Sécurité des objets connectés
et de l'Internet des objets

Vers un blocage du marché lié au manque de sécurité et de confidentialité? Vulnérabilités, solutions, normalisation, conformité
Sommaire

LE MOT DE L’INTERVENANT

En une journée une synthèse actualisée et prospective des...

En une journée une synthèse actualisée et prospective des problématiques posées par la sécurité des objets connectés et l’Internet des objets et par la confidentialité des données collectées au titre du RGPD. Analyse des solutions qui se mettent en place et des normalisations et méthodologies en cours de mise en place. Pour se mettre en situation de définir une stratégie d’entreprise cohérente en matière de sécurité et de confidentialité.

Bernard Laur
Analyste, consultant, auteur d’ouvrages et de très nombreux articles, est connu depuis une quinzaine d’années pour ses synthèses des domaines émergents et novateurs des NTIC, états de l’art complets illustrés par les premiers retours d’expérience d’entreprises publiques et privées de toutes tailles et secteurs d’activité.
Lire la suite Cacher le texte

2015 : deux chercheurs prennent la main sur l’électronique du SUV d’un grand constructeur automobile et commandent à distance essuie-glaces, GPS, freins, accélérateur. Le constructeur rappelle 1,4 millions de véhicules.

2016 : 140.000 caméras de vidéosurveillance détournées provoquent la plus grosse attaque en déni de service sur une site cloud jamais enregistrée (1,5 Terabits/seconde).

Ces dernières années, les attaques menées à partir d’objets connectés en réseau se sont multipliées amenant ce commentaire « On observe un échec fondamental de ce marché qui a donné la priorité aux fonctions et aux coûts au détriment de la sécurité ».

Pour 77 % des entreprises, la sécurité est le principal défi de l’IoT, 82 % admettent ne pas être en mesure d’identifier tous les objets connectés à leur réseau, 79 % font état de violations de sécurité en France.

La problématique est donc la suivante : comment assurer la sécurité et la confidentialité des données des objets connectés et de l’Internet des objets ?



Les vulnérabilités


  • Maîtriser la sécurité dans un contexte d’augmentation de la surface d’attaque liée à la rusticité des objets, à la volumétrie des déploiements.
  • Comment assurer la sécurisation de l’IoT sur 4 niveaux : l’objet, les communications, le cloud, les données et faire face au attaques de botnets (Miraï, BashLite, Brickerbot) comme aux failles de sécurité (Heartbleed, BlueBorne) ?
  • Prendre en compte les vulnérabilités les plus fréquentes : mises à jour non sécurisées, utilisation des mots de passe par défaut, communications non sécurisées, stockage des données en clair, conservation des interfaces de débogage.

Quelles solutions de sécurité ?


  • Au-delà des outils, comment imposer une culture du « Security by design » (sécurisation des objets dès la conception). Comment appliquer les huit principes de « Sécurité par défaut » et les trois guidelines du « Sécurité dès la conception », lesquels fixent les règles de sécurité de bout en bout, de développement du hardware et des applications et de test du code?
  • Comment être en mesure de patcher les firmwares, changer les mots de passe par défaut, chiffrer les données, segmenter le réseau, contrôler les accès, surveiller les comportements ?
  • Quel est le niveau de sécurité des protocoles (MQTT, LoRaWAN, ..) et des brokers (Mosquitto, RabbitMQ, ..). Quid des algorithmes de chiffrement Simon et Speck ?
  • Peut-on contourner la difficulté à la puissance limitée des processeurs et aux systèmes d’exploitation minimalistes ? Chiffrement, certification, authentification sont-ils une option ou une nécessité absolue ?
  • Comment maîtriser une infrastructure IoT et se focaliser sur la scalabilité afin de gérer un nombre exponentiel d’objets ?
  • Comment assurer la sécurisation des API pour protéger l’intégrité des données, la gestion du cycle de vie qui impose des solutions de gestion des identités et des accès prenant en compte tout le cycle, de la provision à la suppression de l’objet.
  • Quel rôle le Big Data, l’analytique, la blockchain vont-ils jouer dans les solutions de sécurité et de détection / prédiction des attaques ?
  • Comment évolue l’offre de fournisseurs (Trustzone des processeurs ARM, MCU Sphere de Microsoft, Sense de F-Secure, Cinterion de Gemalto, IDNomic, etc.) ?

Vers une normalisation ?


  • La pérennité du marché passera par le respect de normes, de codes de conduite et l’obtention de certifications.
  • Prendre en compte les travaux menés par de très nombreuses organisations destinés à compenser le manque de standards à tous niveaux (réseaux, protocoles, programmation, formats).
  • Des avancées importantes sont en cours tant au niveau de standards internationaux : NCSC (GB), ENISA (EU), NIST et FTC (EU), CNIL (FR), et des méthodes de développement (OWASP, eBIOS). Des consortiums se sont constitués : IISF (IoT industriel), IoT Cybersecurity Alliance, IoT-GSI de l’IUT, IEEE de l’IETF, GS1, Oasis.

Confidentialité et conformité RGPD


  • Pour obtenir la conformité RGPD, tout système d’objets devra subir une analyse d’impact préalable (DPIA). Comment la passer avec succès ?
  • Comment assurer l’information, le recueil des consentements, la gestion des droits des utilisateurs ? Via l’objet ou un point de contact public ?
  • Quelle politique de gestion des risques ?