Chaque nouvelle technologie apporte son lot de problématiques et d’obstacles. Rappelez-vous les interrogations vis-à-vis de la sécurité du Cloud Computing. L’Internet des objets ou IoT (Internet of Things) ne fait pas exception. Selon une étude réalisée par Verizon, les millions de dispositifs connectés qui composent actuellement l’Internet des Objets vont se multiplier au point de dépasser la barre des cinq milliards d’ici à 2020.

Ces dispositifs intelligents créent des milliards de nouveaux points d’accès aux systèmes des entreprises et communiquent tous avec le réseau, si bien que la question de la sécurité de l’Internet des Objets se pose légitimement. Plusieurs études se sont penchées sur la sécurité des dispositifs dans le contexte de l’Internet des Objets, et l’une d’elles menée récemment par HP a démontré que 70% des dispositifs IoT testés comportaient des failles de sécurité. Mais quelle est l’ampleur de ces failles au juste ?

Les cibles potentielles

L’édition 2015 du rapport Data Breach Investigations Report (DBIR), a analysé l’Internet des Objets sous l’angle de la sécurité, et il en ressort que très peu d’incidents et de cas de divulgation de données ont été signalés en 2014. Mais sachant que l’IoT n’en est qu’à ses tout débuts, il est difficile de dresser un tableau fidèle de la situation. Contentons-nous déjà d’analyser ce dont nous sommes sûrs. Sur les cinq milliards de dispositifs connectés annoncés d’ici à 2020, tous ne seront pas visibles sur Internet et tous ne communiqueront pas des données sensibles. En réalité, beaucoup seront des dispositifs simples avec une fonction unique, un capteur de lumière par exemple.

Cela dit, n’importe quel dispositif connecté, partie prenante ou non de l’Internet des Objets, est le vecteur potentiel d’une cyberattaque. Ces dispositifs ne sont pas nécessairement la cible finale (ils peuvent servir à faire progresser une activité malveillante dans le contexte plus large d’une attaque de botnet), mais ils peuvent être utilisés comme une passerelle d’accès au réseau et aux systèmes critiques de l’entreprise.

Pas de panique, les règles demeurent les mêmes

L’Internet des Objets a pour vocation de rendre les objets qui nous entourent plus intelligents. Toutefois, de nombreux capteurs, surtout s’ils sont embarqués dans des équipements, doivent être basiques. Les contraintes d’espace leur imposent des restrictions de capacité de calcul et d’autonomie de batterie. A tel point d’ailleurs que beaucoup de ces capteurs ne sont pas capables d’exécuter les fonctions de protection habituelles des systèmes plus sophistiqués, comme les ordinateurs portables. Mais même si certaines règles de sécurité familières ne peuvent pas s’appliquer aux systèmes IoT, comme l’installation d’un antivirus sur tous les terminaux d’un parc par exemple, beaucoup d’autres subsistent :

– Authentifier toutes les connexions IoT. Les certificats numériques sont une solution fiable qui ne perturbe pas les opérations.

– Veiller à appliquer rapidement les correctifs disponibles aux dispositifs IoT. D’après le rapport DBIR 2015, dans la plupart des attaques analysées, ce sont des vulnérabilités connues qui ont été exploitées, alors même qu’un correctif existait depuis des mois, voire des années. Comme il n’est pas envisageable de procéder manuellement pour maintenir à jour des centaines ou des milliers de dispositifs, renseignez-vous sur les méthodes sûres de déploiement automatique des mises à jour qui existent.

– Ne collecter que les informations nécessaires auprès des dispositifs IoT, et s’en débarrasser en toute sécurité quand vous n’en avez plus besoin. On ne risque pas de vous voler des éléments que vous n’avez plus en votre possession.

– Chiffrer les données IoT sensibles. Le chiffrement ne va pas empêcher les cybercriminels de vous voler des données, mais c’est un bon moyen de compliquer et ralentir leur progression.

– Segmenter les réseaux IoT et les systèmes afin de limiter la propagation d’une attaque et ses dommages potentiels. Il s’agit d’éviter qu’un capteur relativement anodin soit à l’origine de la compromission de votre dispositif connecté ou de vos systèmes. La segmentation est aussi un bon moyen de réduire les sommes d’informations sensibles que des criminels pourraient exfiltrer.

Ne faites pas les choses à moitié

Plus les dispositifs IoT seront démocratisés et intégrés aux systèmes centraux des entreprises, plus la question de la sécurité deviendra primordiale. Comme pour n’importe quel autre système IT, les organisations devront évaluer régulièrement le risque, appliquer les mesures de sécurité appropriées et tester leur efficacité.

_________
Mary Beth Hall est directrice de la gestion produit et du développement chez Verizon