Quelles sont les bonnes pratiques en matière de sécurisation de l’IoT ?

La sécurité dans l’IoT est essentielle et ce n’est pas les derniers piratages informatiques qui nous contredirons. Cet aspect doit être pensé dès le début de la conception d’un produit connecté.

Il est impératif de penser sécurité à chaque étape du cycle de vie du développement de produits.

Best Practice N°1 : Utiliser un framework de développement

Heureusement, plusieurs framework de développement ayant fait leurs preuves peuvent vous guider tout au long du processus de conception. Il existe par exemple des pratiques de codage sécurisées intervenant lors du cycle de développement logiciel. Parmi les structures existantes, citons le modèle Open Software Assurance Maturity Model (OpenSAMM) d’Open Web Application Security Project (OWASP), mais également la technologie Microsoft Security Development Lifecycle (MSDL) et les Software Security Touchpoints de Cigital.

La nécessité de raccourcir les cycles de vie des produits afin de réduire le délai de mise sur le marché des produits restera toujours un souci . Commercialiser un produit susceptible de présenter une faille de sécurité peut avoir de très lourdes conséquences. Les correctifs, les rappels produits et la mauvaise publicité viennent enrayer un bon positionnement sur le marché.

Outre l’intégration de la sécurité lors de la conception des produits, les cycles de développement de logiciels réduisent également les coûts inhérent au développement. En effet, des modifications tardives visant à intégrer des ajouts post-déploiement entraînent des coûts imprévus qui peuvent être considérables.

Best Practice N°2 : Envisager les autres failles de sécurité de l’IoT

Les appareils IoT présentent plusieurs autres problématiques spécifiques, d’où la nécessité d’accorder une importance encore plus grande à la sécurité des appareils connectés. D’autant plus que ces produits connectés officieront pendant quelques années pour certains. Un générateur industriel ou une machine-outil ne se remplace pas tous les jours ! Les processus de mise à niveau et les correctifs doivent donc être assurés.   

Ensuite, le déploiement d’appareils IoT est un travail d’équipe. Par conséquent, les fournisseurs doivent eux aussi tendre à respecter un modèle de développement standard pour que tous les composants soient sécurisés de manière identique.

Best Practice N°3 : Garantir la sécurité à tous les niveaux

Vous pouvez envisager cela comme une « sécurité fractale » : la sécurité ne relève pas d’un niveau en particulier. La sécurité doit être partie intégrante de la conception.

Le modèle openSAMM, par exemple, identifie quatre fonctions métier dans la sécurité des applications :

  • Gouvernance : comment avez-vous intégré les problématiques de sécurité dans le mode de fonctionnement de votre entreprise ?
  • Construction : la sécurité est-elle intégrée dans chaque application ?
  • Vérification : quelles procédures allez-vous utiliser pour tester les failles de chaque application ?
  • Déploiement : comment allez-vous créer votre application et la déployer de manière sécurisée ?

Les nouveaux appareils IoT présentent tous de nombreuses vulnérabilités, les rendant ainsi les cibles privilégiées des cyber terroristes. Après tout, il suffit d’une seule faille pour compromettre tout un système.

Best Practice N°4 : Ne jamais oublier la sécurité, un aspect peu excitant mais absolument essentiel

Plus les appareils IoT déployés sont nombreux, plus les problèmes de sécurité latents se multiplieront. « Latents » est ici le terme clé. Parfois, les vulnérabilités sont moins importantes, peu connues voire même très localisées ce qui peut affecter aussi bien un démarreur de véhicule automobile qu’un dispositif de surveillance de domicile.  Les sociétés concernées par ses produits vulnérables vont se démener pour endiguer le problème et la mauvaise publicité qui en résulte.

Mais ce qui se profile à l’horizon surtout, c’est une vulnérabilité de sécurité globale, avec une vague de rappels produits sans précédent pouvant aller à la catastrophe économique pour les entreprises. Celles qui seront dotées d’un cycle de vie de développement logiciel sécurisé, transparent, clair et facile à vérifier traverseront la tempête sans dommage. Les autres risquent fort de ne pas résister à la tourmente.