Ce que les OEM doivent savoir sur la sécurisation de l'IoT

La confiance numérique est la clé de voute de toute technologie actuelle. Mais à qui revient la charge d'assurer cette sécurité ?

Un récent rapport sur l’IoT[1] montre que cette responsabilité se répartit équitablement entre les entreprises qui utilisent des dispositifs IoT et leurs fabricants. Toutefois, si les équipementiers assument la responsabilité de la sécurisation des appareils qu’ils produisent, ils considèrent qu'il doit s'agir d'un effort collectif.

48% des professionnels estiment que le fabricant d’objets intelligents (IoT) doit être en grande partie ou exclusivement responsable des conséquences de failles de sécurité au sein de ses produits.

On aurait tendance à supposer que, dans un rapport auquel ont participé à égalité des entreprises utilisatrices et des fabricants d’équipement (OEM), ce taux représenterait l’opinion des entités non manufacturières. Or, il n’en est rien. 

99% des OEM affirment s’employer à sécuriser leurs appareils, et plus de 90 % d’entre eux pensent qu’il convient de privilégier la sécurité plutôt que les fonctionnalités ou le design des produits. En réalité, le « manque de budget » constitue, à leurs yeux, l’obstacle le moins contraignant en matière de sécurisation des équipements.

Dans l’ensemble, les OEM reconnaissent que la sécurité complète leur proposition de valeur et peut même dynamiser leurs activités et les distinguer sur le marché. La sphère OEM prend conscience qu’avec des investissements et une stratégie adaptés, la sécurité peut davantage être un accélérateur business qu’un centre de coûts. 

45% des OEM affirment que la sécurité des objets connectés doit être prise en compte dès la conception des produits.

La démarche « shift-left », qui consiste à réaliser un maximum de tests le plus en amont possible, s’applique également à la sécurité. Cette dernière devient tellement primordiale dans chacun des aspects de la création de produits, qu’elle ne peut tout simplement pas être limitée à une phase du développement du produit. 

Il est d’ores et déjà acquis que des réglementations comme le Cyber Resilience Act vont très prochainement conforter cette réalité. L’infrastructure numérique et les systèmes cyberphysiques ont des implications concrètes. Alors que les pouvoirs publics cherchent à renforcer la sécurité de ces systèmes, ils plaident pour un partage des responsabilités entre les designers de produits, les fabricants d’équipement et les utilisateurs finaux. 

Les OEM sont désireux de partager cette responsabilité, plus de la moitié d’entre eux reconnaissant qu’ils se doivent de signaler leurs failles de sécurité. Si les entreprises étaient plus nombreuses à adopter cette approche, il s’ensuivrait une meilleure collaboration avec les opérateurs et les utilisateurs en matière de prévention des risques.

Le manque d’uniformisation et la complexité de la chaîne logistique compliquent la sécurisation de l’IoT.

En règle générale les OEM ont recours à trois méthodes pour sécuriser les appareils connectés qu’ils fabriquent :

  • Attribuer un identifiant unique vérifié au moyen d’une infrastructure à clé publique (PKI) préalablement à l’attribution d’un identifiant public. 
  • Signer le code et le vérifier au démarrage et à intervalles réguliers durant son exécution.
  • Ajouter une clé et un certificat à vie sur l’appareil pour sécuriser ses communications.

Pourtant, ces méthodes sont rarement universelles. Tout comme il existe diverses modalités de développement et de fabrication des produits, il existe également plusieurs méthodes de sécurisation, dont aucune ne s’est encore distinguée. La sécurisation de l’Internet des objets est donc tout sauf simple. Dans le large éventail d’applications IoT, chacune présente son propre lot d’exigences et de contraintes. D’où une complexité accrue à concevoir des protocoles de sécurité efficaces pouvant s’appliquer globalement.

A mesure que ce paysage évolue, les designers de produits et les vendeurs s’orienteront probablement vers un monde axé davantage sur l’interopérabilité, comme en atteste la publication du standard Matter en début d’année. Quelle que soit la tournure des évènements, cette nouvelle norme conduira sans doute à simplifier la sécurisation des appareils connectés conçus par des fabricants différents.

Chaîne logistique : les principaux problèmes évoqués soulignent la nécessaire constitution de partenariats avec des éditeurs de solutions cyber extérieurs

Le cycle de vie des objets connectés (IoT) est complexe, depuis leur conception, leur développement, leur fabrication et leur distribution jusqu’à leur mise à jour permanente. Chaque étape possède ses propres vulnérabilités, qui constituent autant de points d’entrée potentiels pour des cybermenaces. 

Parmi les principales difficultés que rencontrent les OEM dans la sécurisation de leurs chaînes logistiques, on peut citer :

  • Le manque de clarté autour des bonnes pratiques pour implémenter des mécanismes de sécurité sur les lignes de production
  • La crainte qu’une panne compromette la production en immobilisant les machines
  • La multiplication des risques de cyberattaques
  • L’absence d’infrastructure numérique adaptée
  • Le déficit de compétences ou de talents capables de gérer des structures complexes 

En règle générale, les OEM ne s’estiment pas prêts à réaliser les changements nécessaires pour assurer la sécurité des appareils à grande échelle. Pour nombre d’entre eux, la mise à jour de leurs systèmes nécessiterait une transformation digitale trop drastique et radicale. D’autres sont tout simplement dépourvus des ressources et de savoir-faire en la matière. 

Seuls des partenariats avec des éditeurs et fournisseurs de solutions de cybersécurité qui connaissent parfaitement ces problématiques et peuvent y remédier permettront de sécuriser des lignes de production à grande échelle.

Les pannes liées aux certificats ont un impact financier majeur

98% des entreprises font état d’au moins une panne due à une expiration non-planifiée de certificat sur une machine au cours de ces 12 derniers mois. Le coût moyen total de ces expirations de certificats sur les lignes de production des entreprises, s’est élevé l’an dernier à la somme faramineuse de 2 M€ pour chaque entreprise concernée.

Si seulement 6% des entreprises n’utilisent pas d’infrastructure PKI pour la gestion des cycles de vie de leurs certificats, elles sont 27% à les gérer avec des solutions internes. Pour les soulager des contraintes de sécurité et de maintenance, l’externalisation partielle ou totale de l’infrastructure PKI et de sa gestion peut constituer un point de départ intéressant. 

La gestion du cycle de vie des composants de cybersécurité inhérents au produit s’affirme comme la première responsabilité endossée par les OEM vis-à-vis de leurs clients. Il est important que les entreprises comprennent que cette obligation ne s’arrête pas à la vente du produit. Dans un environnement de menaces en constante évolution, il est crucial que les OEMs apportent support et remédiation à leurs clients tout en continuant à améliorer leurs nouvelles solutions en développement. 

Communication et transparence au sujet des niveaux, failles et solutions de sécurité entre OEMs, opérateurs et entreprises utilisatrices, et même les utilisateurs finaux, sont également indispensables pour parvenir à une véritable confiance numérique dans notre monde connecté.

[1] « Digital Trust in a Connected World : Navigating the State of IoT Security » mené par Vanson Bourne pour le compte de Keyfactor auprès de 1 200 professionnels de l'IoT et des produits connectés en Amérique du Nord, dans les régions EMEA et APAC. Toutes les personnes interrogées avaient une certaine responsabilité ou connaissance de l'IoT ou des produits connectés au sein de leur entreprise, et incluaient des fabricants d'équipements (OEM) et ceux qui utilisent et exploitent des appareils connectés au sein de leur entreprise.