Depuis les années 2010, le nombre d’attaques ciblant les systèmes industriels a considérablement augmenté du fait des faiblesses des nouvelles infrastructures numériques. Leur sécurisation est particulièrement complexe pour plusieurs raisons, et notamment la rétrocompatibilité. L’évolution régulière des outils de production et des systèmes industriels associés demande une rétrocompatibilité minimale, qui entraîne la coexistence de différentes générations de technologies. De même, les fournisseurs de solutions, notamment avec les sans fil utilisées pour la télémaintenance et le télédiagnostic, doivent pouvoir interagir avec le système industriel et fragilisent également la sécurité du système. Ce paradigme s’est encore accentué avec l’essor de l’IoT industriel. Bien qu’adaptés pour résister à leur nouvel environnement, les objets communicants sont basés sur des technologies de l’électronique grand public. Ils héritent donc de leur lot de faiblesses en matière de cybersécurité, notamment liées à la communication sans fil et à leur besoin de s'appairer pour communiquer.
Téléchargement - Replay Meetup :
Stratégie de certifications d'objets connectés
Selon une enquête menée par Gartner en 2018, près de 20% des organisations ont subi au moins une attaque en lien avec des dispositifs IoT depuis 2015. Les dommages peuvent aller de la dégradation de l’image de marque aux poursuites judiciaires, notamment si l’entreprise n’a pas su protéger les données personnelles des utilisateurs. À cela s’ajoute l’impact financier. « Si un concurrent exploite vos données pour fournir un service équivalent, ou si vous devez rappeler tous vos produits à la suite d’un problème de sécurité, cela peut conduire une entreprise à la faillite. C’est d’autant plus risqué si vous êtes une startup et que le rappel concerne votre produit phare », explique Guillaume Larrignon, directeur technologies opérationnelles chez Sigfox.
Dans tout projet IoT, il est donc important d’établir une liste des menaces, afin de pouvoir mettre en place des contre-mesures adaptées. La sécurité doit absolument être prise en compte dès le début des projets IoT (security by design). Le coût de correction d‘une vulnérabilité se démultiplie à chaque étape du cycle de développement. Anticiper les risques potentiels permet d’en tenir compte dès la conception de l’objet, en choisissant d’emblée les composants, le réseau et l'architecture les mieux adaptés aux enjeux.
Un article scientifique publié en 2018 recense plus d’une centaine d’attaques différentes pouvant cibler un environnement IoT.
Ces menaces peuvent être regroupées en quatre catégories :
- Celles qui ciblent les composants physiques de l’IoT, comme les senseurs, l’alimentation ou les émetteurs
- Des attaques portant sur la couche de connectivité et les protocoles réseau utilisés
- Des attaques visant à accéder aux données stockées dans l’objet ou sur le cloud
- Des attaques sur la couche logicielle (lire aussi : Quelle plateforme choisir pour son projet IoT?), qui peuvent aboutir à une prise de contrôle de l’objet ou à un spam des autres objets connectés.
Pour les projets industriels, la sécurité doit avant tout se concentrer là où les données prennent du sens, c’est-à-dire sur la plateforme. Elle doit aussi prendre en compte l’authentification des machines, afin d’éviter que leur identité ne soit usurpée pour transmettre des informations erronées. Un réseau dédié aux applications IoT, distinct du réseau de l’entreprise et non relié à Internet, est ici pertinent.
La cybersécurité peut avoir un impact au niveau énergétique pour l’objet, elle est donc toujours une affaire de compromis. Le coût de la sécurité et celui des risques doivent ainsi être pris en compte dans le calcul du retour sur investissement des projets, car ils auront toujours un rôle majeur à jouer dans la certification des objets connectés.
Si vous souhaitez en apprendre plus sur les stratégies de certification des objets connectés, vous pouvez visionner notre meetup dédié à la question :
1000 L'Occitane, 31670 Labège - +33 (0)5 82 08 07 87