Internet des objets : les grandes questions de sécurité pour les fabricants

Quelle serait la meilleure approche pour que les fabricants de matériels IoT intègrent d’emblée la sécurité à leurs produits ? Le point.

Le potentiel de l’Internet des objets (Internet of Things - IoT) n’est un secret pour personne : Gartner prévoit que 20,8 milliards d’objets seront connectés d’ici 2020. D’autres estiment que ce chiffre pourrait atteindre 50 milliards. Mais les nouvelles interconnexions technologiques et leur déploiement dans de nouveaux environnements cyber-physiques génèrent quantité de menaces inédites pour la sécurité.

Dans un récent rapport sur la cybersécurité en 2015, AT&T notait une explosion (+458%) des recherches de vulnérabilités sur les équipements connectés. On constate ici que les équipements connectés élargissent la zone exposée aux attaques dans un écosystème. Pour aggraver les choses, les fournisseurs tendent également à utiliser des mécanismes basés sur des logiciels pour activer certaines fonctions de leurs appareils, ce qui incite à se demander comment ils s’y prennent pour empêcher les contrefaçons et les actes de piratage de leurs produits. Les produits connectés sont par ailleurs à un stade de développement accéléré et les fabricants s’empressent de créer de nouveaux appareils intelligents avec comme préoccupation première l’expérience utilisateur – et pas nécessairement la sécurité. Quelle serait la meilleure approche pour que les fabricants intègrent d’emblée la sécurité à leurs produits ? Pour répondre à cette question, prenons les points de sécurité sur lesquels les développeurs de l’IoT vont devoir se pencher : l’authentification, la confidentialité et l’intégrité.

Authentification

L’authentification vise à prouver que toutes les entités sont bel et bien ce qu’elles affirment être. Cela permet de s’assurer que les communications sont uniquement transmises au destinataire prévu ; l’authentification rassure complètement le destinataire sur l’origine de la communication. Dans l’univers de l’IoT, plusieurs scénarios sont possibles : authentification des appareils sur les services cloud, des utilisateurs sur les appareils, des objets sur des objets... en fait, toute entité sur n’importe quelle autre.

Confidentialité

Les myriades d’appareils qui se connectent à l’IoT récupèrent des informations sensibles. Or, sans protections suffisantes prévues par les fabricants et les fournisseurs de services, les appareils connectés constituent une menace pour la vie privée des utilisateurs. Les fabricants d’appareils doivent donc veiller à ce que les informations destinées à une personne précise ne puissent être interceptées et lues par un tiers. Le chiffrement doit être activé pour garantir la confidentialité des données dans l’Internet des Objets.

Intégrité des données

Les technologies de sécurité peuvent être utilisées dans l’IoT pour protéger l’intégrité des données. Elles certifient alors que le message envoyé au destinataire n’a pas été modifié ou altéré par accident ou malveillance. Dans certains écosystèmes IoT, les appareils doivent prendre des décisions et agir de manière autonome. Dans de tels scénarios, la valeur et le risque sont directement liés à l’intégrité des données. Que se passerait-il si une voiture autonome ou un réseau électrique s’appuyait sur des sources de données usurpées ? Les conséquences pourraient être catastrophiques.

Introduction d’éléments de sécurité renforcée

L’Internet des objets exige une approche éprouvée et musclée pour maintenir la sécurité, la confiance et la confidentialité des données dans l’écosystème.

Interopérable et basée sur des standards, l’infrastructure PKI est une technologie fondatrice qui a fait ses preuves. Elle propose des fonctions de sécurité des données essentielles comme l’authentification, la confidentialité et l’intégrité des données. L’infrastructure PKI s’adapte facilement pour répondre aux besoins de l’Internet des Objets en termes de vélocité, de diversité et de volumes. Plusieurs modes d’implémentation sont possibles pour intégrer une PKI à votre solution. Les plus fiables incorporent cependant une PKI basée dans le cloud avec un dispositif cryptographique matériel côté équipement, tel une puce TPM ou tout autre dispositif similaire.

L’activation d’identités fortes au niveau matériel protège contre l’usurpation d’identité et la compromission des clés qui mettraient en danger l’ensemble du système interconnecté. Si un changement se produit, tout l’écosystème en est avisé et les administrateurs peuvent réagir en conséquence.

Sécurité IoT : il est encore temps de bien faire les choses

L’Internet des objets est pour une grande part encore en phase de développement. Il génère de formidables opportunités que les fabricants essaient d’exploiter, mais la sécurité ne fait sans doute pas partie de leurs compétences principales. Ils doivent cependant connaître l’impact de leurs appareils sur la sécurité des personnes et des entreprises pour pouvoir limiter les problèmes de sécurité dès la phase de développement. L’intégration de la sécurité a posteriori (retroffiting) dans des appareils déjà utilisés est compliquée, coûteuse et pénible pour les utilisateurs. L’implémentation de la sécurité en début de conception consolide l’image d’intégrité du fabricant et lui offre, en prime, un avantage concurrentiel unique : il peut alors commercialiser plus rapidement des appareils sécurisés et améliorer l’expérience des utilisateurs.