• Print
  • Decrease text size
  • Reset text size
  • Larger text size
04/24/2017

Sécurité de l'internet des objets

L’IoT est une “extension” de l’internet en pleine explosion, qui continuera de croître malgré un cadre réglementaire et normatif encore flou. Les protections de cybersécurité associées doivent progresser en parallèle, en s’adaptant aux nouveaux challenges proposés par l’IoT. Les DSI ont donc un rôle crucial à jouer au sein de l’entreprise pour protéger la donnée, qui prend de plus en plus de place et de valeur dans une société de l’information.

 

Contexte et enjeux de la sécurité de l'internet des objets

Pourquoi parle-t-on de révolution des objets connectés ? Nous utilisons et sommes entourés de plus en plus de dispositifs interconnectés qui communiquent ensemble. Ainsi nous passons de plus en plus de temps à interagir avec un objet qui est connecté à Internet, aussi bien dans un cadre privé que professionnel. Cela permet, grâce aux progrès en data analytics, de créer de la valeur à partir des informations que nous consultons, créons, etc. Ce qui donne par ailleurs naissance à de nouveaux métiers, domaines et compétences (Chief Data Officer, Data Scientist, Master Data Manager...)

Il s’agit donc plus d’une évolution que d’une révolution : le nombre d’objets connectés augmente depuis qu’Internet a été créé, et ne cessera d’augmenter tant que des réseaux existeront pour supporter leurs communications.

En cela, l’opportunité est réelle pour les entreprises : utilisés en catalyseurs de la transformation numérique, les objets connectés sont de plus en plus présents et révolutionnent le cœur de métier de plusieurs secteurs d’activités (Banque, Assurance, Énergie, Transport, Santé, Distribution, BTP…).

Les gouvernements, entreprises et observateurs prévoient que l’IoT devienne un standard dès 2020 avec des estimations atteignant 20 (Gartner[1]), 50 (Cisco[2]), voire 80 milliards (IDATE [3]) d’objets connectés. En effet les early adopters ont déjà lancé leurs premières solutions et les réseaux évoluent pour faire face aux besoins à venir (protocoles d’échange, nombre de connexions, volume de données échangées, couverture du territoire…). Les premiers retours d’expérience font état d’un constat majeur : l’évolution de l’IoT propose des challenges colossaux de part son échelle et son ampleur. Quelques exemples :

  • Quelles solutions pour piloter les objets ?
  • Quels capteurs pour quelles utilisations ?
  • Comment maîtriser les données générées et consommées ?
  • Quelles réglementations, quelles normes pour encadrer le développement de l’IoT ?
  • Comment exploiter les données tout en contrôlant à distance les objets en temps réel ?

Incombe aux dirigeants de comprendre et d’identifier comment tirer parti au mieux de cette évolution et affronter la disruption qui s’annonce. A la DSI de se positionner comme le vecteur de cette vague qui déferle déjà à tous les niveaux de l’entreprise. Ce qui implique certaines transformations des enjeux et métiers de la DSI : il s’agit désormais de trouver un équilibre entre le potentiel des objets connectés, la maîtrise des flux de données générés et les capacités analytiques d’aide à la décision.

Connecter les employés et les équipements, les API dans le cloud, les couches analytiques. Ces nouveaux défis vont amener la DSI à accentuer la transversalité de l’infrastructure IT de l’entreprise et remplacer ses modèles centrés sur la réduction des coûts et l’augmentation de l’efficacité au profit de modèles centrés sur la création de valeur, supportés par des méthodes agiles et des cycles de développement courts.

Mais le point majeur, régulièrement cité comme le principal frein à son développement, est la sécurité de l’IoT.

 

 

Les DSI peuvent manquer de clés (définition/évaluation/développement de la sécurité) pour piloter la sécurité de bout en bout. D’autant plus que dans ce contexte de prolifération des objets et d’un maillage de connexions toujours plus fin, le cadre est encore incertain (en termes de standards, de réglementations, de normes). Il faut donc se préparer à répondre aux exigences externes à venir, en privilégiant une approche proactive et évolutive de la sécurité.

La première attaque d’objets connectés à déjà eu lieu ...

Le 21 Octobre 2016 le gestionnaire de zone DNS, DYN, a subi une attaque à l'empleur sans précédent. Quelques dizaines de services importants, d'Airbnb à Twitter en passant par GitHub ou Reddit, sont devenus difficilement accessibles pendant quelques heures. La raison: une attaque par déni de service distribué (DDoS) se servant de dizaines de millions d’objets connectés, pour lancer des requêtes en masse et de manière coordonnée. L'infection d’un si grand nombre d’objets est la conséquence d’une sécurité insuffisante (par exemple un mot de passe par défaut laissé tel quel). 

 

Notre vision sur l'internet des objets

Les DSI font doivent donc se positionner sur le sujet de la sécurité IoT : que faut-il sécuriser et comment procéder ?

Une approche priorisée, pragmatique et orientée risques est primordiale pour orienter adéquatement l’effort au sein de la DSI. Le niveau de « risque IoT » est proportionnel au degré d’intégration des objets connectés dans l’entreprise, au sein des projets, dans les équipes …

Le risque est évidemment plus important pour les objets connectés déjà en place que pour les projets IoT, ceux-ci manipulant déjà des données métier. Toutefois les projets, de plus en plus nombreux à devoir être mis en production, constituent une réelle préoccupation pour les DSI et plus particulièrement les RSSI. La démarche de sécurité IoT doit ainsi prendre en compte aussi bien l’existant que les projets à venir, de manière proactive et adaptable :

 

 

 

La démultiplication des objets connectés pose en effet le problème de la sécurisation d’équipements et de systèmes nouveaux sur lesquels il y a encore peu de recul. Il est ainsi nécessaire de procéder par phases, telles que présentées dans le schéma précédent:

1. Protection

A court terme, dans la mesure où la vision n’est pas encore claire sur l’ensemble des moyens à mettre en œuvre, la première étape consiste à mettre les « murs » nécessaires à la protection du SI. Segmentation réseau, DMZ, etc.. sont autant de protections potentielles à investiguer.

L’objectif de cette première phase est de mitiger le risque de l’IoT existant et d’en tirer le retour d’expérience nécessaire avant d’évoluer vers les étapes suivantes : la définition de la stratégie de sécurité puis son application petit à petit.

2. Stratégie de sécurité IoT

Simultanément, il faut commencer à préparer sa défense « étendue », intégrée et en phase avec la sécurité du SI de gestion. Cela passe par la définition de la stratégie sécurité IoT, basée sur une analyse de risques complète et exhaustive. En découleront par exemple la politique de sécurité IoT ainsi que les principes d’intégration de la sécurité dans les projets IoT.

 

3.Mise à niveau de la sécurité IoT

La déclinaison de la stratégie de sécurité IoT peut ensuite avoir lieu. Il s’agit d’établir un plan d’action priorisé, notamment en fonction du niveau d’intégration des objets connectés au sein de l’entreprise ou du niveau de protection déjà en place. Ce plan doit adresser les sujets de fond de la sécurité IoT :

4. Amélioration continue

Dans la continuité d’une approche de la sécurité dynamique et proactive, l’amélioration continue et l’innovation devront être intégrées comme des valeurs de la sécurité SI en général et plus particulièrement celle orientée IoT. Penser une sécurité au « juste coût », pouvant être un levier à la création de valeur pour l’entreprise est le challenge que devront relever les DSI.

… et la typologie des attaques évolue rapidement.

En octobre 2016, Mirai, le malware à l’origine de l’attaque subie par Dyn dont nous parlions plus haut a eu pour conséquence une surcharge du réseau rendant accessible un certain nombre de services. Fin Mars 2017 la société Radware détectait un nouveau malware basé sur Mirai mais aux conséquences encore plus dévastatrices : Brickerbot. Plutôt qu’une attaque de type DDoS, il s’agit cette fois d’une attaque PDoS (Permanent Denial of Service), qui vise à endommager suffisamment un appareil qu’il devient nécessaire de le réinitialiser, ou même d’en changer certains composants.

 

----------------------------------------------

Pierre Girard - Consultant
0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top