L'IoT, l'angle mort de la cybersécurité ?

Cette tribune souligne la cyber-vulnérabilité des objets connectés (IoT) et détaille les mesures de cybersécurité à prendre en considération. Un zoom sur le Cyber Resilience Act est notamment proposé.

L'Internet des objets (IoT) a révolutionné la façon dont nous interagissons avec notre environnement. Des montres connectées aux réfrigérateurs intelligents, les appareils IoT sont devenus omniprésents dans nos vies. On estime aujourd’hui à 20 milliards le nombre d’objets connectés dans le monde et un accroissement de plus de 20% chaque année. Le marché pourrait atteindre 1000 milliards de dollars en 2026.

Cependant, jusqu'à aujourd'hui, la sécurité de l'IoT a été reléguée au second plan, laissant place à une vulnérabilité grandissante. Les objets connectés sont en effet devenus le terrain préféré des hackers. Fin 2020, une machine à laver connectée a été piratée et a donné accès au système informatique d’un hôpital français ! Rien d’étonnant à ce que la sécurité de l'IoT soit en voie de devenir une des préoccupations majeures, incitant les Autorités (et donc les fabricants, les développeurs et les utilisateurs) à prendre des mesures plus rigoureuses. Les initiatives prises par l'Union européenne via son projet de règlement “Cyber Resilience Act”, seront-elles suffisantes ? A quoi les fabricants d’objets connectés doivent-ils s’attendre avec cette nouvelle réglementation ? Quelles solutions s’offrent actuellement aux organisations pour protéger leurs objets connectés ?

L’IoT, terrain préféré des hackers

L'Internet des objets est devenu le terrain de jeu privilégié des hackers et des cybercriminels. Avec la prolifération des appareils connectés, des caméras de sécurité aux thermostats intelligents en passant par les réfrigérateurs connectés, chaque dispositif représente une porte d'entrée potentielle pour les attaques numériques. Les hackers exploitent souvent les vulnérabilités de sécurité dans ces appareils pour accéder à des réseaux domestiques ou d'entreprise, voler des données sensibles ou même prendre le contrôle de ces dispositifs à des fins malveillantes. Et si les cyberattaques de centres hospitaliers se multiplient, cela ne tient rien au hasard. Dans les hôpitaux, les objets connectés sont partout. En moyenne, la chambre d'un patient en contiendrait six. Une salle de réanimation, une douzaine.

Si l'IoT a été initialement accueilli avec enthousiasme, notamment dans le secteur médical où le hi-tech s’est propagé permettant une meilleure prise en charge du patient, il convient désormais de tirer la sonnette d’alarme. Car aujourd’hui, les solutions de sécurité existantes sont insuffisantes. Plus exactement, elles sont inadaptées aux objets connectés. Elles ont en effet été conçues pour des environnements plus traditionnels et ne suffisent donc pas à protéger les appareils connectés de manière adéquate.

Les limites des solutions de protection des objets connectés

Les solutions de protection des objets connectés sont imparfaites car elles sont incapables de déployer des solutions qui tournent directement sur les appareils connectés. Ces solutions sont basées sur le cloud ou sur des serveurs. L’utilisation du cloud comme solution d’hébergement, de traitement, d’échange et de stockage des données est aujourd’hui répandue. Pour faire simple, cela signifie que les agents installés sur les appareils connectés collectent des données puis les envoient vers le cloud et ensuite les renvoient vers l'appareil. Cette chaîne de transmission entraîne des problèmes de latence : le délai d’envoi et d’analyse des données est allongé, or le temps est un paramètre crucial dans les enjeux de cybersécurité. Sans parler du problème de dépendance aux services cloud que ces systèmes impliquent.

Une quelconque indisponibilité des services cloud se traduit par un arrêt ou dysfonctionnement des équipements IoT qui en dépendent. Autrement dit, si le serveur tombe ou le cloud tombe, l’objet connecté se retrouve sans défense. Plus techniquement, cela s’appelle le "single point of failure" (SPOF), qui peut être traduit en français par "point unique de défaillance". Ce concept désigne un élément critique qui, s’il venait à être compromis, défaillant, ou victime d'une attaque, pourrait entraîner des conséquences graves, telles que la perte de données, l'interruption des opérations, ou l'accès non autorisé à des informations sensibles.

Vers une nouvelle approche de la cybersécurité IoT, basée sur le machine learning

Face à ces enjeux, certaines start-up, à l’image de Parcoor, développent des solutions de sécurité innovantes qui fonctionnent directement sur les appareils IoT sans perturber leur fonctionnement. Parcoor est ainsi capable de détecter des menaces "zero day", qui ne sont pas encore répertoriées, à l’inverse des autres solutions qui s'appuient sur des bases de signatures déjà existantes. La solution de cybersécurité embarquée de Parcoor se base sur le machine learning. Elle est ainsi capable de détecter des menaces inconnues qui ne sont pas encore répertoriées dans les bases de signature. Utile, lorsque l’on sait que chaque jour une nouvelle cyber menace apparaît !

Le Cyber Resilience Act : une législation cruciale

Prenant conscience des menaces et des conséquences que l’IoT peut engendrer, beaucoup s’interrogent sur la nécessité de définir et d’imposer des mesures de sécurité et des normes. Elles permettraient de mieux cadrer la conception et l’utilisation des objets connectés. Ceci afin de diminuer les scénarios d’attaque tirant profit de la faiblesse des systèmes de ces équipements.

Le projet de règlement européen “Cyber Resilience Act” va en ce sens. Le projet de règlement européen vise à renforcer la cybersécurité au sein de l'Union européenne. Il prévoit l'établissement de normes de cybersécurité communes pour les fournisseurs de services numériques essentiels et les opérateurs d'infrastructures critiques. L'objectif global est d'accroître la résilience des infrastructures numériques de l'UE face aux menaces cybernétiques croissantes. Cette loi concerne tout ce qui est connecté (logiciels, réseaux, etc.) et comporte une partie dédiée aux objets connectés avec des classes critiques et des exigences différentes. 

Quid des réglementations pour le secteur médical ?

Le secteur médical et le secteur aéronautique ne sont pas encore concernés par ce projet de loi, mais sont toutefois également dans le viseur des autorités. Outre ce nouveau projet de règlement européen, l’Agence Nationale de Sécurité du Médicament (ANSM) en France a publié récemment des recommandations en matière de cybersécurité qui, cette fois, concernent les logiciels considérés comme des dispositifs médicaux ou des dispositifs médicaux de diagnostics in vitro. Contrairement au “Cyber Resilience Act”, les recommandations de l’ANSM n’ont en revanche pas de valeur contraignante.

Une réglementation contraignante pour les fabricants d’IoT 

Si cette proposition de loi devait être adoptée en 2024 et entrer en application en 2025, la course contre la montre a déjà commencé pour les fabricants d'appareils IoT tant le chemin vers la normalisation va être long et intense. Les fabricants vont en effet faire face à des nouvelles réglementations très contraignantes et vont devoir montrer patte blanche s’ils souhaitent poursuivre leur activité. A titre d’exemple, l’article 10 prévoit que les fabricants devront réaliser une évaluation des risques et prendre en compte le résultat de cette évaluation pendant les phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques. Le projet de loi prévoit aussi un certain nombre d’obligations à l’égard des fabricants, par exemple l’obligation de fournir une documentation technique et d’informer les utilisateurs finaux sur le niveau de sécurité des produits IoT mis sur le marché. 

Il ne serait, d’ailleurs, pas étonnant de voir les consommateurs européens devenir, eux-mêmes, très exigeants à ce sujet, à l’instar de ce qu’il se passe aux Etats-Unis, où les consommateurs américains ont exprimé leur soutien à la création d’un indicateur de fiabilité des objets connectés, sur le même modèle que le Nutriscore. 

En cas de fourniture d’informations incorrectes, incomplètes ou trompeuses à ces organismes notifiés ou aux autorités de surveillance de marchés, les fabricants pourraient encourir une sanction administrative pouvant aller jusqu’à 5 000 000 euros ou 1% du chiffre d’affaires annuel.

En conclusion, le Cyber Resilience Act marque un tournant crucial vers le renforcement de la sécurité de l'IoT. Ces mesures réglementaires, combinées à des solutions de cybersécurité embarquée innovantes, offrent l'espoir d'un avenir plus sûr pour l'IoT.