant de sévir. L’exploitation d’une vulnérabilité (43%) concerne l’exploitation des failles dans les systèmes d’informations et d’exploitation. Les vulnérabilités sont dues aux technologies de plus en plus complexes des systèmes d’informations des organisations. Ces vulnérabilités sont parfois connues mais pas corrigées. Les attaquants profitent du temps entre la détection et la correction pour exploiter les vulnérabilités, rendant ainsi nécessaire le contrôle permanent des systèmes. Il serait toutefois naïf de considérer que les vulnérabilités proviennent toujours du système. Il y a 20 ans le programme malveillant Iloveyou s’était répandu sur des dizaines de millions de machines dans le monde et avait été responsable d’environ 10 milliards de dollars de dommages en touchant le pentagone, la CIA, de grandes entreprises comme L’Oréal, Nestlé et Siemens, en exploitant une faille humaine. Le virus nommé « LOVE-LETTER-FOR-YOU.TXT.VBS » s’est propagé justement parce qu’il a su exploiter la faille liée à l’émotion humaine. « Tout le monde veut être aimé » a affirmé l’auteur.

De plus en plus d’entreprises prennent la mesure des choses tant les attaques sont multipliées, complexifiées, récurrentes, médiatisées et avec la mise en place du RGPD. Elles intègrent la sensibilisation dans leurs politiques de protection de SI. Toutefois, par excès de confiance accordée aux mécanismes mises en place, par manque d’informations et d’attention parfois par des actions malveillantes des employés ou ex-salariés, les virus sévissent encore énormément en entreprise, se propagent dans tout le système en pénétrant simplement un appareil. Les logiciels rançons et programmes malveillants utilisent certaines méthodes comme le chiffrement pour contourner les systèmes de sécurité.

D’après Christiane Féral-Schuhl, présidente du CNB, dans 80% des cas ce sont des employés ou ex-salariés qui portent atteintes pour une raison ou une autre aux systèmes d’informations de leurs employés ou ex-employés. La recrudescence des attaques par hameçonnage, les intrusions dans les systèmes en utilisant le pare feu humain comme faille, montrent que l’humain se révèle un talon d’Achille de la chaine devant être intégrée aux solutions de surveillance. La contrainte est de ne pas faire de la sécurité un barrage à l’innovation et à la confiance nécessaire au dynamisme d’un climat des affaires. Même s’il n’est pas nouveau de considérer l’humain comme facteur de risque, l’échec des mesures de protection basées sur l’outil démontre qu’il doit non seulement faire l’objet d’analyse comme tous les autres risques, mais aussi de stratégies afin de ne pas faire finalement plus de mal que de bien aux organisations.

Quid de l’après Covid ?

Avec le Covid les systèmes d’informations ont été sur-sollicités. La fracture numérique a rendu compliqué le suivi à distance de certains employés. Le télétravail massif, l’utilisation des équipements personnels et des VPN, l’utilisation des matériels et outils inhabituels comme les outils de visioconférence, le partage des données hors sol, le changement du cadre de travail, l’allègement des procédures, la consultation de sites internet non sécurisés -surtout pour s’informer sur le Covid- ont accru la vulnérabilité des systèmes. Il va sans dire que la crise a généré des opportunités d’attaques. Les sites internet et logiciels piégés se sont répandu ces 8 derniers mois. Selon Palo Alto, plus de 86600 noms de domaines liés à la pandémie auraient été créés entre le 09 Mars et le 26 Avril 2020. Alors que Sophos observe des pics de connexions allant jusqu’à 130.000/jour à des sites récents ayant un nom de domaine lié au COVID. La popularité de ZOOM, outil de visio conférence très utilisé dans les domaines professionnel et académique, a valu la compromission de plusieurs comptes d’utilisateurs. Des vulnérabilités concernant l’application ont été publiés sur des forums et vendues. Le soir du 20 Octobre 2020, Sopra Steria société de service informatique a été touchée par un ransomware qui visait probablement ces clients notamment les groupes financiers depuis plusieurs mois. Notons dans les attaques les plus retentissantes de cette année celles du transporteur maritime CMA CGM, de l’éditeur de logiciel Allemand Software AG. Les menaces internes incluent la violation de données dont a été victime le groupe canadien Desjardins avec l’usurpation de l’identité de plusieurs employés par un de leur collègue, le piratage des comptes Twitter après qu’une faille d’un employé soit exploitée par des adolescents, ou encore le vol de propriété intellectuelle de Cybereason.

Nous l’avons compris la confiance sans faille que ce soit en l’outil ou en l’humain n’est pas de mise. Le contrôle a également ses limites.. Les solutions préconisées par les experts jusqu’alors prévoient une approche holistique intégrant système IT, système industriel, et capital humain avec une analyse des comportements à risques des employés, et de toutes les parties prenantes, qui d’une manière ou d’une autre, sont amenées à entrer en contact avec le système interne d’une part, et d’autre part une protection du périmètre externe, des outils collaboratifs, de toute la chaine et un plan d’intervention en cas d’incident. Sur le plan financier, la gestion de risque exige un plan de continuité d’activité incluant une assurance au même titre que pour la survenance des catastrophes naturelles, des explosions ou des incendies, au vu de l’accroissement des risques financiers intrinsèquement liés aux attaques. L’assurance-cyber permet aux organisations de ne pas porter le risque inhérent aux frais liés aux paiements des cyber rançons, à la résolution des incidents, aux frais de réclamations et à la perte d’exploitation. Cependant, ces contrats n’incluant pas les garanties de fraudes liées au Phishing par exemple, il est important de faire la distinction et de maitriser non seulement les risques couverts par les polices d’assurance mais également le contour de la question du risque cyber aussi bien par les grandes entreprises, les PME que les TPE. A ces préconisations peuvent s’ajouter l’analyse des compétences internes et présentes sur le marché en matière de cybersécurité et de stratégie de sécurité et une démarche inclusive d’intelligence économique. En effet, les attaques ne sont pas uniquement motivées par les rendements financiers mais peuvent être également dans l’optique d’espionner l’organisation victime en vue de soutirer des informations stratégiques. Le rôle du RSSI ou CISO a ainsi évolué. Il est désormais acteur de la stratégie de long terme de l’entreprise et garant de la sécurité de l’information.

Quelles compétences pour la sécurité organisationnelle ?

Outre les compétences techniques de protection et de prévention des éventuelles attaques, le professionnel de la sécurité d’information a des compétences connexes. C’est un leader qui recentre sa mission sur la protection des informations sensibles ou peu sensibles de l’entreprise, en respectant les contraintes budgétaires et en drainant toutes les autres fonctions de l’entreprise dans une logique de coopération au sein de l’organisation et au-delà, et de fournisseur-client interne. Il travaille de concert avec la finance pour répondre à la contrainte budgétaire, avec la conformité et le juridique pour répondre aux contraintes légales et règlementaires, avec la gestion des talents et des ressources humaines pour la formation, la sensibilisation des collaborateurs avec les canaux appropriés. Il gère la monté en compétence de profils qui ne sont pas susceptibles de représenter un risque ou une faille pour l’organisation, étant donné que la valeur de la chaine se mesure à celle de son maillon le plus faible.

En bref, le RSSI doit montrer des compétences hétéroclites, analytiques, agiles et adaptatives. Le domaine de la cybersécurité est vaste et très varié. Même s’il est encore très technique il est aussi diversifié avec pour impératif de tenir en compte le risque humain, respecter les contraintes et surtout ne pas être un frein à l’innovation. Le Covid-19 a démontré que non seulement le risque cyber prend de l’ampleur mais tout le domaine de la cybersécurité fait de même. Les investissements grossissent, les compétences évoluent, la prise de conscience également. La cybersécurité n’est plus ni à prendre à la légère, ni un domaine complètement technique dans le brouillard de l’incompréhension des utilisateurs et des dirigeants.

Par Colette Armandine AHAMA, promotion 2020-2021 du M2 IESCI

Sigles

CESIN : Club de la Sécurité de l’Informatique et du Numérique

CISO: Chief Information Security Officer

CNB : Conseil National des Barreaux

IT : Information Technology

PME : Petite et Moyenne Entreprises

RSSI : Responsable de la sécurité des systèmes d’information

SI : Système d’Information

TPE : Très Petite Entreprise

Sources et Liens

Source Image 1 : https://fr.statista.com/infographie/15871/types-de-cyberattaques-les-plus-courantes-entreprises-francaises/

Source Image 2 : https://fr-statista-com.buadistant.univ-angers.fr/infographie/9377/comment-fonctionne-une-attaque-de-ransomware/

https://www.lemonde.fr/pixels/article/2020/05/04/vingt-ans-apres-le-createur-du-virus-informatique-i-love-you-temoigne_6038636_4408996.html

https://www.ayming.fr/insights/avis-dexpert/crise-sanitaire-et-cyber-risques-quand-la-covid-19-devient-une-aubaine/#_ftn4

https://www-cairn-info.buadistant.univ-angers.fr/revue-i2d-information-donnees-et-documents-2017-3-page-32.htm

https://www.globalsecuritymag.fr/10-cyberattaques-marquantes-et-10,20200917,102862.html

https://orangecyberdefense.com/fr/solutions/threat-intelligence/veille-en-vulnerabilites/

https://www.ayming.fr/insights/avis-dexpert/crise-sanitaire-et-cyber-risques-quand-la-covid-19-devient-une-aubaine/#_ftn4

https://www.cyberthreatcoalition.org/covid-19-cyber-threat-updates-blog/2020-04-14-weekly-threat-advisory

https://unit42.paloaltonetworks.com/covid-19-cloud-threat-landscape/

https://www.hiscox.fr/courtage/sites/courtage/files/documents/2020_RAPPORT_CYBER_HISCOX.pdf

[1] https://www.hiscox.fr/courtage/sites/courtage/files/documents/2020_RAPPORT_CYBER_HISCOX.pdf

L’article Cybersécurité et risque humain, des réalités amplifiées avec le COVID-19 est apparu en premier sur Master Intelligence Economique et Stratégies Compétitives.

Ce scandale marque la prise de conscience d’une série d’acteurs sur le consentement au recueil de ces données : dans la foulée de l’affaire Cambridge Analytica, il a été révélé que l’application Facebook installée sur les téléphones opérant sous Android recueillait un ensemble de données auquel elle n’aurait pas dû avoir accès : journal d’appels et de messages envoyés, numéros de téléphone des contacts …

Au-delà de la question du consentement vient la question de l’éthique. Dans le cadre de l’affaire Cambridge Analytica, la collecte de données visait à influencer certains utilisateurs du réseau social Facebook en ciblant de manière précise par le biais de publicités les électeurs susceptibles de voter pour Donald Trump maintenant président des États-Unis ; un tel procédé remet en cause le libre-arbitre des internautes et interroge sur l’impact que certaines entreprises du numérique peuvent avoir sur des processus normalement strictement encadrés par les institutions.

Si Facebook est aujourd’hui particulièrement sous les feux des critiques à la suite de ces révélations, il n’est néanmoins pas le seul acteur à être mis en cause pour ses pratiques douteuses. D’autres entreprises telles que Uber s’illustrent fréquemment par leur gestion erratique en matière de données personnelles, allant des fuites de données masquées au grand public jusqu’au suivi de ses clients via le GPS de leur smartphone une fois la course terminée …

Dans l’Union Européenne et en France, ces affaires trouvent un écho particulier : le 25 mai prochain doit rentrer en application le règlement général de protection des données personnelles (RGPD), directive européenne faisant suite à la directive 95/46/CE de 1995 et visant à encadrer plus fermement la collecte et l’exploitation des données personnelles des citoyens Européens par les entreprises faisant usage de ces données.

A moins de soixante jours de l’entrée en vigueur de ce nouveau règlement, nous rappelleront les enjeux et implications de cette directive avant de nous pencher sur les discussions que suscite en France cette thématique sur le réseau social Twitter.

Données personnelles : le nerf de la guerre de l’économie numérique

La CNIL, organisme de référence en France, définit une donnée personnelle comme étant « toute information identifiant directement ou indirectement une personne physique (par exemple : nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…) ».

Cette définition se rapproche de la conception légale française de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, renforcée par la directive 95/46/CE que le RGPD viendra supplanter.

En 2018, ces données personnelles sont à la base du business-model de nombreuses entreprises : du fait du développement conjoint du Big Data permet d’explorer de grands ensembles de données, et de l’Intelligence Artificielle permettant d’exploiter et de valoriser ces ensembles de données, la donnée devient une matière première dont l’accumulation devient fondamentale pour pouvoir tirer parti de ces nouvelles technologies.

En effet, plus une entreprise sera en possession d’un nombre important de données et plus elle sera en mesure de générer un profil-type de ses utilisateurs, lui permettant ensuite de proposer une série de services à forte valeur ajoutée : des algorithmes de recommandation basés sur les gouts et préférences de l’utilisateur permettant de mieux satisfaire ses attentes et ainsi de le fidéliser à l’utilisation du service. Dans les coulisses, cela permet aussi aux entreprises de valoriser ces profils-type auprès d’annonceurs pour proposer des publicités ciblées qui vont toucher un public déjà acquis à la cause ou au produit mis en avant.

C’est sur ce procédé que reposent tous les grands acteurs du net : les résultats de Google sont préfiltrés selon les recherches effectuées précédemment par l’utilisateur, selon sa localisation, selon les déplacements qu’il a pu effectuer auparavant ou selon les appareils qu’il utilise. Même chose pour Amazon, Facebook ou Apple qui représentent les fameux GAFA ; géants Américains du numérique.

Si, comme en témoigne la popularité des biens et services proposés par les GAFA, ce business-model se montre efficace, il pose en revanche des question soulevées précédemment dans l’introduction :

• Quid du consentement au recueil de ces données ? Si lors de chaque souscription à un de ces services, l’utilisateur accepte les Conditions Générales d’Utilisation, elles ne sont que très rarement lues. Et quand bien même ces CGU seraient lues par l’utilisateur, il est incertain que celui-ci soit mieux informé sur la nature et l’exhaustivité des données collectées, comme le révélait une publication du MIT en 2016.
• A quelles fins sont utilisées ces données ? L’affaire Cambridge Analytica met en exergue le fait que ces données collectées ne représentent pas que des enjeux commerciaux pour les firmes qui les collectent, mais peuvent aussi intéresser d’autres acteurs aux motivations plus floues. Or il n’existe actuellement aucun droit de regard de l’utilisateur quant à la valorisation faite de ses données personnelles.
• La question de l’anonymisation des données personnelles pose aussi question à l’heure du Big Data. Bien que ces ensembles de données personnelles soient anonymisés comme le requiert le cadre légal existant, les possibilités offertes par la prolifération des données sur Internet permettent bien souvent, en croisant et recoupant les informations, d’identifier des personnes physiques sur la base de données supposées anonymes. C’est notamment ce qu’il s’est passé lorsqu’en 2006, AOL a publié les données censées être anonymes de 20 millions de recherches effectuées par 650 000 utilisateurs, ou lorsque Netflix a donnée accès aux recommandations faites à 500 000 de ses utilisateurs en 2008.

C’est sur ces fondements que repose le RGPD, mais nous allons voir qu’il se place aussi sur un cadre plus large qui est celui de la place de l’Europe dans l’économie numérique.

Les fondements du RGPD

L’Europe, souvent qualifiée de « colonie numérique » du fait de la domination Américaine via les GAFA d’un côté, et de celle de la Chine via les BATX (pour Baidu, Alibaba, Tencent et Xiaomi) de l’autre, prend conscience de ses faiblesses en termes d’économie numérique.

Du constat de cette domination étrangère, la Commission Européenne a développé une stratégie pour un marché unique numérique en Europe (Abrégé en « MUN » pour Marché Unique Européen) dont le but est de promouvoir un « espace dans lequel la libre circulation des biens, des personnes, des services et des capitaux est garantie… Un espace où les particuliers et les entreprises peuvent, quels que soient leur nationalité et leur lieu de résidence, accéder et se livrer à des activités en ligne dans un cadre garantissant une concurrence loyale et un niveau élevé de protection des consommateurs et des données à caractère personnel ».

Cette stratégie repose sur trois piliers principaux que sont :

• L’amélioration de l’accès aux biens et aux services numériques dans toute l’Europe pour les consommateurs et les entreprises.
• L’offre d’un environnement propice au développement des réseaux et des services innovants en soutenant les entreprises européennes, mais en renforçant également la protection des données personnelles.
• La maximisation du potentiel de croissance de l’économie numérique européenne.

Le RGPD s’inscrit directement dans ce contexte en proposant un cadre harmonisé entre les différents pays Européens, mais aussi en imposant des règles strictes aux entreprises étrangères venant à collecter et traiter les données personnelles des citoyens Européens.

Parmi les innovations proposées par le RGPD se trouvent plusieurs éléments, dont les plus importants semblent être le droit à la limitation de traitement et le droit à la portabilité.

Le droit à la limitation de traitement signifie que toute personne doit avoir consenti clairement à la collecte et l’exploitation de ses données personnelles, mais aussi qu’il existe la possibilité de s’opposer au profilage effectué et d’invoquer un droit à l’oubli plus ferme que le droit au déréférencement existant actuellement.

Le droit à la portabilité signifie lui qu’il sera possible de demander le transfert de l’intégralité de ses données personnelles de manière gratuite d’un prestataire à un autre, impliquant un plus grand contrôle et une plus grande transparence sur les détenteurs de ces données. Ce droit à la portabilité encadre également les transferts de données qui pourraient avoir lieu au départ de l’Union Européenne, permettant de mieux encadrer les activités des grandes entreprises du numérique étrangères.

L’arsenal répressif Européen se retrouve lui aussi renforcé, avec la possibilité d’infliger aux entreprises ne respectant pas le RGPD des sanctions pouvant aller jusqu’à 4% du chiffre d’affaire mondial et représentant un montant colossal pour les GAFA ou les BATX.

Si ce projet est ambitieux, il comporte néanmoins certaines limitations pratiques : une étude de Seinzing, éditeur de logiciel, révélait qu’en France, 27% des entreprises interrogées n’étaient pas certaines d’avoir correctement cartographié l’ensemble de leurs données, et 31% des entreprises doutaient de leur capacité à être en conformité avec le nouveau règlement à la date du 25 mai. La faute à un projet demandant des moyens considérables tant pour les PME que les grandes entreprises avec la nécessité de nommer un Chief Data Officer ou délégué de protection des données, mais aussi du coût de traitement des demandes liées au RGPD qui pourrait représenter de 172 à 1289 heures par mois, nécessitant alors un ajustement des ressources humaines de l’entreprises et donc une hausse des charges.

Dans ce contexte à la fois incertain pour les entreprises, mais aussi riche au niveau de l’actualité, nous pouvons alors nous intéresser à la manière dont est traité le sujet sur les réseaux sociaux, et en particulier sur Twitter, via l’utilisation de l’outil Visibrain.

Quelles discussions sur Twitter ?

Un premier constat que nous pouvons faire est que si l’affaire Cambridge Analytica a été commentée sur Twitter, le rapprochement n’a pas été fait avec l’entrée en vigueur imminente du RGPD. La période analysée correspond à un mois de tweets, du 25/02/2018 au 27/02/2018, sur toutes les mentions du RGPD dans des tweets en français.

Comme nous pouvons le voir, le volume de discussion autour du RGPD (en bleu) est resté à un niveau similaire à celui des semaines précédant l’éclatement de l’affaire.

En s’intéressant d’un peu plus près à ces discussions, on constate également que les discussions se font beaucoup moins nombreuses au sujet du RGPD les week-end, pouvant nous laisser penser à une communication de la part de professionnels ou d’institutions, en opposition avec l’affaire Cambridge Analytica et le hashtag #DeleteFacebook d’appropriation plus populaire.

Pour voir cela de manière plus précise, nous pouvons cartographier les utilisateurs ayant twitté au sujet du RGPD afin de détecter les influenceurs et les communautés dans lesquelles ils évoluent.

Ainsi, il est possible d’identifier 4 communautés qui se démarquent :

• En vert, se retrouve la communauté autour de la CNIL. La CNIL étant l’organisme en charge de l’encadrement du RGPD en France, elle publie nombre de messages informatifs et de fiches conseils par le biais de Twitter. Ses messages sont donc repris dans un but de diffuser l’information aux acteurs pouvant être impactés par le RGPD.
• En bleu, on retrouve Mounir Mahjoubi, Secrétaire d’État auprès du Premier ministre chargé du numérique, mais aussi le compte du ministère de la Justice, celui de Syntec Numérique (le syndicat des professionnels du numérique) ou la Quadrature du net, association de défense des droits et libertés sur le net.
• En violet, on retrouve le quotidien Nextinpact et son fondateur Marc Rees, impliqué sur l’actualité de l’informatique, mais aussi Guillaume Champeau, directeur des relations publiques du moteur de recherche Qwant dont la particularité est qu’il ne collecte pas les données personnelles !
• En orange, ZDNet, l’Usine Digitale, le Journal du Net ou French Web. Un ensemble d’acteurs traitant l’actualité technologique et numérique avec une ligne éditoriale plutôt tournée vers les entreprises et les professionnels.

Mention particulière à Jeff Pillou dont le tweet a été le plus repris sur cette thématique mais principalement par des comptes qui se trouvent isolés des autres acteurs communiquant au sujet du RGPD.

On peut chercher à détailler un peu plus ces communautés pour voir la manière dont elles sont structurées.

Ainsi, on peut voir que les deux communautés qui se démarquent sont celles en violet autour de Nextinpact et de Guillaume Champeau, et autour de Mounir Mahjoubi et autres comptes plus institutionnels. La communauté autour de la CNIL est plus éparse et confirme bien le rôle de relais de l’information qu’elle tient, plutôt qu’un réel rôle d’influenceur sur la thématique. En filtrant ces données pour ne garder que les comptes les plus influents, nous pouvons aborder les dynamiques qui existent entre ces comptes.

On peut observer qu’il existe de nombreux liens entre les acteurs malgré leur appartenance à des communautés différentes, indiquant une unité autour du message véhiculé et un effort commun pour informer et éduquer au sujet de cette nouvelle directive.

Ce filtrage permet aussi de faire apparaitre certains acteurs particuliers tels que des professionnels de l’hébergement cloud pour lesquels la question de la gestion des données personnelles est plutôt sensible, mais aussi de comptes en lien avec les ressources humaines, témoignage de la pression qu’exerce sur les entreprises la mise en conformité. Quelques comptes en lien avec secteur juridique font aussi leur apparition.

Ici, pas de grande surprise au niveau des hashtags avec des termes assez génériques faisant référence au RGPD, aux données et à leur protection que l’on retrouve en français et dans leur équivalent anglais. Une timide mention est faite des GAFA et de Facebook, ainsi que des ressources humaines.

En revanche, si on s’intéresse aux hashtags moins utilisés, on voit alors apparaitre des thématiques plus spécifiques en lien avec les comptes influents vus précédemment.

Ici, le lien entre le RGPD et l’entrepreneuriat, l’innovation, le conseil juridique et la protection de la vie privée est bien visible, même s’il représente une faible portion de l’ensemble des hashtags utilisés sur la thématique.

En définitive, si le RGPD mobilise bien sur Twitter, il mobilise en revanche un type d’acteurs spécifique : les professionnels et experts du numérique. Comment expliquer cela alors que, comme nous avons pu le voir, l’affaire Cambridge Analytica provoque elle aussi un nombre important de réactions sur le réseau social ?

Un premier élément de réponse vient du sujet en lui-même, un sujet complexe par ses aspects légaux et faisant appel à des concepts techniques nécessitant une certaine culture du numérique pour avoir conscience des enjeux qui sont mis en balance. Cette nature du RGPD fait que les messages publiés à son sujet sont des messages plutôt fondés sur l’analyse, tandis que l’affaire Cambridge Analytica provoque elle des réactions épidermiques moins propices à la réflexion.

Un second élément de réponse vient du fait que les contraintes du RGPD reposent principalement sur les entreprises, ce sont donc elles qui sont le plus exposée à la thématique et donc les plus à même de communiquer à son sujet, tandis que la majorité des citoyens français n’a probablement pas connaissance de l’entrée en vigueur de ce nouveau règlement mais possède bien un compte Facebook et se sent donc plus impliquée par l’affaire Cambridge Analytica.

Par Benoit Fournier, promotion 2017-2018 du M2 IESCI

Références

Barreau, C. (2016). Le marché unique numérique et la régulation des données personnelles. Annales des Mines – Réalités industrielles, août 2016, (3), 37-41.

Tanghe, H. & Gibert, P. (2017). L’enjeu de l’anonymisation à l’heure du big data. Revue française des affaires sociales, 79-93.

Texier, B. (2018, Février 23). RGPD : des chiffres qui font mal ! Récupéré sur Archimag : http://www.archimag.com/demat-cloud/2018/02/23/rgpd-chiffres-font-mal

L’article RGPD : à quelques semaines de son entrée en vigueur, quelles discussions sur Twitter ? est apparu en premier sur Master Intelligence Economique et Stratégies Compétitives.

En effet, de nombreux objets connectés ne sont pas continuellement alimentés en énergie. Ils ont donc besoin d’être économes en énergie, par exemple pour les montres ou encore les bracelets connectés. En conséquence, l’action de recevoir mais également de transmettre les données doit consommer le moins d’énergie possible. Comparé aux smartphones, les objets connectés ont besoin de transmettre un débit bien inférieur, car de simples capteurs vont transmettre quelques bits pour chaque transmission. Ils doivent avoir un réseau qui leur est propre et économe en énergie.

La révolution de l’internet des objets peut se définir comme la connexion des objets à un réseau plus large, que ce soit avec le Wi-Fi ou plus récemment développé avec des technologies tel que Sigfox et LoRa, par l’intermédiaire d’un smartphone ou tablette ou encore grâce à des protocoles de communication qui leur sont propres. Ce qui permet aux objets de pouvoir communiquer entre eux et c’est pourquoi aujourd’hui nous les appelons les « objets connectés ».

Afin de pouvoir définir les enjeux des technologies Sigfox et LoRa, nous présenterons tout d’abord ces deux typologies de réseaux pour ensuite établir un comparatif entre ces deux technologies. Dans un second temps, nous analyserons ces technologies au sein d’un monde complexe et hyperconcurrentiel, mais également les limites encore présentes dans les domaines de l’IoT (Internet of Things) pour ainsi déterminer les enjeux réels de ces deux technologies.

Les technologies LoRa et Sigfox

Qu’est-ce qu’un réseau LoRa ?

Le réseau LoRa signifie Long Range ou « longue portée » en français. Il s’agit d’une technologie qui permet aux objets connectés d’échanger des données de faible taille en bas débit.

Tout d’abord il nous faut présenter la première technologie LoRa, l’alliance LoRa est une technologie existante depuis les années 2015. Cette technologie de modulation provient du rachat de l’entreprise française Cycleo en 2012, par l’entreprise américaine Smetech. La société à qui l’on doit cette technologie radio provient donc d’une société grenobloise. L’alliance LoRa comprend en tout 127 membres notamment Bouygues Telecom mais aussi d’importantes entreprises internationales comme HP, IBM et Cisco.

Diverses entreprises françaises telles que Bouygues Telecom, Orange et Archos ont déjà adopté la technologie LoRa en déployant un réseau de ce type. Le souhait de LoRa est de permettre la création d’un réseau dédié aux objets connectés et aux réseaux M2M (Machine to Machine). Ce réseau permettrait la réduction de coûts et de réduire la consommation énergétique des appareils s’y connectant. Ce type de réseau peut être comparé aux réseaux de type 3G ou 4G déjà présents dans nos vies de tous les jours. Nous pouvons également mettre en évidence que ce réseau n’utilisera pas la technologie IP (Internet Protocol), mais qu’elle sera basée sur la technologie LoRaWAN, étant un nouveau protocole généré par cette société pour répondre aux problématiques des objets connectés.

Cette technologie est un réseau ouvert, car toute entreprise peut créer son propre réseau de type « LoRa », l’exploiter après avoir acheté des puces est nécessaire pour permettre le fonctionnement au réseau. Afin de mettre cette technologie en place, il suffit d’installer une antenne accompagnée d’une station de base. Cette station émet une bande passante de 868 MHz (Mégahertz) et est connectée à Internet par divers moyens tels que le Wi-Fi, Ethernet, la 3G ou la 4G par exemple. Les objets connectés devront intégrer une puce LoRa afin de percevoir le signal d’une antenne LoRa. Cette technologie présente une excellente capacité de pénétration des bâtiments, ou encore de l’émission en sous-sol. Pour couvrir l’ensemble du territoire Bouygues Telecom prévoit de déployer pour Orange environ 6000 stations de base, qui représentent pour la technologie 3G sur le territoire français environ 28 000 antennes.

Divers exemples peuvent être cités afin de comprendre comment sera utilisée cette technologie « LoRa ». La technologie pourra permettre de mettre en place des capteurs, pour connaître l’état de fermeture des portes de baraques de chantier, afin de savoir si ces dernières ont été cambriolées par exemple. Egalement de placer des capteurs au niveau des places de parkings, cela représente un enjeu majeur pour l’émergence des Smart Cities (Ville Intelligente en français) car aujourd’hui la surveillance des places de parking se fait via une connexion Wi-Fi nécessitant énormément de coûts et d’énergie. Enfin de relever des données complexes au niveau de la consommation d’eau, d’électricité, de gaz et bien d’autres.

Qu’est-ce que la technologie Sigfox ?

Sigfox est une société française créée en 2016, dont le siège social est implanté à Labège, en banlieue toulousaine. Les deux fondateurs de cette entreprise sont Christophe Fourtet et Ludovic Le Moan tous les deux ingénieurs de formation. Ce réseau est une véritable révolution pour avoir mis en place dans le cadre du déploiement dédié à l’internet des objets, une réelle concurrence avec la technologie LoRa.

La technologie Sigfox s’est également spécialisée dans le M2M (Machine to Machine) à l’aide d’une connectivité cellulaire, dédiée aux réseaux à bas débit. Sigfox veut réinventer la transmission d’informations en baissant d’une manière importante la consommation d’énergie des périphériques connectés ainsi que le coût. On sait que le prix est un facteur clef de succès pour voir émerger durablement l’IoT. Sigfox a généré un réseau longue portée à bas débit permettant la communication de données de taille réduite entre les objets connectés sans utiliser un appareil mobile comme les smartphones, les ordinateurs portables ou les tablettes.

La finalité de la technologie créée par Sigfox serait de pouvoir autonomiser les objets connectés et leur apprendre à exécuter leurs tâches, sans l’intervention de l’homme, connecter le monde réel avec le monde virtuel. Le réseau Sigfox au niveau français utilise une zone de couverture très vaste car on compte plus de 1500 antennes relais sur le territoire permettant d’alimenter ce réseau.

Au niveau technique cette technologie utilise un système de connexion, utilisant des signaux de fréquence radio ultra-rapide et de longues portées appelée UNB (Ultra Narrow Band) spécifiques pour les objets connectés. Cette technologie radio est peu énergivore et utilise des bandes de fréquences libres de droit et disponibles dans le monde entier. Ce signal peut être émis partout même dans les zones reculées. L’entreprise dispose de son propre système de Cloud pour son interface Web, la configuration des données et de ses périphériques de ce réseau permet de prendre en charge de nombreux produits et capteurs. Au sein de ce réseau, on souhaite connecter des objets « simples » tels que les congélateurs, les machines à café et non les appareils mobiles possédant déjà leur propre réseau tel que le Wi-Fi, Ethernet, la 3G, la 4G ect. D’autre part, ce réseau sera « bidirectionnel » autrement dit les appareils enverront et percevront des données de la part d’une plateforme cloud.

Sigfox a pour objectif également de permettre la géolocalisation des données stockées dans un appareil via un autre appareil central permettant ainsi la prise de décision. Cette technologie s’avère importante pour le Big Data et permet une compréhension du monde devenu « endogène » au sein de notre économie complexe, cette technologie sera utile à la prise de décision.

Sigfox en France a déjà innové dans différents domaines et est déjà utilisé pour contrôler des panneaux publicitaires, mais également gérer des systèmes de ventilation, de chauffage des immeubles professionnels ou privés. Cette technologie permet aussi aujourd’hui de gérer les alarmes des maisons tel que le détecteur d’incendie, celui de fuite de gaz ou encore des alarmes de sécurité ect. Enfin cette technologie nous est déjà très utile sans que nous le sachions car elle permet de mieux prévoir les dangers climatiques, géologiques tel que les flux d’eau, la surveillance du climat et les tremblements de terre.

Enfin le réseau Sigfox n’est pas uniquement présent en France, certes il a été lancé en France, mais ce service s’est développé également dans onze autres pays d’Europe et est également présent en Outre-Atlantique. Sigfox est également en partenariat avec diverses entreprises au Royaume-Uni, également en Espagne, aux Pays-Bas, au Portugal, en Belgique enfin au Danemark ect. Par exemple à Moscou, la circulation automobile et les places de parking sont désormais contrôlées par cette technologie. Nous pourrons également montrer la puissance de son expansion, car en février 2015 pour sa quatrième levée de fonds Sigfox a réussi à réunir plus de 100 millions d’euros, ce qui est une somme record pour une entreprise n’étant pas côté en bourse.

LoRa VS. Sigfox laquelle de ces technologies pourrait-être considérée comme la plus efficiente pour le futur de l’IoT ?

Au niveau de ces deux typologies de réseau, lequel pourrait être considéré comme le meilleur afin de voir son développement influer sur le développement futur de l’IoT ? Ce n’est pas une question simple étant donné que Sigfox est un réseau déployé uniquement par un seul opérateur. Ci-dessous voici le choix des réseaux pour les 3 plus grands opérateurs français.

Au niveau du réseau Sigfox, ce réseau serait un service de connectivité vendu avec une garantie de service à l’aide d’un abonnement. Mais le problème de Sigfox reste le manque de points hauts (pylônes, clochers, immeubles) au sein des agglomérations pour déployer ce réseau avec précision. D’autre part, il n’y aura pas de géolocalisation possible (uniquement une macro-géolocalisation sur quelques kilomètres). La technologie LoRa est beaucoup plus précise, mais au même titre que les réseaux 3G ou 4G en France tout dépendra du nombre de stations qui seront déployées en France. Globalement plus il y a d’antennes sur le territoire plus la précision sera grande. D’autre part, l’avantage de la technologie LoRa est que ce sont les opérateurs qui déploient leur propre réseau LoRa, en outre elles peuvent déjà utiliser leurs points hauts déjà existants. Mais le principal problème chez LoRa est qu’actuellement ce réseau est uniquement déployé en France et non comme Sigfox à l’international. Voici ci-dessous en résumé les principales caractéristiques de ces deux réseaux.

Que ce soit Sigfox ou LoRa, ces deux acteurs restent majeurs dans le domaine de la communication entre les objets connectés. Malgré tout, nous pouvons mettre en évidence l’avance considérable de Sigfox par rapport aux concurrents, montrant ainsi fortement un avantage sur la technologie LoRa. Premièrement Sigfox est pionnier dans sa technologie, que ce soit en France ou à l’international et a également une longueur d’avance sur le marché déjà fortement occupé. Ce réseau couvre plus du territoire Français avec seulement 1500 antennes déployées alors que pour le réseau LoRaWan il faudrait plus de 7000 antennes pour égaler la couverture du territoire Sigfox, enfin cette technologie est déjà prête à l’emploi.

Les technologies Sigfox et LoRa (au sein d’un monde complexe, et les facteurs freinant encore le développement de l’IoT, leurs enjeux)

La concurrence internationale au niveau des technologies Sigfox et LoRa dans un monde complexe et hyperconcurrentiel

Rappelons-le, dans un monde de plus en complexe depuis le phénomène de mondialisation et de globalisation, le marché est devenu mondial. Les technologies LoRa et Sigfox sont soumises à la concurrence devenue de plus internationale, mais sont-elles réellement en danger ?

Tout d’abord le NB-IoT étant une autre technologie que celle de Sigfox et LoRa (Narrow Band IoT) « consiste à dédier l’utilisation d’une petite partie de la bande passante des LTE (réseaux mobiles) comme la 4G et surtout la future 5G pour connecter les objets » (Gaetan R). Les antennes d’aujourd’hui et celles de demain auront une double fonctionnalité, celle de générer une plus grande couverture plus rapidement mais également d’accueillir plus d’objets connectés.

En outre, les acteurs LoRa et Sigfox ne peuvent en aucun cas se dire que tout est déjà acquis pour eux, car les technologies de télécommunication dédiées à IoT se multiplient. Le potentiel de la Narrow Band IoT commence à se montrer de plus en plus influent sur le marché. Des entreprises telles que Vodafone ou encore Huawei sont en train de réaliser diverses phases de tests sur ce type de réseau à Madrid, leur objectif étant de commercialiser ce réseau à l’international dans l’année 2017, et des entreprises internationales telles que KT en Corée du Sud ont investi plus de 130 millions de dollars pour couvrir au niveau national ce procédé.

D’autre part, la position monopoliste des opérateurs risque de bouleverser notre paysage actuel, car les usages de l’IoT sont divers, que ce soit pour la santé, pour la domotique ou encore pour d’autres utilisations annexes, les différentes technologies risquent de cohabiter dans le futur de part ces diverses raisons. En outre, avec l’arrivée massive du NB-IoT dans les années 2020 et 2025, les technologies LoRa et Sigfox risquent d’être minimisées, en conclusion il est certain qu’aujourd’hui ces technologies déjà disponibles ne doivent pas se reposer sur leurs acquis car il est difficile d’assurer l’avenir à long terme de ces différents réseaux.

Les facteurs retardant le développement de l’IoT

Aujourd’hui dans le monde où l’IoT essaie de percer, il reste à noter que certains freins demeurent malgré le développement des technologies réseaux Sigfox ou LoRa, l’IoT ne semble pas se développer aussi rapidement que les prévisions qui étaient faites. Dans cette partie nous allons axer notre analyse sur les raisons retardant les projets IoT.

Premièrement il y a le problème du « Mur de l’industrialisation », car industrialiser des projets IoT reste difficile, intégrer une solution innovante au sein des processus industriels jusqu’à son déploiement à grande échelle n’est pas encore d’actualité, et n’est pas devenu normal pour les entreprises industrielles. D’autre part le modèle économique n’est pas défini, car pour effectuer un retour sur investissement d’un projet IoT, il faut bien délimiter le périmètre et aujourd’hui l’équation économique des projets IoT est peu claire, peu rentable et complexe.

Au niveau des capteurs il y a une réelle contrainte de production, car il n’y a pas encore une industrialisation sur ce type de projet, ce qui demande trop d’investissements. D’autre part, il n’est toujours pas évident de collecter des masses de données car les sources d’entrée générant des données doivent être combinées et ne sont toujours pas standardisées. Il faut également se focaliser sur les contraintes des métiers car au niveau des objets connectés il n’y a encore aucune normalisation claire, que ce soit au niveau des contraintes légales, normatives, d’homologations et enfin également sur la qualité de service.

L’un des niveaux le plus important reste celui de la sécurité étant donné qu’ils restent des vecteurs infectieux fortement utilisés par les hackeurs comme nous avons pu l’étudier dans un précédent article. Et le passage en phase industrielle nécessite une sécurité de bout en bout que ce soit au niveau des capteurs, au niveau de la connectivité ect.

Au niveau du déploiement des objets connectés, le passage en phase industrielle nécessite lorsque les capteurs seront déployés une configuration au niveau des logiciels, mais également il faut prendre en compte que ce déploiement nécessite d’importantes ressources humaines et matérielles.

Pour terminer, il y a encore un dernier problème à prendre en compte c’est la « résistance au changement », car les technologies de l’IoT induisent des changements profonds dans les différents métiers mais également dans les routines de l’entreprise, car cela va entrainer des changements dans les manières de travailler et peut réellement mettre en danger certains emplois. Il va falloir répondre aux inquiétudes de certains employés face à cette mutation autant économique, technologique que sociétale.

Cependant en quoi les technologies telles que Sigfox et LoRa sont-elles essentielles pour continuer à développer l’IoT (les enjeux)

Dans un premier temps, le point majeur montrant les technologies telles que Sigfox et LoRa sont essentielles pour le développement de l’IoT, les technologies liées aux objets connectés nécessitent des réseaux qui leurs sont propres, ces réseaux étant spécifiques permettront de ne pas saturer les réseaux dédiés aux ordinateurs et smartphones.

D’autre part, cela demande un effort qui devra être effectué par différents fournisseurs et créateurs d’objets connectés, afin que leurs différents objets soient compatibles avec les différentes technologies. Il en va réellement de l’avenir de l’IoT, car il sera l’un des passages obligé pour l’essor global de tout cet écosystème.

Actuellement le marché de l’IoT est encore en pleine mutation, il se cherche car les modèles ne sont pas encore clairs, mais il est certain que la croissance de l’IoT ne se fera que par la mise en place de mesures sécuritaires à tous les niveaux de la chaine de production mais également grâce à une ouverture à ces différents réseaux. D’après diverses études les premiers résultats sont encourageants, car les fournisseurs semblent avoir pris conscience qu’il est important d’intégrer ces composantes afin de garantir la réussite de leurs produits.

Dans ce monde complexe, les technologies Sigfox et LoRa, ont certes une longueur d’avance dans ce marché surtout Sigfox qui est déjà développé à l’international. Pour les concurrents, il faudra étudier encore plus attentivement le marché afin d’apporter une valeur ajoutée, selon Thomas Nicholls (Directeur Marketing et Communication chez Sigfox) « Les concurrents ne sont pas encore sur le marché car ils disent tous qu’ils peuvent faire mieux que Sigfox, ils veulent faire trop de choses. A l’arrivée, leurs prix ne nous concurrenceront jamais. A cause des moyens qu’ils ont déployés pour essayer de nous dépasser, leurs prix seront trop élevés ».

Même si l’arrivée de la 5G chamboulera notre paysage actuel, elle ne sera pas suffisante pour les opérateurs mobiles de prendre toutes les parts de marché conséquentes sur l’IoT du fait de la multitude de leurs usages. Enfin les réseaux à bas débit tel que Sigfox ou LoRa seront en conséquence indispensables à l’émergence de l’IoT pour de nombreux clients et fournisseurs. Aujourd’hui la 5G n’est encore qu’à l’état de projet. En conclusion, ces réseaux de basses consommations développés en France ou à l’international à des prix très intéressants sont avantagés face à la concurrence actuelle.

Conclusion

Ce qu’il faut retenir c’est que les technologies telles que Sigfox et LoRa demeurent essentielles pour le développement de l’internet des objets. Les objets connectés nécessitent des réseaux leur étant propres afin de ne pas saturer les réseaux dédiés aux ordinateurs et smartphones. Mais cela va devoir s’ancrer dans la mentalité des fournisseurs d’adopter ces types de réseaux sachant que le marché de l’IoT est en pleine mutation, et bien que Sigfox ait déjà un pied à l’international sur ce marché, il n’en demeure pas moins que tout n’est pas acquis pour cette entreprise et qu’elle risque de se confronter aux divers opérateurs internationaux. Des freins subsistent encore pour voir émerger l’IoT, mais sans des protocoles de communications propres le marché ne pourra pas émerger. C’est en ce sens que Sigfox et LoRa demeurent essentielles afin que le marché « objets connectés » puisse connaitre un essor global dans toutes ses composantes.

Par Julian Rioche, promotion 2016-2017 du M2 IESC

Références

Comment une armée d’objets connectés infectés a cassé Internet.

http://www.20minutes.fr/high-tech/1947575-20161022-comment-armee-objets-connectes-infectes-casse-internet

Cours Méthodologie de l’intelligence économique, BAULANT C., M1 IESC, Université Angers, 2015.

Internet des objets.

https://fr.wikipedia.org/wiki/Internet_des_objets

Internet des objets : en pleine croissance, le Toulousain Sigfox cherche des fonds.

http://www.ladepeche.fr/article/2014/12/05/2005501-internet-objets-pleine-croissance-toulousain-Sigfox-cherche-fonds.html

Les Vrai/Faux des réseaux dédiés aux objets connectés.

https://www.aruco.com/2015/12/Sigfox-lora/

LEVET J-L., 2001, Intelligence Economique, mode de pensée, mode d’action, Paris, Economica, collection l’IE.

LoRa : le futur réseau des objets connectés ?

http://www.frandroid.com/telecom/313396_lora-futur-reseau-objets-connectes.

LoRa ? Sigfox ? Allez bye bye !

http://www.objetconnecte.com/lora-Sigfox-allez-bye-bye-101016/

LoRaWAN.

https://fr.wikipedia.org/wiki/LoRaWAN

Machine to machine.

https://www.supinfo.com/articles/single/2346-machine-to-machine

Objets connectés : histoire et définitions.

http://www.objetconnecte.net/histoire-definitions-objet-connecte/

Objets connectés : opportunités et limites.

http://www.objetconnecte.net/objets-connectes-opportunites-limites/

Qowisio défie Sigfox et LoRa dans les réseaux pour objets connectés.

http://www.usine-digitale.fr/article/qowisio-defie-Sigfox-et-lora-dans-les-reseaux-pour-objets-connectes.N334389

Sécurité et interopérabilité : les enjeux de demain pour les objets connectés.

http://www.journaldunet.com/solutions/expert/60928/securite-et-interoperabilite—les-enjeux-de-demain-pour-les-objets-connectes.shtml

Sigfox, LoRa : quelles différences entre les réseaux M2M pour objets connectés ?

https://www.aruco.com/2015/04/Sigfox-lora-reseaux-m2m/

Sigfox, LoRa, Qowisio : la bataille pour les réseaux bas débit est lancée.

http://www.latribune.fr/technos-medias/Sigfox-lora-qowisio-la-bataille-pour-les-reseaux-bas-debit-est-lancee-482685.html

Tout savoir sur Sigfox.

http://www.objetconnecte.com/tout-savoir-sur-sigfox/.

L’article Les enjeux des technologies « Sigfox et LoRa » est apparu en premier sur Master Intelligence Economique et Stratégies Compétitives.

Cette attaque ne s’est pas produite sans aucune raison au préalable car les objets connectés sont vecteurs de ces diverses attaques. C’est aujourd’hui que la définition de l’internet des objets prend tout son sens… « L’Internet des objets (IdO ou IoT pour Internet Of Things) représente l’extension d’internet à des choses et à des lieux du monde physique » (Wikipédia, 2016). C’est dans ce sens que l’internet des objets peut avoir de réelles conséquences au sein de notre monde physique. Les objets connectés sont reliés à un large réseau, ces derniers pouvant-être connectés grâce au Wi-Fi ou plus récemment aux nouvelles technologies telles que SigFox et LoRa choisies par de grands opérateurs français. Pour les faire fonctionner, l’utilisateur a besoin d’intermédiaire tels que les smartphones ou les tablettes mais cela peut-être aussi des protocoles de communication qui leurs sont propres, c’est ainsi que ces objets vont pouvoir communiquer entre eux que nous appelons désormais les « objets connectés ».

 L’attaque ayant paralysée pendant plusieurs heures de grands sites web a pris la forme d’un « déni de service » (DDoS denial of service attack en anglais). Afin d’illustrer dans le monde physique ce que peut-être une attaque par déni de service nous allons prendre un exemple. « Si une boulangerie fabrique 100 baguettes en une journée et que 10 000 clients attendent devant la boutique, elle fermera rapidement ses portes » (Raphaël GRABLY, 2016). Une attaque (DDos) se produit lorsque des milliers de requêtes sont effectuées, souvent à partir d’un réseau de machines à qui ils demandent de leur envoyer du contenu simultanément. En outre, ce nombre immense de requêtes fait « exploser » les serveurs eux-mêmes piratés.

Afin de comprendre clairement ce qu’il a pu se passer lors de cette attaque et ses conséquences, nous nous intéresserons tout d’abord au fonctionnement détaillé du système DNS qui régit aujourd’hui internet. Nous ferons également le point sur les conséquences de cette attaque. Qui sont les responsables, mais aussi les externalités générées par ces attaques et enfin quels sont leurs réels impacts sur le monde physique.

Le système DNS : explications, failles et sécurisations possibles

Afin de pouvoir répondre à la problématique concernant les failles de sécurisation du DNS, il est important de montrer son fonctionnement, au sein d’internet. Le DNS (Domain Name System) est l’élément central de la disponibilité des services Internet (les sites internet, message, ou encore les VPN (Virtual Private Network).

Le fonctionnement du système DNS

Un site internet est localisé sur un serveur identifié par une adresse IP (par exemple : 3.3.3.3). Si les visiteurs ne connaissent que le nom de domaine (comme Google par exemple), autrement dit si une personne cherche à aller sur le site de Google, la personne ne va pas taper les numéros de l’adresse IP (3.3.3.3) cela étant trop complexe. Un NDD (Nom de domaine) lui a été attribué, le nom de Google.com. Les visiteurs du site internet ne connaissent que le nom de domaine (Google), ils doivent obligatoirement connaître cette adresse pour obtenir les données du site. Le serveur DNS intervient alors pour convertir ce nom de domaine en adresse IP et permettre la consultation du site. Le schéma ci-dessus résume le processus. Lorsque l’on tape Google dans un navigateur de recherche, ce dernier passe par le nom de domaine Google.com.

Tout d’abord, il faut passer par un navigateur (tel que Google Chrome, ou encore Mozilla Firefox), l’on tape alors dans le moteur de recherche et cette requête va passer par un résolveur. Il y a 3 serveurs permettant la résolution de la requête, tout d’abord il faut savoir qu’une adresse telle que (www.google.com) se lit de gauche à droite et non de droite à gauche. Ensuite, pour aller jusqu’au site internet de Google, cela passe par les 3 serveurs différents.

Pour commencer, l’on passe par le « . » (Invisible dans une adresse telle que www.google.com il se situe avant le com) le serveur racine du DNS. Il y a 14 serveurs internationaux utilisant le point (dans le monde il y a actuellement 13 serveurs racines du DNS au niveau disposés dans le monde entier) et douze organisations contrôlent ces serveurs, deux étant européennes, une japonaise, les autres étant américaines.

Après être passé par le « . » la requête passe par l’extension par exemple [.com (pour les Organisations commerciales, mais sans restriction)], ou encore par le .fr pour la France. Il existe énormément de déclinaisons possibles au niveau des extensions, il peut y en avoir pour des villes comme le. paris, pour des pays comme le .fr pour la France ou encore pour une marque comme BNP Paribas tel que le nom de domaine devienne .bnpparibas. Les extensions sont vendues avec le nom de domaine par un bureau d’enregistrement ou registraire de nom de domaine (Registrar en anglais) « c’est une société ou une association gérant la réservation de noms de domaine Internet, dans les domaines de premier niveau où il n’y a pas de vente directe pour le registre de noms de domaine ». (Wikipedia, 2016).

La dernière requête passe par le nom de domaine vendu aussi par un bureau d’enregistrement, il faut savoir également que le bureau d’enregistrement vend le nom de domaine complet. Par exemple, le domaine (Google) et l’extension (par exemple : .com). C’est ainsi qu’une requête est résolue lorsque nous l’effectuons dans un moteur de recherche. Cela se passe également sur ordinateur, tablette, smartphone des utilisateurs.

Les principales failles liées au DNS

Le système du DNS est une infrastructure vulnérable à protéger en priorité. Les problèmes visant directement le DNS sont l’empoisonnement du cache DNS, visant à intoxiquer le résolveur pour qu’il considère que le « pirate » soit légitime. Cette opération permet ainsi de capter et de détourner les requêtes vers un autre site web, sans que les utilisateurs puissent s’en rendre compte. Le risque étant de voir confier des données personnelles en se croyant sur le site légitime de la victime de l’attaque. Il y a la réflexion, c’est lorsque des milliers de requêtes sont envoyées par l’attaquant au nom de la victime. En conséquence, lorsque les destinataires répondent, toutes les réponses convergent vers l’émetteur officiel, dont les infrastructures se trouvent affectées.

 Enfin, il y a ce qui nous intéresse le plus dans ce que nous souhaitons étudier les attaques DoS (Déni de service) ayant pour objectif de rendre l’accès à un service impossible ou très pénible à l’aide d’un ordinateur ou encore le DDoS (Déni de Service Distribué) étant une forme élaborée du DoS impliquant plusieurs milliers d’ordinateurs. C’est dans cette logique que les Etats-Unis furent attaqués rappelons-le le vendredi 21 octobre 2016 dernier. Le schéma ci-dessous nous montre où les attaques ont été effectués. La côte Ouest et Est des Etats-Unis, principalement dans les grosses métropoles (Seattle, Porteland, San Franciso, Los Angeles et San Diego) pour la côte Ouest et principalement (Chicago, New-York et Washigton D.C.) pour la côte Est. Les sites touchés par ces attaques possèdent leur siège dans ces villes, il est à noter aussi que la Silicon Valley est la zone la plus affectée par cette attaque.

Les possibilités de sécurisation des principales failles liées au DNS

La sécurisation du système DNS est tout à fait possible. En effet, divers outils et méthodes nous permettent de protéger les serveurs, mais également d’éviter de se faire pirater/hacker les données ou la prise de contrôle par différents hackers. Depuis l’avènement d’internet, le monde est devenu de plus en plus connecté et complexe, un piratage de données au niveau du système DNS peut engendrer des pertes importantes pour une entreprise ou une organisation, tant au niveau macroéconomie que microéconomique, c’est en ce sens qu’il devient indispensable de sécuriser le système DNS.

Tout d’abord, il est possible d’assurer la meilleure redondance possible, de manière à ce qu’un serveur affecté par une attaque puisse être remplacé en toute transparence, par d’autres serveurs disposant des mêmes informations mais situés sur d’autres réseaux. Il est aussi possible de veiller à utiliser des versions mises à jour des logiciels DNS qui permettent de corriger, grâce à des « patchs » appropriés, pour ne pas devenir vulnérable aux attaques portant sur des failles de sécurité ayant déjà bien été identifiées.  Il est également indispensable de définir un « Plan de continuité d’activité » permettant à la victime d’une attaque de poursuivre, ou de reprendre en cas d’incident grave ses activités, avec un minimum d’indisponibilité de ses services. Cette solution permet de limiter les pertes générées par une cessation d’activité.

Enfin, il est possible d’effectuer une surveillance régulière de ces serveurs et de leur configuration. Ce principe permet de vérifier la configuration des serveurs. Divers logiciels sont disponibles gratuitement, afin d’assurer depuis l’extérieur la surveillance pour les organisations ne souhaitant pas déployer une infrastructure spécifique demandant trop de coûts. La solution la plus efficace est d’envisager de déployer DNSSEC (Domain Name System Security Extensions), en déployant un protocole de sécurisation du DNS par l’authentification des serveurs. Ce système permet de limiter notamment les attaques par empoisonnement du cache vu précédemment. Ce service peut être effectué par divers bureaux d’enregistrements internationaux qui possèdent eux-mêmes leur propre serveur DNS sécurisé. L’entreprise cliente de ce dernier ne sera pas affectée par le piratage.

Après avoir exposé les différents principes du système DNS, failles et sécurisations possibles, nous allons porter notre attention sur les conséquences de cette attaque.

Les conséquences de cette attaque : les responsables, externalités, impacts réels sur le monde physique

Les Etats-Unis ont été victimes d’une cyber attaque généralisée sans précédent. L’attaque ayant pris la forme d’un DDoS (Déni de service distribué), ayant surchargé de requêtes les serveurs cibles jusqu’à les rendre indisponibles.

Les responsables de cette attaque par DDoS chez DYN

C’est la société Dyn, qui est un bureau d’enregistrement (Registrar en anglais) qui redirigent les flux internet entre les adresses IP et les noms des sites Internet qui a été directement visée par cette attaque sans précédent. C’est parce que cet hébergeur a été touché, que les différents sites internet tel que (Netflix, Reddit, LinkedIn, PayPal, le New York Times, Pinterest) et bien d’autres encore ont été paralysés. Le schéma ci-dessous, montre que le serveur DNS interrogé ayant subi l’attaque par DDoS n’a pu effectuer toutes les requêtes, ce qui explique pourquoi les sites internet n’ont pas pu fonctionner.

D’autre part les objets connectées ont eux aussi été ciblés et ont servi de passerelle pour ces différents hackers. Selon Le Figaro il y a eu « des centaines de milliers d’objets connectés, comme des caméras de surveillance, des lecteurs DVD ou encore des babyphones, dont le contrôle a été pris sans que leurs propriétaires s’en aperçoivent ». Selon Anna-Senpai ils seraient plus de 380 000 à avoir été contaminés et ayant servi de passerelle à l’exécution de cette attaque par Déni de service Distribué.

Cette attaque informatique massive, d’après le département de la sécurité intérieure et le FBI (Federal Bureau of Investigation) et les différents témoignages recueillis, aurait été effectuée par de jeunes pirates amateurs. Aucun pays étranger ne serait derrière cette vaste cyberattaque mais un groupe « non étatique ». L’enquête est toujours en cours et il faut rassembler beaucoup de données.  Malgré cela il n’en demeure pas moins que ces attaques de plus en plus fréquentes au niveau international génèrent des externalités sur différents plans et différents acteurs au niveau international.

Les externalités générées par les cybers attaques au niveau géopolitique et géostratégique

Il est important de souligner que cette attaque va bien sûr générer de nouvelles externalités négatives, dans le domaine de l’internet et dans le développement des objets connectés, qui a aujourd’hui toujours du mal à s’imposer dans ce monde complexe en perpétuel changement.

Si les objets connectés deviennent un vecteur croissant des cybers attaques et une nouvelle forme de cybercriminalité, il faut s’attendre à bien plus d’attaques de ce type qu’auparavant. Cela s’explique par le fait qu’il y a de plus en plus de machines pouvant être possiblement infectées et les objets connectés sont souvent peu sécurisés… Selon le Gartner (Cabinet de recherche américain) « on estime à 20.8 milliards le nombre d’objets qui seront connectés en 2020 ».

En conséquence cela représente une somme colossale possible de machines pouvant être infectées. Les attaques DDoS peuvent finalement être utilisées comme un « écran de fumée » afin de cacher les intentions malveillantes des hackers.

La démultiplication de ces attaques génère des externalités négatives au niveau macroéconomique. Ces attaques de plus en plus fréquentes affectent les Etats-Unis et les autres pays industrialisés. Etant donné que nous sommes dans une économie complexe, basée sur l’économie de la connaissance où l’information devient un enjeu de pouvoir, la lutte contre le piratage doit être une priorité. Yahoo ! a été également victime de piratage massif en septembre dernier. Cette attaque a récupéré les données personnelles de 500 millions d’utilisateurs et pourrait avoir des répercussions très importantes. Et plus récemment, l’hébergeur français de sites web OVH s’est aussi fait pirater les données de centaines de milliers de clients en Europe.

La réglementation au niveau mondial se doit d’avoir un protocole commun afin de pallier à ces cyberattaques, aujourd’hui il n’en est toujours qu’au niveau de discussion. Les pays industrialisés du G7 ont adopté mi-octobre dernier une série de règles de protection. Il faut signaler enfin les enjeux de cybersécurité qui posent un réel problème au gouvernement américain. Selon Hillary Clinton « Internet continue de se reposer sur des protocoles et une infrastructure conçue avant que la cybersécurité ne soit un problème », cela montre qu’au point de vu géopolitique et géostratégique, la cybersécurité représente aujourd’hui un enjeu de taille mais également de pouvoir en particulier avec l’émergence d’objets connectés non sécurisés.

Les impacts économiques, sociaux et réels du piratage des objets connectés

Enfin sur cette dernière partie nous allons porter notre attention sur les externalités négatives générées par ces cybers attaques sur le plan social mais aussi économique. Toujours selon le cabinet américain Gartner, les investissements globaux dans le domaine de l’internet des objets en 2016 représenteraient plus de 1,414 milliards et représenteront selon eux en 2020 plus de 3,000 milliards de dollars de dépenses.

Il est à noter que cette étude fut réalisée avant l’émergence de ces dernières cybers attaques. Ces nouvelles attaques récurrentes ne seraient pas un frein aux investissements IoT ? En terme économique au niveau Américain mais aussi au niveau macroéconomique si les objets connectés deviennent de formidables outils de piratages, ces derniers risques d’affecter les investissements. En effet, les entreprises pourraient être de plus en plus réticentes à utiliser des objets connectés. D’autre part, au niveau sociologique si l’on veut que l’internet des objets devienne indispensable à notre vie future, les utilisateurs d’objets connectés se doivent d’être rassurés mais aussi leurs dispositifs protégés. Car d’après le tableau vu précédemment au niveau du grand public il y aurait plus de 1,534 milliards de dollars d’investissements qui seraient réalisés. « Beaucoup de révolutions sont mortes, car elles n’ont pas su trouver leur public » (Baulant, 2015).  Dans cette logique, il est indispensable de prendre en compte le point de vue social mais aussi économique.

Enfin au niveau microéconomique, ce piratage risque d’avoir également de réels impacts pour les utilisateurs objets connectés. Une entreprise se faisant pirater ses caméras connectées pourra également avoir de graves conséquences au niveau de la sécurité de ses salariés. Egalement du point de vue médical, avec les futurs dosages personnalisés « objectifs » rendus possibles grâce au Big Data, collectés par les objets connectés. Si l’objet a été piraté et n’affiche pas de bons résultats et que l’on administre au patient une dose mortelle d’un produit par erreur à cause de ce piratage, qui assumera la responsabilité de ces actes ? Dans cette logique, l’objet connecté peut devenir dans les cas les plus graves, une arme se retournant contre son utilisateur à cause du piratage.

Conclusion

Dans un monde de plus en plus connecté, la dernière attaque ayant visé les Etats-Unis le vendredi 21 octobre dernier, montre qu’aujourd’hui le monde d’internet et l’émergence des objets connectés, représente d’immenses enjeux de sécurisation. Mais, également peut générer de réels problèmes tant au niveau géopolitique, géostratégique, avoir des réelles conséquences économiques, sociales et générer des impacts négatifs sur notre vie future à cause de la récurrence de ces attaques. Aujourd’hui l’urgence est réellement d’imposer un protocole de communication commun aux objets connectés afin que ces derniers ne deviennent plus des facteurs infectieux. Il faut réfléchir à des sécurisations de ce protocole commun au niveau international si l’on veut stopper cette nouvelle forme de cyber criminalité.  Nous sommes aujourd’hui dans une guerre économique mais tendant de plus en plus à devenir une guerre connectée et la sécurisation et le protocole commun deviendront un enjeu d’impérialisme, d’influence et d’intimidation. Mais sans ce protocole commun cette infection ne pourra être contenue. Si l’on veut réellement que l’internet des objets devienne indispensable à notre vie de tous les jours, il n’y aura pas d’autre solution afin qu’il s’impose à notre nouvelle économie, connectée, complexe basée sur l’économie de la connaissance.

Par Julian RIOCHE, promotion 2016-2017 du M2 IESC d’Angers

Références

20.8 milliards d’objets connectés en 2020

http://www.stuffi.fr/20-8-milliards-dobjets-connectes-en-2020/

Bureau d’enregistrement

https://fr.wikipedia.org/wiki/Bureau_d%27enregistrement

[Flash] Les smart cities les plus vulnérables contre une cyber attaque !

http://www.objetconnecte.com/flash-smart-cities-vulnerables-cyber-attaque-0308/

Comment une armée d’objets connectés infectés a cassé Internet

http://www.20minutes.fr/high-tech/1947575-20161022-comment-armee-objets-connectes-infectes-casse-internet

Cours Méthodologie de l’intelligence économique, BAULANT C., M1 IESC, Université Angers, 2015.

Cyberattaque : les objets connectés pris pour cible par les pirates

http://www.francetvinfo.fr/monde/usa/cyberattaque-les-objets-connectes-pris-pour-cible-par-les-pirates_1884827.html

Cyberattaque sur des objets connectés

http://www.lefigaro.fr/flash-actu/2014/01/18/97001-20140118FILWWW00268-cyberattaque-sur-des-objets-connectes.php

DDoS, DNS, IoT: que veulent dire ces trois mots qui ont mis le Web à terre?

http://hightech.bfmtv.com/securite/ddos-dns-iot-que-veulent-dire-ces-trois-mots-qui-ont-mis-le-web-a-terre-1050927.html

Hier, ce sont des objets connectés qui ont attaqué Internet

http://www.frandroid.com/produits-android/accessoires-objets-connectes/385508_hier-ce-sont-des-objets-connectes-qui-ont-attaque-internet/amp

Internet des objets

https://fr.wikipedia.org/wiki/Internet_des_objets

La déferlante des objets connectés dans l’entreprise : le paradis des hackers

http://www.programmez.com/avis-experts/la-deferlante-des-objets-connectes-dans-lentreprise-le-paradis-des-hackers-23599

Les objets connectés : où en sommes-nous ?

http://master-iesc-angers.com/les-objets-connectes-ou-en-sommes-nous/

LEVET J-L., 2001, Intelligence Economique, mode de pensée, mode d’action, Paris, Economica, collection l’IE.

Objets connectés : quels sont les enjeux éthiques ?

http://master-iesc-angers.com/objets-connectes-quels-sont-les-enjeux-ethiques/

Une immense cyberattaque a visé des grands sites Web

http://www.lefigaro.fr/secteur/high-tech/2016/10/21/32001-20161021ARTFIG00343-des-grands-sites-web-perturbes-par-une-immense-cyberattaque.php

Une partie du Web en rade à cause d’une attaque géante (ça va mieux)

http://www.20minutes.fr/high-tech/1947535-20161021-partie-web-rade-cause-attaque-geante-ca-continue

WikiLeaks

https://fr.wikipedia.org/wiki/WikiLeaks

L’article Le système DNS et les objets connectés : le nouveau vecteur de cyberattaques est apparu en premier sur Master Intelligence Economique et Stratégies Compétitives.

L’avènement du numérique et d’internet a mis l’information au cœur du processus de décision stratégique. Une connaissance parfaite de l’information pertinente est nécessaire à toute entreprise afin de saisir l’ensemble des opportunités qui se présentent à elle, d’appréhender et de maîtriser les risques et de mener des actions efficaces et déterminantes pour son avenir. La maîtrise de l’information constitue donc le facteur à ne pas négliger dans l’entreprise. Elle est devenue un réel outil économique, indispensable quel que soit le secteur d’activité ou la taille de l’entreprise. C’est pourquoi les entreprises accordent beaucoup d’importance à celle-ci aujourd’hui pour pouvoir se positionner sur un marché donné.

De ce fait, chaque entreprise possède des informations pertinentes qu’elle aura récoltées ou triées et qui vont intéresser un grand nombre de personnes. Vous l’avez compris, l’information est vitale pour une entreprise mais encore trop peu sont efficacement protégées face aux cyberattaques. Il y a donc un paradoxe majeur : l’information est considérée comme un atout stratégique très important alors que la protection est souvent traitée de façon secondaire.

Définition : La protection de l’information est une démarche consciente visant à protéger, au sein de l’entreprise étendue, ce qui vaut la peine d’être protégé, tant au niveau des données que des supports d’information. Cette démarche implique un système de gestion, une identification des informations sensibles, une analyse de risques, des acteurs, avec des rôles et responsabilités et un programme de réduction des risques. Source : GiGref

La France a-t-elle les moyens de se défendre ?

Hormis les systèmes de défenses militaires qui disposent d’un équipement de haute sécurité, qui est soit dit en passant très onéreux, aucune entreprise ne peut garantir totalement sa protection contre la cybercriminalité. C’est pour cela qu’en 2009, la France a mis en place un dispositif de cyberdéfense, l’ANSSI ou Agence Nationale de la Sécurité des Systèmes d’Information. Le rôle de ce centre opérationnel est d’appréhender et d’endiguer les cyberattaques et de sensibiliser l’ensemble des acteurs et particuliers à ce phénomène qui ne cesse de croitre.

Croire que les antivirus ou les pare-feu suffisent à se sécuriser est une erreur. Il faut instaurer au sein de son système une « hygiène informatique » et analyser les risques d’attaque. Ce procédé permet de diminuer considérablement les risques. Pour se faire, l’ANSSI a mis à disposition un guide d’Hygiène informatique qui indique quelles sont les 40 règles à appliquer dans son système pour se protéger. En outre, il nous informe sur l’importance de mettre à jour ou à niveau nos logiciels, de repérer les comptes dit « importants » à surveiller et à protéger ou bien d’authentifier l’utilisateur. Vous pouvez retrouver l’ensemble de ces règles sur ce lien.

Pour aller plus loin dans la protection de nos données, Interpol a inauguré un nouveau centre de recherche particulièrement dédié à la lutte contre la cybercriminalité. Le site a été construit à Singapour (le siège restant à Lyon en France). La création de ce complexe est justifiée d’après Interpol car le partage sécurisé d’informations pourra profiter aux polices nationales.

Le nombre de cyberattaques ou attaques informatiques ne cessent d’augmenter. Elles sont également plus virulentes en termes de gravité. En 2015 et dans le monde, ces attaques ont augmenté de 38% forçant les entreprises à se défendre et à investir toujours plus dans la protection et la sécurité de leurs systèmes informatiques. L’investissement dans les systèmes de sécurité a ainsi augmenté de 24%.

La France est de plus en plus touchée par ces attaques avec une augmentation de 51% courant 2015. Le budget alloué au système de défense a donc lui aussi augmenté de 29%.

Le cabinet d’audit et de conseil PwC, en collaboration avec le CIO et le CSO, a recensé en moyenne 21 attaques/jour en 2015. C’est ce nombre impressionnant qui a forcé les entreprises françaises à se prémunir par des moyens de défense efficaces. Beaucoup d’entreprises pensent que les attaques concernent seulement les plus importantes d’entre elles ou les secteurs dit sensibles. Cependant, un grand nombre d’attaques se portent également sur des petites structures telles que les TPE ou les PME car elles sont souvent plus fragiles et plus faciles d’accès pour les Hackers peu expérimentés. De plus, ce sont souvent les petites structures qui sont soumises à de telles attaques car étant en expansion, ce sont elles qui disposent d’informations à très haute valeur ajoutée. Il est donc très important que l’ensemble des acteurs du territoire français prennent conscience du danger qui les guette en s’informant sur les possibilités de protection et de sensibilisation qu’ils peuvent mettre en place souvent à moindre coût.

Comment bien se protéger ?

Pour pouvoir se protéger efficacement contre tout type d’attaques informatiques, il est important avant toute chose de savoir de quelle façon les hackers s’introduisent dans nos systèmes afin de limiter les failles.

Il existe différentes façons d’attaquer un système informatique :

• L’attaque par déni de service : c’est sans aucun doute la plus virulente car elle peut rendre indisponible l’ensemble des ressources ou services que l’entreprise utilise pour stocker ou partager de l’information. Elle paralyse complétement son fonctionnement de manière indéfinie. Parmi ce type d’attaque, la plus connue est la DOS qui touche les services d’accès à internet, ou les ressources partagées.
• L’hameçonnage : il s’agit d’induire l’utilisateur en erreur pour pouvoir obtenir des informations pertinentes telles que les identifiants bancaires, mots de passe…). Le hacker utilise des e-mails avec un lien vers un site contrefait.
• Usurpation d’adresse IP : Cela consiste à substituer une adresse IP pour pouvoir contourner le pare-feu et ainsi s’introduire dans le système ou le réseau de l’entreprise.

En ayant connaissance de ces possibilité d’attaques et en ayant décelé les signaux faibles ou les failles de son réseau, l’entreprise peut se préparer afin de limiter l’accès à ses données.

Il faut donc au préalable identifier les données sensibles aux cyberattaques. Pour la plupart des entreprises, il s’agit des données clients, liées à la propriété intellectuelle ou stratégique de l’entreprise.

Comme dit précédemment, il faut ensuite comprendre les points d’entrée que les hackers pourraient utiliser. En identifiant ces points vulnérables, il sera plus facile pour les informaticiens de mettre en place ou de renforcer la sécurité.
La mise en place d’un système de sécurité informatique approprié aux besoins permettra à une entreprise de se protéger et d’empêcher pour un temps les hackers d’accéder à ses données.

Enfin il faut mettre en place des mesures de sécurité à l’intérieur de chaque service afin de sensibiliser les collaborateurs aux bonnes pratiques, à l’exemple de nombreuses sociétés qui interdisent l’utilisation de boites mails personnelles pour limiter toute intrusion extérieure par des canaux non sécurisés.

Cependant, afin que cette protection soit efficace, elle doit passer par l’ensemble des acteurs de manière organisée, transversale, collaborative et surtout dynamique. Pour se faire, il faut préalablement identifier les différents facteurs permettant la protection de l’information sensible :

• Tout d’abord l’entreprise doit définir et orienter les points clés à protéger
• La hiérarchie doit appliquer les règles de protection définies par l’entreprise, les faciliter et enfin les contrôler
• Chaque salarié doit bien entendu être informé par la direction des bonnes pratique mises en places, les appliquer et alerter les responsables lors de toute détection d’intrusion ou de problèmes de sécurisation, car ce sont les salariés qui pourront identifier tout manque de protection.
• Les ingénieurs informaticiens auront la tâche d’organiser cette protection, et de valider ou non toute action qui pourrait être sensible quant à la sécurité de son système informatique
• Les acteurs extérieurs auront également un rôle prépondérant comme l’ANSSI qui délivre des labels aux produits à utiliser, intervient dans l’aide au développement technique ou bien à la formation du personnel de l’entreprise aux bonnes pratiques de sécurisation et de protection

Les nouveaux risques et opportunités de protection :

L’avènement des nouvelles opportunités technologiques et numériques a entrainé de nouveaux risques en lien avec la cybercriminalité mais également de nouvelles opportunités de défense.

En effet, le développement du big data et celui des objets connectés (ou Internet des objets) entraine une nouvelle vision des risques et de la protection des données. Selon une étude de Business Analytics, « 73% des professionnels de l’informatique estiment possible qu’une société soit la cible d’une cyberattaque transitant via un objet connecté ». Les montres et bracelets connectés pourront très bien se connecter aux réseaux ou aux serveurs de l’entreprise. Le risque que représentent les objets connectés est encore mal estimé en termes de sécurisation de l’information. En effet, ces objets ont souvent un niveau de sécurisation insuffisant alors que les données qu’ils peuvent contenir sont parfois très sensibles.

En dehors de pouvoir récupérer les données personnelles d’un individu lambda, les hackers pourront s’introduire dans la montre connectée par exemple pour par la suite, quand cet individu sera sur son lieu de travail, s’introduire sur le système informatique et récupérer les données qui lui semblent pertinentes.

Il faut que les entreprises réussissent à neutraliser les risques en adoptant une stratégie de protection nouvelle, adaptée et efficace face à ce nouveau risque. Il s’agit par exemple de vérifier la sécurisation des appareils connectés de l’entreprise et de mettre en place un réseau visiteur afin d’éviter une connexion au réseau interne.

Pour les entreprises travaillant avec des intervenants extérieurs le Cloud est une nouvelle opportunité de partager des fichiers en toute sécurité. Cette solution permet aux entreprises et aux partenaires extérieurs d’obtenir les informations ou de les synchroniser en utilisant une infrastructure nuagicielle protégée de bout en bout.

Avec le développement des objets connectés et les avancées technologiques, les attaques seront de plus en plus diversifiées et pourront intervenir de différentes façons. Il est donc important de se prémunir dès maintenant par de nouveaux moyens de défense et de repenser à de nouveaux systèmes de protection de l’information.

Les entreprises quant à elles prennent consciences de l’importance de protéger leurs données sensibles face aux cyberattaques. Tout type d’entreprise peut faire l’objet d’une attaque, peu importe sa taille. De simples mesures de sécurité et de prévention peuvent suffire à limiter les risques.

Par Cédric Kernoa, étudiant promotion 2015-2016 du M2 IESC

Bibliographie :

• « Guide d’hygiène informatique », Agence nationale de la sécurité des systèmes d’information, Janvier 2013 :

http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_hygiene_informatique_anssi.pdf

• « Sécurité et espionnage informatique », Cédric Pernet, EYROLLES, Décembre 2014
• « Sécurité : Comment se protéger des attaques DDoS et les éviter ? », undernews :

http://www.undernews.fr/reseau-securite/firewall-ids/securite-comment-se-proteger-des-attaques-ddos-et-les-eviter.html

• « Sécuriser et protéger son site Web des attaques des pirates et hackers », legissa :

http://legissa.ovh/internet-se-proteger-des-pirates-et-hackers.html

• Protection de l’information, enjeux, gouvernance et bonnes pratiques, CiGref, 2008 :

http://www.cigref.fr/cigref_publications/RapportsContainer/Parus2008/Protection_information_2008.pdf

• Cyberattaque sur le site internet de la défense, youtube :

http://www.cigref.fr/cigref_publications/RapportsContainer/Parus2008/Protection_information_2008.pdf

L’article Lutter contre la cybercriminalité est apparu en premier sur Master Intelligence Economique et Stratégies Compétitives.

Depuis 2010, les objets connectés sont de plus en plus présents dans le quotidien des individus, au point de devenir un phénomène de mode. Ces objets ayant pour objectif de faciliter le quotidien de leurs possesseurs peuvent prendre différentes formes, allant du frigo jusqu’à la montre. Selon l’Institut Idate, on estime le nombre d’objets connectés à 15 milliards à travers le monde, soit environ 3,5 fois plus qu’en 2010. Toujours selon cette source, le phénomène devrait continuer à s’amplifier puisqu’elle estime le nombre d’objets connectés en 2020 entre 50 et 80 milliards. Cependant, ce phénomène engendre de nouveaux risques en matière de sécurité pour les utilisateurs, les concepteurs de ces objets et les sites internet.

En 2015, les pirates Charlie Miller et Chris Valasek, ont démontré la vulnérabilité des objets connectés en prenant le contrôle d’une voiture intelligente produite par le Groupe Fiat Chrysler, pouvant par la suite allumer les essuie-glaces. Plus grave encore, ils auraient pu bloquer le système de frein et contrôler le système d’accélération. Suite à cette démonstration largement médiatisée, le Groupe Fiat Chrysler a rappelé plus d’un million de véhicules afin d’effectuer des mises à jour sur leur logiciel et augmenter le niveau de sécurité. Une des conséquences de cette démonstration est le sentiment de méfiance vis-à-vis des constructeurs de voitures connectées. Ceci pourrait avoir des répercussions économiques sur les ventes. Pour les utilisateurs d’objets connectés, le risque vient principalement du vol de données personnelles que peuvent stocker les objets connectés, ces informations allant du carnet d’adresses aux numéros de cartes bancaires. Ces risques aujourd’hui ont été relativement bien identifiés par les entreprises et les utilisateurs. Cependant, les e-commerces sont moins conscients des problématiques qu’engendrent la multiplication des objets connectés pour leurs activités.

Pourquoi les objets connectés sont un risque encore peu identifié par les sites de e-commerce ?

Une des explications pour expliquer le manque de conscience du risque des objets connectés pour les sites de e-commerces et leurs activités est qu’ils ne sont pas directement touchés actuellement.

En effet, le pirate ne va pas pirater l’objet connecté de sa cible comme c’est le cas pour les constructeurs ou les utilisateurs mais les objets connectés d’individus lambda pour pouvoir atteindre le site. La technique utilisée par les hackers est appelée attaque DDos, en français attaque par déni de service. Cette technique consiste à inonder un serveur web afin de rendre celui-ci inopérable. Pour cela, le hacker utilise des machines zombies appelées en anglais Botnets, qui vont simultanément se connecter sur un serveur, le rendant ainsi inutilisable. Initialement, les Botnets étaient des ordinateurs de particuliers connectés sur Internet et infectés par un ver informatique ou un cheval de Troie. En février 2000, le Groupe Yahoo a subi une attaque DDos qui a paralysé ses serveurs pendant trois heures et entraîné des pertes financières estimées à 500 000 $ selon le groupe. Pour les grandes entreprises du e-commerce telles qu’Amazon, la menace des attaques DDos est bien identifiée. Néanmoins, pour les PME se développant sur Internet, ce risque n’est pas forcément bien assimilé.

Quel lien entre les attaques DDos et les objets connectés ?

Depuis l’apparition des attaques DDos, celles-ci ont été principalement effectuées à l’aide d’ordinateurs zombies. Cependant, depuis 2010, les machines zombies ont pris une nouvelle forme, celle des objets connectés. En effet, la société Proofpoint, spécialisée dans la sécurité informatique, a réalisé une étude en 2013 sur les attaques informatiques et a identifié l’utilisation de 100 000 objets connectés lors de ces attaques. Les experts en sécurité informatique parlent de Thing Botnets pour qualifier ce phénomène. L’augmentation du nombre d’objets connectés infectés est un risque pour les sites car les objets connectés génèrent des adresses IP difficilement identifiables comme menace par les moyens mis en place pour se protéger contre ce type d’attaque. Parmi les moyens actuels pour la protection contre les attaques DDos, il y a la solution d’héberger son site sur plusieurs machines. Ainsi les serveurs ne subissant pas l’attaque permettront aux personnes voulant se connecter sur le site de pouvoir continuer à profiter du service. Une seconde solution est de mettre en place un serveur tampon qui servira de filtre, bloquant les adresses IP les plus actives et donc normalement cellent qui commande les ordinateurs ou les objets connectés infectés. En outre il faut savoir que ces mesures sont parfois inefficaces et que les entreprises, notamment les PME développant leurs activités sur Internet n’ont pas les moyens financiers pour les mettre en œuvre.

La motivation des pirates, entre réputation et motivation d’ordre financière et politique

Il existe plusieurs raisons qui poussent les pirates à effectuer des attaques DDos. Lorsque des pirates lancent une attaque DDos contre des sites marchands, leur motivation est principalement financière. Les conséquences contre un site marchand peuvent être désastreuses et se caractérisent par une perte de chiffres d’affaire puisque les clients ne peuvent plus y accéder, mais aussi par une dégradation de la réputation du site. Les pirates informatiques ont conscience de cela et exigent donc des rançons auprès des entreprises afin de « libérer le serveur » comme ce fut le cas avec l’agrégateur de Flux RSS Feedly qui en 2014 a subi une attaque DDos. Une autre motivation qui va pousser un pirate à lancer une attaque DDos contre un site peut être d’ordre politique. En effet, le groupe de hacker Anonymous a réalisé plusieurs attaques DDos afin de protester contre des décisions politiques. Enfin, certains pirates lancent des attaques DDos pour obtenir une réputation. L’attaque lancée par Michael Calce contre le Groupe Yahoo relevait du défi, celui-ci n’ayant pas pour intention de demander de rançon.

Il existe différents types de pirates. Le premier type, qui est à l’origine des attaques DDos ayant pour objectif d’obtenir des gains financiers est appelé black hat hacker ou cracker. Le second type, ayant pour but d’améliorer la sécurité en décelant les failles est appelé white hat hacker. Parmi les white hat hacker et les black hat hacker, on retrouve les script-kiddies. Ces derniers ne programment pas et donc utilisent des logiciels « prêt à l’emploi ». Les script-kiddies sont, grâce à la facilité de contourner la sécurité des objets connectés, des personnes susceptibles de les utiliser comme machines zombies dans le cadre d’attaque DDos, d’autant plus que ces objets feront de plus en plus parti de notre quotidien dans le futur.

Les caractéristiques des attaques DDos en 2015, quelles évolutions ?

Selon l’étude réalisée par la société américaine Akamai, spécialisée dans la location de serveurs, les caractéristiques des attaques DDos ont évolué par rapport à l’année précédente. En effet les attaques DDos ont été plus puissantes, certaines étant supérieures à 100 Gbit/s. Ces attaques sont capables de paralyser le site internet ciblé mais aussi les autres sites hébergés sur le serveur. Il y a eu aussi une augmentation des attaques, basée sur la technique de réflexion et de démultiplication. On peut faire la relation entre l’augmentation des objets connectés et l’augmentation des attaques utilisant la technique de réflexion et de démultiplication car les objets connectés peuvent servir de routeur pour amplifier le nombre de requêtes et donc saturer la bande passante d’un serveur.

Aujourd’hui, les principales cibles des attaques DDos sont les sites de jeux, représentant 35 % des sites internet touchés par une attaque DDos cette année. En seconde position on retrouve les éditeurs de logiciels et les prestataires de services informatiques. Parmi les pays les plus touchés par les attaques DDos, on retrouve en première position la Chine, suivi des Etats-Unis et du Canada. En ce qui concerne la France, elle est le pays le plus touché par les attaques DDos d’Europe selon Kaspersky Lab, le nombre d’attaques augmentant par rapport à 2014.

La sécurité des objets connectés, un enjeu contre la lutte des attaques DDos

Selon Thomas Longstaff, la meilleure façon de lutter contre les attaques DDos est de « faire de la prévention afin de renforcer le niveau de sécurité des machines connectées au réseau et de protéger les machines cibles ». On peut expliquer cela par le fait qu’il est difficile de contrer une attaque DDos lorsque celle-ci est lancée. Aujourd’hui, les machines connectées au réseau sont aussi les objets connectés. Cependant, on estime que 70 % des objets connectés seraient susceptibles d’être piratés selon une étude de Hewlett-Packard. On peut expliquer la vulnérabilité des objets connectés par la présence de failles importantes en matière de protection du produit. On peut citer parmi ces failles la mauvaise gestion de la confidentialité, le défaut de manque de système de chiffrement et de mot de passe, l’absence de mise à jour du logiciel, des interfaces mal sécurisées. Aujourd’hui, les constructeurs d’objets connectés doivent faire un travail pour offrir un niveau de protection acceptable à leurs appareils. Il faut aussi sensibiliser les utilisateurs d’objets connectés à la sécurité de leurs objets à travers le besoin d’effectuer des mises à jour etle changement de mots de passe afin d’éviter que le produit soit utilisé à des fins malhonnêtes.

Les attaques DDos via des Thing Botnet, une réalité qui risque de s’amplifier

Pour conclure ce sujet, nous pouvons dire que bien qu’aujourd’hui marginale, cette pratique va sûrement s’amplifier dans le futur. La principale raison est le double intérêt pour un hacker de pirater les objets connectés en obtenant des informations sur l’utilisateur et de pouvoir utiliser l’objet connecté comme machine zombie pour attaquer des cibles plus importantes, les sites internet. Pour les fabricants d’objets connectés, il est primordial d’intégrer la partie sécurité de l’appareil dans la conception du produit, en prévoyant des mises à jour, et la possibilité de pouvoir modifier les mots de passe afin de rendre l’utilisation plus sûre pour les consommateurs. Pour les sites internet et notamment les PME, les attaques DDos risquent de devenir de plus en plus difficiles à gérer, notamment à cause du coût des prestations en matière de sécurisation des serveurs.

Camille Andreotta, étudiant promotion 2015-2016 du Master 2 IESC

Bibliographie :

Objet connecté : « Le développement des objets connectés : les chiffres »

http://www.objetconnecte.net/developpement-objets-connectes-les-chiffres/

Les Echos : « Des pirates informatiques ont pris le contrôle d’une voiture Chrysler »

http://www.lesechos.fr/27/07/2015/LesEchos/21987-044-ECH_des-pirates-informatiques-ont-pris-le-controle-d-une-voiture-chrysler.htm

Les Echos : « Les multiples facettes des attaques DDos »

http://archives.lesechos.fr/archives/cercle/2013/01/31/cercle_64468.htm

CNET : « Les objets connectés déjà utilisés dans des réseaux de pirates »

http://www.cnetfrance.fr/news/les-objets-connectes-deja-utilises-dans-des-reseaux-pirates-39816722.htm

CERT-FR : « Le déni de service distribué »

http://cert.ssi.gouv.fr/site/CERTA-2000-INF-001/index.html

Wikipedia : « Chronologie des événements impliquant Anonymous »

https://fr.wikipedia.org/wiki/Chronologie_des_%C3%A9v%C3%A9nements_impliquant_Anonymous

Viruslist: « Akamai : le caractère des attaques DDos a changé »

http://www.viruslist.com/fr/news?id=197471299

CNPD : « Webcams et objets connectés : risques et précautions »

http://www.cnpd.public.lu/fr/dossiers-thematiques/nouvelles-tech-communication/webcams-objets-connectes/index.html

L’article Les objets connectés : un nouveau risque à identifier par les usagers, les entreprises et les sites internet ? est apparu en premier sur Master Intelligence Economique et Stratégies Compétitives.