Sécurité des objets connectés
et de l'Internet des objets

Vers un blocage du marché lié au manque de sécurité et de confidentialité?
Sommaire

LE MOT DE L’INTERVENANT

En une journée, une synthèse actualisée et prospective des...

En une journée, une synthèse actualisée et prospective des problématiques posées par la sécurité des objets connectés et l’Internet des objets et par la confidentialité des données collectées au titre du RGPD. Analyse des solutions et des normalisations et méthodologies en cours de mise en place. Pour se mettre en situation de définir une stratégie d’entreprise cohérente en matière de sécurité et de confidentialité.

Bernard Laur
Analyste, consultant, auteur d’ouvrages et de très nombreux articles, Bernard Laur est connu depuis une quinzaine d’années pour ses synthèses des domaines émergents et novateurs des NTIC, états de l’art complets illustrés par les premiers retours d’expérience d’entreprises publiques et privées de toutes tailles et secteurs d’activité.
Lire la suite Cacher le texte

Vulnérabilités, solutions, normalisation, conformité.

2015 : Deux chercheurs prennent la main sur l’électronique du SUV d’un grand constructeur automobile qui rappelle 1,4 million de véhicules. 2016 : 140 000 caméras de vidéosurveillance détournées provoquent la plus grosse attaque en déni de service. 2017 : Symantec recense 50 000 attaques sur des objets connectés contre 6 000 en 2016. 2018 : Un hacker pirate les données d’un casino en s’introduisant via le thermomètre connecté d’un aquarium. 2019 : Un robot-cuiseur fait parler de lui …

Ces dernières années, les attaques se sont multipliées : « On observe un échec fondamental du marché de l'IoT qui a donné la priorité aux fonctions et aux coûts au détriment de la sécurité ».

Pour 77 % des entreprises, la sécurité est le principal défi de l’IoT, 82 % admettent ne pas être en mesure d’identifier tous les objets connectés à leur réseau, 79 % font état de violations de sécurité en France. La quasi-totalité des objets connectés est non conforme au RGPD.

La problématique est donc la suivante : comment assurer leur sécurité et la confidentialité des données?



Les vulnérabilités


  • Maîtriser la sécurité malgré l’augmentation de la surface d’attaque liée à la rusticité des objets, à la volumétrie des déploiements.
  • Comment assurer la sécurisation de l’IoT sur quatre niveaux : objet, communications, Cloud, données et faire face aux attaques de botnets (Miraï, BashLite, Brickerbot, Dyn) et aux failles de sécurité (Heartbleed, BlueBorne) ?
  • Prendre en compte les vulnérabilités les plus fréquentes : mises à jour non sécurisées, utilisation des mots de passe par défaut, communications non sécurisées, stockage des données en clair, conservation des interfaces de débogage.

Quelles solutions de sécurité ?


  • Comment imposer une culture du « Security by design » (sécurisation des objets dès la conception) et appliquer les huit principes de « Sécurité par défaut » et les trois guidelines de « Sécurité dès la conception », fixant les règles de sécurité de bout en bout, de développement du hardware, des applications et de test du code?
  • Comment patcher les firmwares, changer les mots de passe par défaut, chiffrer les données, segmenter le réseau, contrôler les accès, surveiller les comportements ?
  • Quel est le niveau de sécurité des protocoles de communication (MQTT, LoRaWAN, ..) et des brokers (Mosquitto, RabbitMQ...). Quels dispositifs pour le LPWAN (STSafe, Microsochip). Quid des algorithmes de chiffrement Simon et Speck ?
  • Comment contourner la puissance limitée des processeurs et des OS minimalistes ? Chiffrement, certification, authentification : option ou nécessité absolue ?
  • Comment maîtriser une infrastructure IoT visant à authentifier et identifierdles objets en nombre exponentiel ?
  • Assurer la sécurisation des API pour protéger l’intégrité des données, gérer le cycle de vie prenant en compte tout le cycle, de la provision à la suppression de l’objet.
  • Quel rôle le Big Data, l’analytique, la Blockchain vont-ils jouer dans les solutions de sécurité et de détection des attaques ?
  • Le niveau de sécurité proposé par les plateformes Cloud est-il suffisant? Quel risque lié au "Cloud Act"?
  • Quel recours aux standards de test de sécurité (JTAG, OWASP) et aux guidelines du GSMA.
  • Evolution de l’offre de fournisseurs (ARM / Trustzone, Sphere / Microsoft, Secure Elements / Trusted Objects, Sense / F-Secure, Cinterion / Gemalto, IDNomic, etc.) ?
  • Le cas de l'automobile : travaux de l' Institut de recherche SystemX, initiatives de Sentryo, Symantec, Karamba, etc.

Vers une normalisation ?


  • La pérennité du marché passera par le respect de normes, de codes de conduite et l’obtention de certifications.
  • Les travaux menés par de nombreuses organisations pour compenser le manque de standards (réseaux, protocoles, programmation, formats).
  • Les avancées en cours au niveau de standards internationaux : NCSC (GB), ENISA (EU), NIST et FTC (EU), CNIL (FR), et des méthodes de développement (OWASP, eBIOS). Les consortiums : IISF (IoT industriel), IoT Cybersecurity Alliance, IoT-GSI de l’IUT, IEEE de l’IETF, GS1, Oasis.

Confidentialité et conformité RGPD


  • Pour obtenir la conformité RGPD, tout système d’objets devra subir une analyse d’impact préalable (DPIA). Comment la passer avec succès ?
  • Comment assurer l’information, le recueil des consentements, la gestion des droits des utilisateurs ? Via l’objet ou un point de contact public ?