"En matière de sécurité de l'Internet des objets, il faut respecter une check-list"

L'Embarqué Opinion Expert

[TRIBUNE by Paul-Edouard Launay, CISCO JASPER France] De récentes attaques malveillantes massives utilisant des objets connectés comme portes d’entrée ont montré la fragilité de la chaîne de sécurité de l’Internet des objets. Pour remédier à ce problème majeur, la sécurité doit être l’affaire de tous, du concepteur d’objets connectés aux opérateurs réseau, explique ici Paul-Edouard Launay, directeur commercial de Cisco Jasper France qui milite pour le respect d’une check-list de la sécurité dans l’IoT. ...

Le rapport Cybersecurity Insights publié par AT&T, qui s'appuie sur une étude menée auprès de plus de 5 000 sociétés dans le monde entier, révèle que 85% d'entre elles déploient ou prévoient de déployer des équipements IoT (Internet of Things). Or, seulement 10% d’entre elles sont certaines de pouvoir protéger ces équipements contre les menaces de piratage. Les promesses de l'Internet des objets sont phénoménales mais mais son adoption exige que les sociétés élaborent et traitent une check-list en matière de sécurité si elles veulent que leurs initiatives dans l’IoT soient réellement protégées.

Le piratage est la menace la plus courante pour l'IoT. Si des chercheurs ont pu pirater des équipements disponibles sur le marché tels que des véhicules, comment stopper un pirate informatique malveillant ? La crainte d'être submergé par une trop grande quantité de données est également très répandue, accentuée par les déclarations de la Commission fédérale du commerce qui indique que moins de 10 000 ménages peuvent produire jusqu’à 150 millions de points de données discrètes chaque jour et que chacun d'entre eux constitue un point d'entrée potentiel pour les pirates informatiques. Plus sombre encore est le risque d'écoute, car les fabricants et les pirates informatiques sont en mesure d'espionner virtuellement n’importe quel foyer. C'est ce qu'ont fait par exemple des chercheurs qui ont utilisé des données non cryptées d'un compteur intelligent d’un foyer pour identifier le programme télé regardé par les habitants dudit foyer. En somme, il s'agit bel et bien de problématiques réelles et actuelles qui, si elles ne sont pas traitées, vont entamer la confiance du marché, empêchant l'Internet des objets de réaliser toutes ses promesses.

La sécurité : l'affaire de tous

Comme sur tout autre marché, il n'y a pas UN fournisseur, seul responsable de la sécurité de l'Internet des objets, mais au contraire un écosystème de sécurité IoT étendu qui doit travailler en bonne entente pour identifier les menaces de manière proactive et par conséquence avoir toujours une longueur d'avance sur les pirates informatiques. Cet écosystème de sécurité IoT englobe les fournisseurs de services IoT, les fabricants d’équipements, les fournisseurs de systèmes IoT (objets connectés) et les opérateurs réseau.

Les fournisseurs de services, notamment dans le secteur de l'automobile, des soins de santé, de l'électronique grand public et des services municipaux, considèrent que leurs exigences en matière de sécurité sont uniques et spécifiques à leur marché. Or ce n'est généralement pas le cas. Une des grandes difficultés pour ces fournisseurs est notamment de faire face à la multiplicité des lois, souvent contradictoires, en matière de confidentialité et de protection des données.

De leur côté, les fabricants d'équipements, ceux qui conçoivent un terminal et une plate-forme de service intégrant des technologies similaires à de nombreuses autres solutions de communication, d'informatique et IT, doivent se mettre d’accord pour mettre sur pied un ensemble de normes auxquelles tous leurs équipements se conformeront.

Quant aux fournisseurs de systèmes de l’IoT, ils doivent impérativement intégrer la sécurité dès le le début du processus de conception. A commencer par la boîte à outils du développeur fournie par l'opérateur du réseau, en passant par les politiques mises en place pour déployer, gérer et protéger les équipements connectés et en fin de compte le service final. Par exemple, les fournisseurs de plates-formes de gestion de la connectivité IoT doivent faciliter la détection de comportements anormaux ET permettre l'automatisation des réponses à ces comportements, comme permettre l'arrêt automatique des équipements agissant de manière suspecte. Les sociétés doivent aussi intégrer la sécurité aux applications logicielles et aux connexions réseau qui relient tous ces équipements.

Enfin, les opérateurs réseau, qui partagent souvent les mêmes exigences de sécurité pour la protection de leurs ressources que les fournisseurs de services IoT, doivent mettre en œuvre des des solutions de sécurité communes, plutôt que multiplier les infrastructures de sécurité (potentiellement redondantes).

Globalement, les sociétés doivent changer la façon dont est gérée la sécurité de l'Internet des objets, elles doivent en finir avec les silos et s'assurer que toutes les parties prenantes de l'écosystème assument leur responsabilité.

Vers une check-list de sécurité IoT

Plusieurs points essentiels doivent être analysés et vérifiés dans une application de l’IoT, points qui constituent une véritable check-list que tout un chacun devrait garder en tête :

- Évaluer l'identification et l'authentification de bout en bout de toutes les entités impliquées dans le service IoT, autrement dit les passerelles, les terminaux, le réseau domestique, les réseaux d'itinérance, les plates-formes de services.

- S'assurer que toutes les données des utilisateurs partagées entre le terminal et les serveurs principaux sont cryptées.

- Vérifier que toutes les données “personnelles” et réglementées sont sauvegardées et utilisées conformément à la législation en vigueur sur la confidentialité et la protection des données.

- Utiliser une plate-forme de gestion de la connectivité IoT et établir des politiques de sécurité basées sur des règles pour pouvoir mettre en œuvre des actions immédiates lorsque des comportements anormaux sont détectés chez les équipements connectés.

- Adopter une approche de sécurité globale de niveau réseau. 

Dans cette perspective, les fournisseurs de connectivité ont un rôle spécifique à jouer dans l'écosystème de la sécurité IoT. En effet, ils protègent les équipements, les données et les plates-formes grâce à une sécurité multicouche qui inclut une prévention des accès non autorisés ou illégaux et des utilisations frauduleuses des équipements, avec en particulier des protocoles d'urgence qui bloquent les brèches de sécurité majeures, une authentification bifactorielle et une surveillance des groupes fermés.