Objets connectés et cyber-menaces: réveillons-nous!

Photo Sandy Verma / Senior Director of Asia Pacific for Internet of Things Solutions / July 22nd, 2016

La cybersécurité est déjà en tête de l’agenda de la plupart des dirigeants. Mais l’ampleur et la portée du déploiement de l’Internet des objets vont faire exploser les risques, rendant toujours plus difficile la protection des entreprises. Comment y répondre ? Quelques principes simples permettent déjà de prendre la mesure du problème.

Le déploiement rapide de l’Internet des objets (IoT) offre aux organisations la possibilité d’améliorer leur efficacité interne, de fournir un meilleur service à leurs clients, de pénétrer de nouveaux marchés et même de développer de nouveaux modèles d’affaires. De la santé aux services publics, en passant par l’automobile, la fabrication et la logistique, de nombreux secteurs sont déjà transformées par l’Internet des objets, et dans un avenir proche toutes les activités économiques sans exception seront concernées.

Cette transformation radicale a des conséquences sensibles en termes de sécurité. L’échelle des appareils connectés augmente considérablement la complexité de la cybersécurité, et l’ampleur croissante des écosystèmes IoT amplifie ces défis.

Selon l’enquête State of IoT Security réalisée par AT & T, à peine 10% des répondants sont certains que leurs appareils connectés sont sécurisés, et seulement 12% se disent sûrs de la sécurité des dispositifs de leurs partenaires d’affaires. La question, pour les dirigeants, n’est plus de convaincre leur conseil d’administration de la réalité du risque, mais d’apprendre à identifier les menaces, à concevoir et mettre en œuvre les mesures adéquates, et de convaincre leurs administrateurs que l’organisation est bien préparée.

coboard

Où sont les risques?
Au niveau le plus élémentaire, beaucoup de véhicules, d’équipement fixes et d’appareils connectés n’ont pas intégré dans leur conception la sécurité informatique ou les risques de piratage. Cela laisse beaucoup de points faibles et de failles à travers lesquelles les pirates et autres cybercriminels peuvent s’infiltrer dans les systèmes d’information. Au cours des deux dernières années, le centre des opérations sécurité d’AT & T a enregistré une augmentation de 458% dans les analyses de vulnérabilité des appareils IoT.

En outre, de nombreux dispositifs IoT ne sont pas correctement surveillés. Près de la moitié des répondants à l’enquête AT & T admettent qu’ils se contentent d’estimer le nombre d’appareils connectés dont ils disposent ; seuls 38% utilisent des systèmes ou des logiciels de gestion pour identifier les périphériques connectés et seuls 14% ont un processus de vérification formelle.

Le défi sécuritaire augmente à mesure que les dispositifs IoT commencent à tisser de multiples liens entre les mondes numériques et physiques. Des milliers de dispositifs interconnectés contrôlent déjà les infrastructures physiques comme que les lignes de production, les chaînes d’approvisionnement et la production d’énergie, ainsi que les avions et les voitures. Par exemple, dans la voiture connectée, les capteurs recueillent des données pour surveiller les calendriers de maintenance, résoudre les problèmes et analyser les modes d’utilisation. D’autres capteurs, couplés avec des commandes vocales et des applications mobiles, ajoutent des fonctions telles que la navigation et de l’infodivertissement.

D’un point de vue organisationnel, toute violation de données peut endommager de manière significative la réputation des entreprises, leurs parts de marché et la valeur de leurs actions. Et lorsque le déploiement de l’Internet des objets engage un risque pour la sécurité humaine, quelle que soit l’ampleur de ce risque, les enjeux sont beaucoup plus élevés. Cela ajoute un nouveau niveau de complexité à la stratégie de sécurisation des systèmes d’information.

Comment pouvons-nous répondre?
Compte tenu du niveau de risque, la sécurité doit être le fondement de tout de déploiement de l’Internet des objets. La question doit être posée avant et non après le développement. Ce principe a deux implications majeures.

Premièrement, il est impératif que l’expertise sécurité soit associée au processus de développement dès les toutes premières étapes. Intégrer la sécurité dans des dispositifs IoT et leurs réseaux depuis le départ est la seule manière sérieuse de protéger une infrastructure IoT. Cela implique de déployer plusieurs couches de contrôles, y compris le cryptage, pour protéger les fonctions essentielles à la mission. Cela signifie également de concevoir une architecture limitant l’interdépendance des systèmes connectés.

Dans la voiture connectée, par exemple, les systèmes de sécurité critiques et les unités de contrôle du moteur peuvent être isolés de sorte qu’ils ne peuvent pas être accessibles par le biais des systèmes d’infodivertissement et de communication.

Deuxièmement, il se peut que les entreprises doivent modifier leurs systèmes et leurs politiques de cybersécurité existantes pour accueillir des stratégies IoT. Dans tous les cas, ces stratégies doivent être étroitement intégrées et prises en compte dans les autres stratégies d’entreprise, et au premier ressort toutes celles qui concernent les systèmes d’information. Il faudra prendre des mesures pour que les logiciels et progiciels soient mis à jour en temps opportun, et mettre en œuvre des contrôles pour identifier et contenir des failles de sécurité dès qu’elles surviennent.

Pour être efficace, cette stratégie de sécurité intégrée devra englober l’ensemble de l’écosystème IoT, couvrant non seulement les appareils, données et applications de l’entreprise, mais celles de ses partenaires et clients. Dans un environnement industriel, où les capteurs, actionneurs et autres dispositifs IoT surveillent et contrôlent les machines pour améliorer l’efficacité, cela se traduira par la mise en place de contrôles d’authentification et d’autorisation dans l’ensemble de l’écosystème.

L’ampleur des systèmes impliquant des objets connectés et les conséquences d’un piratage sont désormais si importantes qu’il est vital pour les entreprises d’anticiper les besoins de sécurité avant de déployer les nouveaux dispositifs. Des lignes de responsabilité aussi claires que possible, des procédures de sécurité cohérentes et un engagement fort du top management dans la sécurité IoT sont nécessaires pour éviter les problèmes et faire face aux attaques qui ne manqueront pas de se produire. L’attention et l’implication de l’équipe de direction et du conseil d’administration dans les questions de cybersécurité sont un bon indicateur du succès des stratégies IoT.

Note des éditeurs. Cet article est paru à l’origine dans notre édition chinoise, publiée conjointement avec l’université Jiaotong de Shanghai, SJTU ParisTech Review.

More on paristech review

By the author

  • Objets connectés et cyber-menaces: réveillons-nous!on July 22nd, 2016
  • Stratégies pour l’Internet des objetson September 8th, 2015