Question de M. MAZUIR Rachel (Ain - Socialiste et républicain) publiée le 23/02/2017
M. Rachel Mazuir appelle l'attention de Mme la secrétaire d'État, auprès du ministre de l'économie et des finances, chargée du numérique et de l'innovation sur le manque de sécurité informatique des objets connectés.
Aujourd'hui, plus de six milliards d'objets sont connectés dans le monde, 30 à 80 milliards le seront en 2020, selon les experts. Ce ne sont plus seulement les ordinateurs et les téléphones qui sont pourvus d'une connexion à internet, mais des dispositifs médicaux (implants, pacemaker, pompe à insuline
), des montres, bracelets, babyphones, jouets intelligents
Automatisés ou commandés à distance, ils sont omniprésents dans les maisons, les entreprises et les administrations.
Or, la grande majorité de ces objets connectés n'a pas de protection intrinsèque ou présente des failles de sécurité, ce qui fait d'eux autant de portes pour attaquer les systèmes. Pour preuve, fin septembre 2016, un déluge de connexions s'est abattu sur OVH, géant européen de l'hébergement internet. Il provenait d'un réseau d'au moins 145 000 objets connectés, tous pilotés à l'insu de leur propriétaire, saturant complètement les services d'OVH. Le mois suivant, plusieurs grands sites internet américains (Amazon, Twitter, Netflix
) ont été paralysés à leur tour par une attaque via des caméras connectées.
Lancés dans une course à l'innovation et ne disposant pas toujours des moyens nécessaires, les constructeurs sortent en effet des produits souvent dépourvus de défenses informatiques, sans prendre la mesure des enjeux. De fait, le fonctionnement de ces objets peut être altéré par un piratage et le respect de la vie privée mis à mal, les objets connectés permettant la captation et le partage massifs des données personnelles, sans que l'utilisateur n'exprime clairement son consentement.
Depuis plusieurs années, la France promeut le renforcement de la cybersécurité en Europe et apporte un soutien actif au développement de l'agence européenne chargée de la sécurité des réseaux et de l'information (ENISA [european network and information security agency]) qu'elle préside actuellement. Grâce à son implication, une directive européenne sur la sécurité des réseaux et des systèmes d'information, la directive « NIS » (network and information security), a en ce sens été adoptée le 6 juillet dernier. Dans le même temps, un partenariat public-privé doté de 450 M€ de budget initial a été signé sur la définition de normes communes dans la cybersécurité européenne. Par ailleurs, la Commission européenne réfléchirait actuellement à un système de labellisation visant à mettre en valeur les objets les mieux sécurisés.
Néanmoins, face aux menaces de cyberattaques et compte tenu du développement de l'internet des objets, il serait sans doute opportun d'inciter les fabricants à faire de la sécurité dès la conception des objets connectés.
Il souhaiterait donc savoir si le Gouvernement envisage d'instaurer une norme sur une qualité minimale de sécurité pour ces objets, ou si d'autres mesures sont examinées.
- page 726
Transmise au Ministère de l'économie et des finances
La question est caduque
Page mise à jour le