L’Internet des Objets (IoT) nous a rendus plus efficaces dans tous les aspects de nos vies. Partout dans le monde, ces technologies IoT sont devenues essentielles à l’activité des entreprises. Mais, à mesure que ce réseau mondial d’appareils intelligents évolue et se complexifie, de nouveaux problèmes de sécurité émergent.
Le réseau d’objets IoT physiques intègre des capteurs, des logiciels et d’autres technologies. Connectés à Internet, ces appareils peuvent recevoir et transmettre des instructions, mais aussi collecter et échanger des données avec d’autres appareils et systèmes par Internet.
L’IoT se caractérise avant tout par sa capacité à permettre aux objets physiques de traiter et d’analyser des données. Fonctionnant avec peu, voire aucune, intervention humaine, ces appareils connectés améliorent l’efficacité, la productivité et la rentabilité des entreprises.
Dans cet article, nous passerons en revue les risques que ces IoT font peser sur la cybersécurité, et les mesures à prendre pour atténuer ces risques par la mise en place de divers protocoles de sécurité.
Quelles menaces de sécurité pour l’IoT ?
Grâce à l’Internet des objets (IoT), nous bénéficions de nombreux appareils utiles qui nous facilitent notre quotidien, au bureau comme à la maison. Toutefois, ces technologies IoT ont également introduit un nouveau type de risque pour la sécurité des organisations. Smartphones, imprimantes, caméras de sécurité, thermostats, éclairages intelligents, équipements agricoles, appareils de soins de santé et véhicules connectés… Cette pléthore d’appareils et de capteurs en réseau multiplie les vecteurs d’attaque possibles. Il est par conséquent indispensable de mettre en place une sécurité à plusieurs niveaux, avec notamment, un confinement des réseaux IoT.
L’Internet des objets expose les organisations à un risque cyber accru.
L’IoT est un système interconnecté d’équipements informatiques, d’engins mécaniques ou d’objets dotés de capteurs et de logiciels capables de transférer ou d’échanger des données sans intervention humaine. La sécurité IoT comprend les technologies et les processus mis en place pour prévenir ou atténuer les cybermenaces qui pèsent sur ces appareils.
Les appareils IoT créent une passerelle entre un réseau sécurisé et des appareils non sécurisés. Chaque appareil connecté à ce réseau utilise des protocoles comme le WiFi, le Bluetooth, la communication en champ proche (NFC), etc. Or, les appareils non sécurisés peuvent être compromis, avec les risques de vols d’informations ou d’accès non autorisés. Parmi les principaux types de menaces, on retrouve les : dénis de service distribués (DDoS), l’exploitation de microprogrammes, les attaques par interception, dites « de l’homme du milieu » (Man-in-the-Middle), les vols de données, les attaques par force brute et physiques, les ransomwares, le brouillage des fréquences radio et les accès non autorisés. Dans chacun de ces scénarios, les répercussions sur l’entreprise peuvent être dramatiques.
Dans une organisation, l’augmentation du nombre d’appareils connectés et de la quantité d’informations partagées entre différents appareils fait grimper le risque de voir un pirate informatique s’emparer d’informations confidentielles.
Quelles sont les défenses possibles ?
La prolifération des capteurs et des appareils connectés élargit considérablement la surface d’attaque du réseau, avec in fine, une augmentation des menaces pour la cybersécurité. La vulnérabilité particulière à laquelle l’IoT est exposée tient à l’absence de prise en compte de la sécurité lors de la fabrication des objets connectés ou du manque de connaissance des dernières exigences de sécurité par les fabricants. Conséquence : dans les organisations, les technologies IoT sont bien souvent le maillon faible de la sécurité.
Aucune technologie ne peut assurer à elle seule la protection du trafic et des appareils IoT. Pour sécuriser l’Internet des objets, nul besoin d’idées et de principes révolutionnaires complexes. L’approche doit être planifiée et combiner plusieurs mesures de sécurité. Il s’agit donc d’organiser les défenses de sorte que les données et les appareils soient protégés, même en cas de violation.
La stratégie IoT de l’entreprise doit s’articuler autour de stratégies et d’outils spécifiques.
Comment sécuriser les appareils IoT en entreprise ?
À l’heure où la transformation numérique exige davantage d’indépendance de la part des équipes OT (technologies opérationnelles) et IT (technologies de l’information), les risques doivent absolument être maîtrisés. Cela passe par l’application de normes de sécurité rigoureuses et l’établissement d’infrastructures sécurisées. Si l’on peut, dans certains cas, récupérer les données perdues en cas de cyberattaque, les interruptions de production peuvent, elles, coûter des millions aux organisations.
Bonnes pratiques de cybersécurité pour garantir la sécurité de l’IoT en entreprise :
Protégez vos actifs
Fini de jongler entre les contrats de service et les garanties des nombreux fabricants qui ont intégré l’IoT à leurs appareils et produits. Les administrateurs IT disposent désormais d’un point de contact unique et d’une administration simplifiée.
Pour croître et se développer, une entreprise doit gérer efficacement ses actifs.
L’idéal ? Avoir une vue unifiée et complète sur chaque actif, y compris ceux qui ne sont pas visibles, qui sont mal protégés et mal gérés.
Mettez en place un système de surveillance
Dans un écosystème faisant intervenir de nombreuses parties internes et externes, la mise en place d’un cadre de sécurité IoT fort peut sembler compliquée. L’introduction d’un système de surveillance permet d’inventorier les actifs, d’avoir une bonne visibilité, d’identifier et de contrôler correctement les appareils interconnectés. En plus d’avoir une approche globale, il est recommandé de suivre le modèle du National Institute of Standards and Technology (NIST) qui s’articule autour de cinq étapes :
-
Identifier
-
Protéger
-
Détecter
-
Répondre
-
Récupérer
Établir un cadre global de sécurité IoT couvrant l’écosystème et intégrant les aspects de l’informatique opérationnelle (OT) à l’informatique traditionnelle (IT).
-
Intégrer les risques liés aux personnes, aux processus et à la gouvernance, et pas uniquement à la technologie
-
Incorporating risks from people, processes, and governance as well as not only technology
-
Comprendre les fonctions des composantes internes et externes de l’écosystème en ayant une vision globale de l’ensemble du domaine de l’IoT.
-
Faire appliquer les normes avec l’appui des hauts dirigeants.
Chiffrez votre connexion
Les pirates informatiques concentrent leurs attaques sur les points de terminaison et les passerelles IoT. Tout appareil connecté est susceptible d’être ciblé à un moment de son cycle de vie. Particulièrement utile dans un contexte IoT, le chiffrement est une bonne pratique de sécurité qui permet de protéger les données en transit entre l’appareil et le backend, et les données au repos. Enfin, n’oublions pas l’intérêt de la cryptographie pour limiter les risques de sécurité.
Une infrastructure à clé publique (PKI) constitue un excellent moyen pour sécuriser les connexions client-serveur entre les divers appareils en réseau. Grâce à un système de cryptographie asymétrique à deux clés, la PKI facilite le chiffrement et le déchiffrement des messages et des interactions privés en s’appuyant sur des certificats numériques.
Surveillez activement vos appareils IoT
Au sein d’un écosystème IoT, chaque appareil doit disposer d’une identité propre. L’assignation d’identités uniques à tous les appareils renforce la confiance au sein de cet écosystème. Les appareils et les systèmes peuvent s’authentifier plus facilement, mais ce n’est pas tout. En plus de prévenir les risques d’usurpation d’appareils ou d’imposture, ces identités évitent que les messages soient falsifiés, lus ou écoutés par des oreilles indiscrètes.
Différenciez votre produit
L’exploitation et la gestion des nouvelles données générées en masse par les objets IoT (données bien souvent sensibles) ouvrent de nouvelles perspectives stratégiques. En plus de repenser les relations avec les partenaires commerciaux traditionnels, l’Internet des objets permet aussi de redéfinir le rôle des entreprises dans un contexte d’élargissement de leurs périmètres sectoriels. La connectivité joue un double rôle en permettant à de nombreux appareils de se connecter à différents types de produits, mais aussi à des sources de données externes.
L’intelligence » et la connectivité des produits permettent d’offrir de nouvelles fonctionnalités et capacités que l’on peut regrouper en quatre catégories : la surveillance, le contrôle, l’optimisation et l’autonomie. Si l’on prend par exemple le contrôle, l’optimisation et l’autonomie des produits, tous reposent sur les capacités de surveillance. Pour définir leur positionnement concurrentiel, les organisations doivent donc choisir les capacités et les fonctions qui apportent de la valeur à leurs clients finaux et consommateurs.
Utilisez l’authentification multifacteur
La sécurité IoT est l’un des points à prendre en compte pour protéger des appareils en réseau. Problème : la sécurité n’est pas intégrée au processus de fabrication des appareils, d’où les risques pour la confidentialité des données. Pour que l’environnement soit sécurisé, chaque appareil IoT doit avoir une identité unique. Ainsi, lorsqu’un appareil se connecte à Internet, l’authentification s’effectue correctement et le chiffrement des communications avec les autres appareils, applications et services leur confère plus de fiabilité.
C’est le rôle que joue l’authentification multifacteur (MFA). Pour pouvoir se connecter à un appareil IoT, les utilisateurs doivent d’abord authentifier l’appareil. Ce n’est qu’à ce moment que la connexion à cet appareil et avec le réseau peut être établie.
L’authentification multifacteur renforce la sécurité d’un cran par rapport à l’utilisation d’un simple mot de passe. En ajoutant ainsi une couche de sécurité, la MFA réduit les risques pour les applications, les appareils et les données les plus convoités. Avec cette méthode d’authentification, l’utilisateur doit se plier à plusieurs types de vérification. En plus de son mot de passe, il doit fournir un élément supplémentaire pour obtenir l’accès à un système. Toutes les données sont par ailleurs chiffrées pour plus de sécurité.
Ces « éléments » de vérification sont souvent classés en trois catégories :
-
Éléments connus : une information que seul l’utilisateur connaît, comme un mot de passe ou un code PIN
-
Données biométriques : éléments faisant partie de l’utilisateur, comme ses empreintes digitales, son empreinte rétinienne ou sa voix
-
Possessions : objets appartenant exclusivement aux utilisateurs, comme une carte à puce ou un téléphone
La MFA ajoute une couche de sécurité supplémentaire en exigeant non seulement de connaître une information (comme un mot de passe), mais aussi de posséder quelque chose (comme un smartphone). Cela complique la tâche des pirates et autres acteurs malveillants qui cherchent, comme le montrent les principales attaques, à récupérer les données d’identification des utilisateurs.
Adoptez des règles de sécurité pour vos mots de passe
Les organisations doivent s’assurer de modifier les mots de passe par défaut sur tous les appareils connectés à leur réseau. La sécurisation des appareils IoT et la protection des données personnelles commencent, en premier lieu, par la création de nouveaux identifiants d’identification.
Les organisations doivent prévoir des mots de passe forts, que les attaques au dictionnaire ou autres attaques passives sur Internet ne pourront pas percer à jour, afin de réduire les dangers liés au craquage de mots de passe hors ligne.
Veillez à ce que les noms d’utilisateur et les mots de passe soient uniques. L’utilisation d’une solution de cybersécurité capable de générer automatiquement des mots de passe complexes permet de rehausser d’un cran la sécurité. La plupart des applications de gestion de mots de passe peuvent générer des mots de passe aléatoires que les utilisateurs pourront stocker de manière sécurisée dans ces mêmes applications.
La protection des appareils IoT passe par une bonne gestion des mots de passe. L’utilisation de mots de passe pour l’authentification, l’autorisation et la configuration est l’un des nombreux défis de cybersécurité dans l’Internet des Objets.
Continuez à appliquer des correctifs et à mettre à jour vos microprogrammes
Une gestion saine des appareils IoT affectés à la sécurité physique exige que les microprogrammes (firmwares) soient mis à jour. Ces mises à jour sont particulièrement importantes pour les appareils dont la durée de vie longue est longue ou qui sont déployés sur des sites reculés, là où les interventions manuelles sont difficiles, chronophages et coûteuses.
Chaque fois que le fabricant d’un de ces appareils publie un correctif de vulnérabilité ou une mise à jour logicielle, ces appareils IoT doivent être mis à jour. Cela permet d’éliminer les vulnérabilités que des attaquants pourraient exploiter. Un appareil est en effet plus susceptible d’être attaqué si son logiciel ne comporte pas la dernière mise à jour.
Pour garantir des fonctionnalités opérationnelles, réduire les risques pour la cybersécurité et respecter les exigences de conformité, le firmware des appareils IoT doit être mis à jour régulièrement. Les organisations misent de plus en plus sur les appareils IoT pour assurer la sécurité physique de leurs actifs. Ne pas mettre à jour ces appareils IoT peut avoir de graves conséquences pour l’ensemble de l’organisation. Savoir quelles applications sont utilisées par combien d’appareils IoT connectés au réseau est une information particulièrement utile lorsqu’il faut se défendre contre une menace particulière.
Conclusion
Les objets connectés intelligents seront, à terme, capables de fonctionner en toute autonomie. Renforcer la sécurité et contrôler les performances nécessite cependant une interaction humaine. Dans les incidents de cybersécurité relayés dans les médias, nombreux sont ceux qui mettaient en cause des dispositifs IoT. La cybersécurité doit par conséquent être une priorité absolue pour les consommateurs comme pour les organisations.
L’utilisation d’une solution d’identité pour les appareils IoT présente deux avantages majeurs. Tout d’abord, elle offre une visibilité complète sur tous les appareils, données et communications, permettant à une organisation de gérer les identités des appareils IoT tout au long de leur cycle de vie. Ensuite, ce type de solution renforce la sécurité des appareils en les protégeant contre les menaces de cybersécurité.
