Box domotique - Enjeu de la sécurité

Box domotique : Quels sont les risques liés à la sécurité ?

L’objectif de cet article n’est pas de livrer une méthode complète (Il y a beaucoup de littérature sur ce sujet.), mais de permettre au lecteur par un jeu de questionnement simple de déterminer ces principaux risques.

Qu’est qu’un risque ?

 

Que dit la norme (ISO 31000) ?  Le risque est l’effet de l’incertitude sur les objectifs.

 

Cette définition est peut être un peu compliquée et surtout pas très concrète.

 

Concrètement, je dirais qu’un risque, c’est la combinaison de 3 paramètres:

 

  • Une menace : Cause potentielle d’incident, qui peut résulter en un dommage au système ou à l’organisation
  • Une vulnérabilité: Faiblesse dans un système informatique, permettant à un attaquant de porter atteinte à l’intégrité de ce système, c’est-à-dire à son fonctionnement normal, à la confidentialité et l’intégrité des données qu’il contient.
  • Un impact ou une conséquence ou plusieurs conséquences.

 

Concrètement, si votre système n’a pas de vulnérabilités, il est invulnérable, il n’y a pas de risque.

 

Je vous rassure, il n’existe à ma connaissance aucun système sans vulnérabilité : Même les centrales nucléaires ne sont pas invulnérables, il suffit de regarder ce qui s’est passé au Japon récemment !

 

S’il n’y a pas d’éléments menaçants pour exploiter une vulnérabilité, il n’y aura pas de réalisation du scénario de risque: Il n’y a pas de risque.

 

Est ce que cela peut arriver ? Réponse : Oui.

Voici un exemple simple: la sonnette électrique de votre domicile.

 

Scénario de risque « sonnette électrique »

 

Menace : Quelqu’un appuie sur le bouton de la sonnette à 2 heures du matin pour s’amuser

Vulnérabilité: le bouton est actif à 2 heures du matin

Conséquences/impact :La famille est réveillée. Monsieur n’arrive plus à dormir et passe une mauvaise journée de travail.
Cependant la majorité des français laisse la sonnette activée la nuit considérant que la menace est quasi inexistante (Pas beaucoup de personnes qui voient l’intérêt d’appuyer pour s’amuser).

 

Voici typiquement un exemple où il y a de la vulnérabilité et de l’impact mais pas de risque parce que (la plupart du temps) il n’y a pas de menace.

S’il n’y a pas impact, il n’y a pas de risque : Cela peut il arriver ? Réponse : Oui.

 

Exemple : Imaginons que vous ayez mis en place un système de commande de votre éclairage à distance par onde radio de votre jardin, de vos dépendances et des couloirs de votre maison et qu’une vulnérabilité permette à quelqu’un, votre voisin par exemple, d’envoyer les bonnes commandes pour l’éclairage.

Menace : Le voisin active l’éclairage à 2 heures du matin pour s’amuser.

Vulnérabilité : système d’onde radio vulnérable

Impact : Vous dormez dans votre chambre (et non dans le jardin ou dans les couloirs…), impact nul si vous considérez la consommation électrique négligeable.

 

Si vous considérez que l’impact est faible ou nul et que vous acceptez donc ce risque, il est inutile de dépenser de l’argent pour corriger la vulnérabilité.

Dans le prochain article, nous verrons 3 méthodes pour identifier les risques.

 

N’hésitez pas à me laisser un commentaire.

 

A bientôt.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.