Mises à jour IoT : doivent-elles être ponctuelles ou systématiques ?
La sécurité reste un frein aux déploiements IoT et "aux passages à l'échelle", assure Christophe Pagezy, directeur général de l'éditeur français Prove&Run, spécialisé dans la sécurité des objets connectés. De fait, ce sujet soulève beaucoup de questions aux entreprises, et parmi elles, celle des mises à jour des devices connectés . "Nos clients nous demandent régulièrement si les mises à jour doivent être ponctuelles ou systématiques. La réponse dépend de la nature de l'objet et de son rôle", souligne Benoît Tanguy, directeur de la practice Manufacturing chez Wavestone. Le cabinet de conseil français aborde cette question lors d'une table-ronde sur la sécurité de l'IoT, ce 24 septembre 2020 lors du Forum Sécurité Cloud. Les mises à jour sont généralement effectuées pour deux raisons : le renforcement de la sécurité et l'ajout de nouvelles fonctionnalités.
Les mises à jour doivent être systématiques dès lors qu'elle concernent la sécurité, s'accordent à affirmer les experts interrogés. "On trouve toujours des failles quand un objet est installé pour de nombreuses années, d'autant que les technologies évoluent. Les mises à jour logicielles sont donc indispensables pour assurer la viabilité des solutions", affirme Hatem Oueslati, PDG d'IoTerop, éditeur de logiciels français qui fait partie de l'OMA, un organisme de standardisation mondial qui définit les protocoles des mises à jour. Ces dernières sont dans ce cas-là effectuées sur l'ensemble du parc d'objets. "Les entreprises doivent veiller à avoir pour leurs objets une architecture sécurisée, à utiliser des logiciels chiffrés et un système de stockage sécurisé, ainsi qu'à cloisonner les applicatifs", précise Thomas Gayet, directeur du CERT de Digital Security, spécialisé dans la sécurité de l'IoT.
La réalisation de mises à jour prévoyant de nouvelles fonctionnalités doit quant à elle être adaptée en fonction de la stratégie d'entreprise. "Prenons l'exemple d'un constructeur automobile, détaille Benoît Tanguy, de Wavestone. S'il souhaite proposer un nouveau service permettant d'ouvrir le coffre de ses véhicules connectés à distance pour des livraisons, il doit réfléchir à sa stratégie d'entreprise : est-il préférable de mettre à jour de logiciel de tous ses véhicules, ce qui va représenter un certain coût alors que tous n'activeront pas ce service, ou n'est-il pas mieux d'attendre d'avoir des souscriptions et d'actualiser les véhicules concernés ? Mais dans ce cas le parc ne sera pas homogène quant aux versions des mises à jour. Il s'agit d'une équation économique à faire."
"Intégrer la sécurité à posteriori du déploiement coûte plus cher"
Le device management tire ici son épingle du jeu, pour IoTerop, en permettant l'évolution logicielle des solutions en "over the air", sans envoyer aux appareils d'importantes mises à jour. IoTerop a notamment validé avec Thales et le constructeur PSA l'activation à distance de nouvelles options payantes dans les voitures. "Nous n'aurons bientôt plus besoin d'immobiliser le véhicule et de contraindre son usager à le ramener en concession pour établir un diagnostic, ou activer de nouvelles fonctionnalités", se réjouit Hatem Oueslati.
Dans les deux cas de figure, les entreprises de sécurité conseillent de prévoir la gestion des mises à jour dès la conception des objets. "Les mécaniques de mise à jour sont à définir en amont des projets, qu'elles soient ponctuelles ou régulières, car cela implique des coûts et une consommation de la batterie et de la bande passante", met en garde Hatem Oueslati, chez IoTerop, qui observe en France un grand nombre d'initiatives débutées en POC sans sécurité, alors que les clients étrangers les entament en songeant à la sécurité dès le départ dans un objectif de passage à l'échelle. "Intégrer la sécurité à posteriori du déploiement coûte plus cher et demeure plus risqué. Par ailleurs, la mise à jour fonctionnelle est elle-aussi à sécuriser, par des chiffrements et des signatures d'authentification et doit être exécutée sur un environnement d'exécution lui même résistant aux attaques pour ne pas qu'elle devienne une porte d'entrée aux attaques et soit détournée de son intention première. Une mise à jour "mal sécurisée" donnera en effet plus de moyens au hacker de prendre contrôle de l'appareil connecté", rappelle Christophe Pagezy, de Prove&Run.
Pour Hatem Oueslati, il n'est pas recommandé de réaliser les mises à jour manuellement sur l'objet. "Cette pratique est vecteur de risque et fastidieuse selon le nombre d'objets connectés que possède l'entreprise. Nous préconisons de passer par le cloud pour toucher l'ensemble des devices mais surtout de s'appuyer sur un standard, comme le Lightweight M2M (LwM2M) qui assure une interopérabilité entre les objets et est conçu pour la gestion et la mise à jour d'objets connectés de manière massive", ajoute-t-il. IoTerop effectue les mises à jour des objets de ses clients de manière incrémentale, en n'envoyant que la différence entre deux versions de logiciel pour ne véhiculer qu'un delta over the air d'une centaine d'octets, là où une mise à jour complète peut prendre plusieurs dizaines ou centaines de kilo octets. Dernier conseil de Thomas Gayet, chez Digital Security, quant à l'objet physique : "Il faut veiller à la sécurisation des interfaces de débogage car n'importe qui peut, au prétexte de réaliser une mise à jour, prendre la main sur les logiciels IoT par le biais du hardware."