[EDITION ABONNES] Le nombre de produits utilisateur connectés à l'Internet des objets (IoT) et de nœuds IoT de périphérie de réseau (edge) - tels que les appareils électroménagers, les dispositifs électroniques personnels portés sur soi  les robots industriels et autres drones connectés - augmente à vitesse grand V. Selon ABI Research, la base installée d’appareils connectés, qui devrait réunir plus de 70 milliards d’unités en 2026, pourrait toutefois constituer une surface d’attaque d’ampleur dans l’environnement IoT.

La plupart de ces produits se caractérisent en effet par une consommation réduite, un espace de stockage limité et une faible puissance de calcul, des caractéristiques qui imposent à ces appareils de se connecter régulièrement à l'environnement cloud pour bénéficier d’un stockage centralisé, de capacités d’analyse de données, d’une surveillance en temps réel, d’un accès à distance et de mises à jour du firmware et des logiciels embarqués. La connexion au cloud constitue aussi un autre vecteur d’attaque.

Selon ABI Research, une stratégie efficace de sécurité IoT device-to-cloud doit donc cibler trois domaines essentiels : les appareils eux-mêmes, le réseau et le cloud. « La sécurisation des équipements, objets et autres dispositifs connectés consiste souvent à protéger le processeur et les données stockées au sein de ces appareils contre toute tentative de violation, rappelle Michael Amiri, analyste en charge de la cybersécurité industrielle et IoT pour la société d’études. La sécurisation du réseau, quant à elle, assure le transfert en toute sécurité des données entre l'appareil IoT et le cloud, et la sécurisation du cloud permet de protéger les données contre toute intrusion lorsqu'elles se trouvent dans le nuage. »

Dans ce cadre, des fournisseurs tels que Palo Alto Networks offrent une visibilité sur l'environnement cloud. La solution Prisma Cloud de cette société apporte une visibilité sur les menaces dans le cloud, tandis que sa solution de sécurité Networks Enterprise IoT se focalise sur des frameworks "zero trust" pour remédier aux vulnérabilités des appareils IoT, détaille ABI Research. Ayla Networks, de son côté, est un fournisseur de plateformes IoT qui propose des logiciels de bout en bout et des services cloud. Son offre de cybersécurité, précise l’analyste, est censée répondre aux exigences de sécurité des appareils IoT et du cloud en maintenant l'intégrité de la connectivité cloud, en fournissant des analyses de données et en permettant aux fabricants de connecter leurs portefeuilles IoT de manière plus sécurisée aux réseaux cloud.

Au-delà de la sécurité intégrée dans le design des appareils et des offres de sécurité des fournisseurs de cloud, les utilisateurs finaux doivent aussi s’assurer de la mise en œuvre de pratiques d'authentification robustes, compte tenu notamment de la nature de l'accès distant et du télétravail dans l'environnement IoT. « Dans un tel environnement, les fournisseurs spécialistes de la sécurité doivent placer les solutions de sécurité cloud au premier plan de leurs stratégies marketing, indique Michael Amiri. Mettre l'accent sur les solutions cloud est fondamental sur un marché où les appareils IoT s'appuient de plus en plus sur le nuage pour le stockage, la gestion des données, les traitements, la gestion à distance et les mises à jour. »

La société d’études met ici en avant la société Digicert qui fournit une solution de détection des menaces IoT, qui met en œuvre des clés sécurisées fournies par des modules HSM (Hardware Security Modules) déployés sur site dans le cloud et qui génère une nomenclature logicielle (SBOM) complète pour accéder à la visibilité sur les logiciels déployés dans l'environnement IoT.

La solution de sécurité chip-to-cloud Cirren Cloud ID d'Infineon, quant à elle, est un service dans le cloud qui automatise l'enregistrement du certificat de l'appareil IoT et le provisionnement des appareils produits à grande échelle (lire notre article).

Les technologies de sécurité IoT connaissent déjà une forte demande, conclut ABI Research, demande qui va probablement s’accélérer si de nouvelles réglementations pour l’IoT et pour les connexions cloud sont adoptées. Et la société d’études de citer en exemple une récente obligation imposée aux fabricants de dispositifs médicaux aux États-Unis de fournir une nomenclature logicielle (SBOM). A ce titre, l’analyste s'est entretenu avec plusieurs fournisseurs de services SBOM qui pensent tous que la réglementation est un moteur important pour leurs activités.

« Il est évident que le nombre de connexions et d’appareils IoT va exploser au cours des trois à quatre prochaines années, assure Michael Amiri. L’Amérique du Nord et la zone Asie affichent le niveau de croissance le plus élevé, suivies par l’Europe occidentale. Ce seront les plus grands marchés pour les solutions de sécurité IoT et cloud. Les marchés traditionnels des solutions de sécurité IoT sont les secteurs verticaux du grand public, de la finance, des entreprises et des gouvernements. Mais l’automobile, la santé et la production industrielle connaissent un fort engouement en faveur de la sécurité IoT. »

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC