Après avoir décrit les systèmes de communication des objets connectés, nous allons désormais traiter dans ce second volet de la sécurité des IoT. Aujourd’hui, dans cette phase de déploiement intense, il est nécessaire de maîtriser la sécurité des installations pour éviter tout risque majeur, humain ou matériel, causé par une cyberattaque.
Qu’elles soient criminelles ou préventives, les attaques contre les objets connectés se sont multipliées au cours de l’année 2016 dans tous les secteurs. Fin avril 2016, c’est la centrale nucléaire de Gundremmingen en Allemagne qui a été ciblée. Au total, 18 postes informatiques ont été infectés mais aucun n’a eu d’impact sur les réacteurs. La catastrophe aurait été bien plus dramatique si tel avait été le cas. Le principal danger, avec de tels virus, est la possibilité de prendre le contrôle de tous les objets connectés liés au réseau, paralysant ainsi tout le système.
Du 18 au 23 septembre 2016, OVH a été victime de la plus grande attaque de l’histoire par déni de service distribué (DDOS), qui correspond à une vengeance des cyber criminels suite à la fermeture d’un acteur majeur du DDOS. 150 000 objets connectés, principalement des caméras de surveillance et des systèmes d’enregistrement vidéo, ont en effet été piratés au sein de la structure.
Enfin, le 21 octobre de l’année dernière, le Botnet Mirai a mis hors service les serveurs de la société américaine DYN, spécialisée dans la gestion des noms de domaines (DNS). Cette attaque s’est basée sur le piratage des caméras de surveillance de l’entreprise. Au final, de nombreux sites internet majeurs comme Twitter, Netflix ou encore CNN étaient inaccessibles pendant une dizaine d’heures.
Ces trois exemples justifient l’idée que les objets connectés sont devenus le nouveau terrain de jeu des cybercriminels. Les attaques en 2017 se sont d’ailleurs multipliées, à nouveau contre OVH par exemple. Cependant, les conséquences pourraient devenir de plus en plus grave. En effet, les risques autour de la voiture connectée, de la Smart Health, Smart Home et des villes connectées ne seront plus matériels uniquement mais humains. De plus, la multiplication des systèmes d’objets communiquant sans intervention humaine causera encore plus de dégâts. Comment faire face à ces nouveaux risques majeurs ?
Avant de chercher des solutions, il est indispensable de cerner les menaces. Nous nous rendons rapidement compte que le problème peut se situer à chaque maillon de l’écosystème IoT :
Le cryptage est un moyen utilisé pour rendre le message non déchiffrable pour toute personne ne possédant pas la clé de chiffrement. Pour l’IoT, il est de bas niveau pour éviter une surconsommation de data et donc d’énergie pour les objets.
Nous devons donc faire face à de nombreuses menaces, mais le principal danger réside dans la création même de cet écosystème. En effet, le time-to-market est réduit au minimum par les acteurs du domaine : ils donnent donc la priorité au gain rapide de nombreuses parts de marché au détriment de la sécurité. Cependant, une prise de conscience commence à émerger et diverses solutions sont possibles, notamment suite à des contraintes légales, liées notamment au Règlement général sur la protection des données (GDPR en anglais).
Plusieurs solutions sont mises en place, qu’elles soient techniques ou organisationnelles.
Techniquement, il est possible d’apporter des améliorations à plusieurs niveaux :
En termes d’organisation, un premier label mondial « IoT Qualified Security » a été créé par Digital Security, filiale du groupe ECONOM. Ce label résulte de la mise en place d’un CERT, entité chargée de la veille et de l’évaluation d’incidents sur des systèmes d’information, qui certifie les entreprises qui adoptent les bonnes pratiques et ne présentent aucune vulnérabilité dans leur système. Notons que 92 % des acteurs sondés du marché de l’IoT, étaient favorables à la mise en place de ce standard de référence, selon leur propre étude réalisée.
Par ailleurs, dans le cadre d’application du GDPR, l’installation d’un Data Protection Officer au sein de chaque structure concernée est obligatoire à partir de mai 2018, sous peine de sanctions financières importantes.
Enfin, nous noterons que des acteurs de la cyber sécurité mettent en place actuellement des solutions pour sécuriser l’utilisation des objets, notamment au sein de la smart home. À titre d’exemple, F-Secure, entreprise finlandaise, a créé un routeur capable de gérer l’ensemble des objets de votre maison connectée. Il représente une interface entre ces objets et internet : une sorte de pare-feu, filtrant ainsi les connexions et limitant par conséquent les risques.
A noter également la création d’une alliance, l’IoT Cybersecurity Alliance, regroupant AT&T, IBM, Nokia, Symantec, Palo Alto Networks et Trustonic, pour proposer des solutions durables et efficaces dans le domaine. Ce projet n’étant qu’à son commencement, nous ne pouvons savoir si son effet sera ressenti à court, moyen ou long terme dans l’écosystème IoT.
Si les menaces sont de plus en plus perceptibles et conséquentes, la prise de conscience de nombreux acteurs devrait permettre d’apporter des solutions pour garantir la sécurité des objets connectés. La réussite de ce marché en dépendra forcément. Chaque maillon de l’écosystème aura un rôle à jouer pour faire face à des cyber criminels efficaces et organisés.
Une fois cet aspect résolu, nous pourrons pleinement profiter des avantages de l’IoT, via une exploitation sécurisée et sereine des données récupérées. Nous en reparlerons dans la suite de ce dossier…
Sources :
http://www.lepoint.fr/societe/une-centrale-nucleaire-allemande-victime-d-une-cyberattaque-29-04-2016-2035939_23.php
http://www.zdnet.fr/actualites/ovh-noye-par-une-attaque-ddos-sans-precedent-39842490.htm
https://lexpansion.lexpress.fr/high-tech/cyberattaque-massive-une-capacite-d-attaque-phenomenale-a-ete-deployee_1843531.html
http://www.lemondeinformatique.fr/actualites/lire-comment-securiser-l-iot-en-s-attendant-au-pire-66592.html
https://docs.microsoft.com/fr-fr/azure/iot-suite/iot-security-best-practices
https://www.econocom.com/fr/actus/communiques-de-presse/digital-security-filiale-du-groupe-econocom-lance-le-premier-cert
http://www.numerama.com/tech/271974-f-secure-sense-un-routeur-intelligent-objets-connectes.html
https://www.channelnews.fr/att-ibm-nokia-symantec-palo-alto-networks-trustonic-sallient-securite-objets-connectes-70055
Vous avez un projet digital ? Nous pouvons vous aider à définir et concrétiser rapidement votre stratégie.
Contactez-nousDémarrez votre projet digital avec Keley Consulting
En tant que société de conseil digital native, nous accompagnons les grands groupes et les startups dans la définition, la mise en œuvre et l’optimisation de leurs stratégies digitales. Nous comptons aujourd’hui plus de 70 consultants, tous impliqués dans l’accompagnement de nos clients sur les problématiques du digital. N’hésitez pas à nous contacter pour toute demande :
La collecte des informations demandées est nécessaire au traitement de votre demande par Keley, unique entité habilitée au traitement. Elle vous permettra en premier lieu de recevoir une réponse à ce message. En cas de contact ultérieur de la part de Keley, votre consentement sera au préalable recueilli. Vous disposez d’un droit d’accès, de rectification, d’opposition et de suppression des données vous concernant. Pour l'exercer, merci de nous en faire la demande par email à l’adresse communication@keley-consulting.com.
Inscrivez-vous à la newsletter Keley
Recevez tous les mois nos paroles d'experts et l'actualité du digital dans notre newsletter.
La collecte des informations demandées est nécessaire au traitement de votre demande par Keley, unique entité habilitée au traitement. Elle vous permettra de recevoir chaque mois la newsletter Keley, mais aussi de recevoir en avant-première des invitations à nos événements et de donner votre avis lors d'enquêtes. Pour tout autre type de contact, votre consentement sera au préalable recueilli. Vous disposez d’un droit d’accès, de rectification, d’opposition et de suppression des données vous concernant. Pour l'exercer, merci de nous en faire la demande par email à communication@keley-consulting.com.