IoT : jusqu’où doit-on penser "sécurité" ?

Chaque décideur informatique est bien conscient que les périphériques intelligents, part de l’IoT, représentent un risque de sécurité plus élevé que les terminaux classiques. Des incidents, tels qu'un robot aspirateur ou le scanner d’un hôpital piraté, illustrent cette menace.

De nombreux dispositifs connectés peuvent être hackés en moins de 3 minutes, mais il faudrait plusieurs jours voire plusieurs semaines pour les réparer. Cependant, les entreprises sont encore trop nombreuses à penser qu'elles ne risquent rien, tant qu’elles n’ont pas été touchées par de tels incidents.

Or, elles doivent mesurer le risque encouru car, en cas de faille de sécurité, c’est tout le réseau qui est impacté. Dans ce contexte, la transparence quant aux différents appareils connectés au réseau est nécessaire. Les services informatiques sous-estiment souvent le nombre de terminaux (endpoints) qui y sont connectés et ignorent combien de zones sont déjà mises en réseau aujourd'hui. Avec la prolifération du numérique dans notre vie quotidienne, personnelle et professionnelle, c’est tout notre environnement qui se connecte progressivement : du frigo au PC, en passant par la voiture, jusqu’à nos lieux de vie et nos environnements de travail. Mais à quel point cela représente-t-il un potentiel risque ?

Utilisés dans la plupart des immeubles de bureau depuis des années, les systèmes d’automatisation des bâtiments (BAS) contrôlent la climatisation, les ascenseurs et d'autres installations. Il est important de comprendre qu’ils ont été conçus comme des solutions isolées. Toutefois, ces dernières années, ils ont gagné en connectivité et en intelligence. Avec un volume d'attaques dans le secteur industriel qui a fortement augmenté au cours des dix dernières années (pensons aux malwares Industroyer, Triton et, plus récemment, le ransomware LockerGoga ou le groupe GreyEnergy), les bâtiments intelligents semblent une prochaine cible inévitable.

Les responsables informatiques doivent être conscients de multiples facteurs. D’abord, de nombreux bâtiments sont déjà en réseau, même s'ils ne sont pas qualifiés à proprement parlé "d’intelligents". De multiples installations (datacenters, immeubles de bureaux, hôpitaux et institutions publiques) utilisent les systèmes de gestion de bâtiments pour contrôler les composants physiques : vidéosurveillance, ascenseurs, ventilation, chauffage, etc.

En 2018, 20 % des bâtiments intelligents ont été victimes de vandalisme numérique, selon l'un de nos rapport. Parmi eux, l'incident survenu dans un hôtel autrichien en 2016, où des clients se sont retrouvés enfermés dans leur chambre. Les cybercriminels n'ont ré-ouvert les chambres qu'après avoir perçu le versement d’une rançon. Cet exemple lève le voile sur un phénomène qui tend par ses méfaits à cibler à la fois l’entreprise, mais également le consommateur in fine. Il permet aussi d’illustrer la vulnérabilité d’une structure à différents niveaux.

D’autre part, les responsables informatiques ne maîtrisent pas forcément à quel point leur infrastructure IT s’est progressivement étendue. La mise en réseau d’appareils/périphériques connectés, toujours plus forte, implique un besoin toujours plus grand d'intelligence et de compréhension des processus réseau. Tout comme il les contraint à disposer d’une cartographie des devices connectés ou tentant de se connecter à son réseau – car de tels systèmes sont rarement embarqués au sein desdits devices. En principe, tous les terminaux doivent être gérés sur le réseau. C'est la seule façon de trouver systématiquement les points de faiblesse et de déployer les bons correctifs. Une telle approche, sans agent [pluggé sur le réseau], permet la détection automatique des dispositifs et des réactions contextuelles aux incidents. Vous l’aurez compris, la sécurité nécessaire du réseau et de l’infrastructure n’est pas la seule en cause, la sécurité des dispositifs est aussi primordiale.

D’autant que la faiblesse des dispositifs intelligents réside fondamentalement dans leur potentiel de vulnérabilité. Intervient alors la question de la responsabilité du constructeur. Car si chaque concept doit intégrer un premier niveau de sécurité, dans les faits, les dispositifs connectés ne sont pas tous conçus de manière égalitaire. Deux approches d’intégration de la sécurité existent aujourd’hui : dès la conception de l’IoT afin d’avoir la meilleure résistance possible, et la sécurité par défaut de l’appareil. Gardons également en tête que la mise sur le marché d’appareils connectés sécurisés doit être soutenue par la garantie d’une mise à jour logicielle possible tout au long de la vie du produit. Dans ce contexte, à qui incombe d’assurer la sécurité du produit ? C’est pour cela que les différentes parties prenantes doivent renforcer leur collaboration afin d’éliminer les vulnérabilités avant qu'elles ne soient découvertes et exploitées à des fins malveillantes.

A l'ère de la numérisation, protéger uniquement l’endpoint et l’infrastructure n'est plus suffisant. En outre, des mécanismes de protection au niveau du réseau sont devenus indispensables pour repérer, reconnaître, autoriser et gérer tous les dispositifs immédiatement après l'établissement de leur connexion. La gestion de bout en bout des dispositifs autorisés est aujourd’hui une alternative pour les équipes informatiques de segmenter les réseaux et de réagir immédiatement aux dangers potentiels. Le ping-pong quant à la responsabilité de la sécurité des devices devra s’effacer au risque d’accroître le fossé déjà existant.