La lassitude envers les failles de sécurité constitue aujourd’hui un vrai problème. Que ce soient les consommateurs ou les professionnels des technologies, tous risquent en effet d’être désensibilisés aux alertes et aux notifications de violation trop nombreuses et constantes. Pourtant, ils ne doivent surtout pas baisser la garde. En effet, outre le volume et l’ampleur des cyberattaques auxquelles elles doivent déjà faire face, les organisations vont devoir gérer les menaces relatives à la généralisation des objets connectés (ou IoT – Internet des Objets). D’ailleurs, une étude conduite récemment par la société Extreme Networks sur l’adoption de l’IoT indique que 57 % des personnes interrogées sont inquiètes quant à la sécurité de ces objets.
Les vols de données ou failles de sécurité, qui visent de plus en plus les entreprises, doivent continuer d’être traitées avec le plus grand sérieux. Toutefois, la nouvelle grande menace émergente liée à l’IoT doit également bénéficier de la plus grande attention, leur nombre étant estimé à plus de 30 milliards d’ici 2020 selon IDC.
Nous utilisons en fait des objets connectés depuis de nombreuses années, sans les avoir associés à l’Internet des Objets. Il s’agit en effet d’appareils ou de systèmes auxquels nous sommes quotidiennement connectés et auxquels nous ne prêtons pas attention car ils font partie intégrante de nos vies. Ce sont, par exemple, les freins ou la transmission de la voiture, les pompes à intraveineuse dans les chambres d’hôpitaux, la chaudière d’une maison, ou encore le système de filtration de l’eau qui alimente une commune. Des objets devenus si courants qu’on ne se demande pas ce qu’il se passerait si l’un d’eux subissait une cyberattaque. Pourtant, à l’heure du « tout connecté », la véritable question n’est pas si, mais quand ! C’est là que réside le grand défi qui nous attend.
Ainsi, dans l’espace digital en général, les cyberattaques visent les données. En revanche, dans le monde de l’IoT, elles s’en prennent à la chair, au sang et à l’acier, et peuvent donc s’avérer mortelles. Par exemple, le niveau de danger d’un ransomware prend une toute autre dimension s’il menace de contaminer un système de filtration d’eau dans le cas où la victime ne paie pas la rançon demandée. Aujourd’hui, nous vivons dans un monde ultra-connecté, des fourchettes aux frigos, tout est digitalisé, ce qui pose non seulement un défi de taille mais également plusieurs problèmes majeurs en termes de confinement du cyber-risque.
Tout d’abord, la plupart du temps, les fabricants de ces objets connectés ne pensent pas à la sécurité des appareils ou systèmes qu’ils développent et/ou manquent souvent de l’expertise nécessaire pour bien le faire. Dans de nombreux cas, les composants et les modules utilisés pour la connectivité sont simplement exploités par d’autres industries, ce qui propage le risque porté par ces composants d’un secteur à l’autre. Pire encore, les fabricants n’ont peut-être pas les moyens de supporter les coûts inhérents de sécurité, la plupart de ces objets connectés se concentrant principalement sur leur fonctionnalité et non sur la sécurisation de leurs connexions.
Ensuite, les consommateurs de ces produits ne demandent ou ne souhaitent pas, dans de nombreux cas, payer pour la garantie supplémentaire ; il est fort probable qu’ils ignorent même quels sont les niveaux de sécurité nécessaires. Un problème de taille qui affecte non seulement l’utilisateur, mais également l’entreprise. Prenons le domaine de la santé. Les hôpitaux qui souhaitent investir dans des pompes à intraveineuses auront plutôt tendance à réfléchir aux fonctionnalités, au prix et à certaines exigences réglementaires. Dans ce cadre, l’équipe de sécurité IT intervient rarement pour évaluer le niveau de protection. Par le passé, lorsque ces produits n’étaient pas connectés, la question ne se posait pas, mais aujourd’hui, la digitalisation de tous les services fait naître de nouveaux défis en termes de sécurité.
Enfin, les développeurs de logiciels d’appareils connectés proviennent de divers horizons et zones géographiques. Il existe peu de standardisation ou de consensus autour des pratiques de codage sécurisées et dédiées au développement de logiciels, des cours d’ingénierie ou des modules dispensés dans le monde. En outre, la plupart des formations sur la sécurité ne sont souvent que des modules optionnels et/ou facultatifs inclus dans les programmes d’études.
Toutes ces problématiques sont aussi importantes que délicates, et leur réponse est complexe car il n’existe, à date, ni solution simple pour les résoudre, ni accord généralisé sur la manière de les gérer. L’IoT se développe massivement, et le cadre juridique pour en maîtriser l’usage et les limites doit évoluer en conséquence. En attendant, une sensibilisation des constructeurs, combinée à des collaborations plus étroites avec les spécialistes de la sécurité, quel que soit le secteur d’activité de l’objet concerné, permettra une plus grande sécurisation de l’IoT face aux menaces grandissantes. »
____________
Shehzad Merchant est Chief Technology Officer de Gigamon