Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Construire son propre village de la sécurité IoT

avril 2018 par Gaël Dulong qui est IoT Solution Specialist chez Cisco Jasper

On entend souvent que l’humain est le maillon le plus faible de la chaîne de sécurité, que les utilisateurs peuvent se laisser abuser par des fraudes jusqu’à révéler leurs mots de passe ou encore qu’ils choisissent des combinaisons de caractères trop simples à deviner. L’IoT, à l’inverse, par nature totalement automatisé ou presque et ne requièrent que peu d’intervention humaine, nourrit le fantasme d’une sécurité parfaite. Pourtant rien n’est par nature sécurisé et c’est particulièrement illusoire dans le cas de l’IoT.

Un environnement IoT inclut des communications réseau, des communications radiofréquence, les API cloud, des applis mobiles, des services cloud et des applications de commande et de contrôle que l’on retrouve dans les couches mobiles et cloud de l’écosystème. La chaîne de valeur de l’IoT est longue et complexe, chaque élément étant à la fois nécessaire et interdépendant. De plus, chaque maillon de la chaîne constitue une vulnérabilité potentielle et, comme dans n’importe quel autre secteur d’industrie, aucun fournisseur ne peut garantir une sécurité absolue, sans faille.

Un chiffre illustre bien la croissance hors norme de l’IoT. Alors que le nombre total des abonnements mobiles individuels dans le monde atteint maintenant les 4,9 milliards (selon GSMA), il y a déjà 20 milliards de dispositifs connectés en circulation selon IHS Markit [CHECK - https://cdn.ihs.com/www/pdf/IHS-Mar...]. La « surface » des environnements IoT a cru de l’ordre de 15% cette année par rapport à l’année précédente. Elle regorge d’opportunités séduisantes pour les cybercriminels.
Face à ce volume et à cette fragmentation, c’est tout l’écosystème qu’il faut mobiliser pour assurer la sécurité d’une infrastructure IoT.

Les responsabilités de chacun

En matière de sécurité il est toujours important et intéressant de définir les responsabilités de chacun. De fait, lors d’un incident de sécurité, le responsable de facto et le responsable désigné par l’utilisateur sont parfois très différents. Un client qui achète une voiture intelligente se retournera contre le constructeur automobile ou le concessionnaire en cas de panne des fonctions connectés. Les utilisateurs de compteurs intelligents tiendront pour responsable le prestataire du service public. Pourtant dans ces deux exemples, l’accusé n’a en réalité que très peu d’expertise et peu de leviers en matière d’IoT. Au final, c’est souvent l’interlocuteur direct de l’utilisateur final celui qui est en première ligne quand les choses tournent mal qui sera considéré responsable d’une panne ou d’une faille. Les constructeurs ou opérateurs sont l’un des maillons les plus évidents de la chaîne. Pourtant souvent les problèmes de sécurité liés au matériel sont à imputer aux fabricants de composants clés comme, les modules de communication et les capteurs.

Au-delà du matériel lui-même, la partie logicielle est fréquemment impliquée dans les incidents de sécurité. Les développeurs d’applications doivent inclure des contrôles d’authentification stricts avant d’autoriser l’accès des utilisateurs. Les logiciels embarqués dans les dispositifs connectés doivent être équipés de mécanismes robustes de détection et de prévention de la fraude pour protéger à la fois le dispositif et les données qu’il peut contenir et transmettre. Ce n’est pas toujours le cas.

Le réseau est également une source possible de brèches de sécurité. Les dispositifs se connectent à Internet via des connexions cellulaires, Wi-Fi, Bluetooth, LPWAN ou même satellite. La connectivité cellulaire intègre déjà d’emblée un certain niveau de sécurité. Des standards internationaux sont déjà inclus dans la carte SIM, comme les clés et algorithmes de chiffrement, pour garantir l’émission et la réception des données en toute sécurité. L’IoT cellulaire permet aussi l’analyse des données des dispositifs sur des réseaux privés pour les isoler des autres flux de trafic réseau. Les différents protocoles de communication et leurs différentes versions n’apportent pas le même degré de protection. Les fournisseurs de plateforme Cloud enfin, jouent aussi un rôle central dans le développement d’un environnement de sécurité IoT parfaitement fonctionnel et sécurisé. Certains se concentrent sur la sécurité des données générées par les dispositifs connectés dans le cloud. D’autres plateformes IoT, gèrent, surveillent et protègent la connectivité des dispositifs déployés et les transmissions d’information.

La sécurité des dispositifs

Les objets connectés sont une entrée de choix pour les attaques. Le niveau de risque varie cependant en fonction du contexte d’utilisation du dispositif. Il convient donc d’envisager différentes couches de sécurité pour protéger les dispositifs connectés : authentification, accès utilisateur, accès aux applications, gestion du cycle de vie du dispositif et chiffrement des données. Souvent des compromis sont faits en termes de sécurité pour limiter les coûts. Ces compromis peuvent s’avérer. de taille quand les dispositifs connectés se comptent en milliers ou en millions. De plus, les données des dispositifs ont des degrés de sensibilité différents. Les données produites par un capteur qui traque les radiations dans une centrale nucléaire sont bien entendu plus sensibles que celles de la station météo d’un exploitant agricole. Comprendre la nature des dispositifs employés, recenser leur nombre et identifier les types de données collectées sont des étapes importantes dans l’élaboration d’une stratégie efficace et dans la détermination des priorités en termes de sécurité.

Protection du réseau et des données

Protéger la circulation des données est tout aussi important que de maintenir la sécurité. Chaque réseau présente une multitude de points d’entrée. Comme pour la protection des dispositifs, il existe de nombreuses options pour sécuriser un réseau et la stratégie employée dépendra du type de connectivité, du standard ou protocole retenu, de la forme du réseau et de l’utilisation faite des dispositifs. La connectivité sans fil, Wi-Fi ou cellulaire, et les connexions filaires fixes font chacune appel à des protocoles de sécurité distincts. Dans tous les cas les données devraient idéalement toujours être chiffrées et vérifiées, transférées sur des réseaux privés sécurisés plutôt que sur Internet. De plus, afin que les dispositifs ne communiquent qu’avec les applications appropriées, une solution d’authentification permet aux utilisateurs de vérifier et d’autoriser sélectivement les dispositifs et les applications qui peuvent accéder au réseau.

Couverture cloud

La vraie puissance de l’IoT réside dans la connexion des dispositifs au cloud. Il ne faut donc pas sous-estimer l’importance d’une sécurité robuste pour l’infrastructure cloud, dernier maillon de la chaine. Pour sa protection, les entreprises devraient envisager des pratiques de sécurité numériques et non numériques. Le respect de standards comme ISO/IEC 27001 peut fournir les éléments critiques d’une stratégie globale de sécurité de l’information au sein de leur infrastructure. En plus de la sécurité de tout leur environnement, les entreprises ont besoin d’adopter une approche granulaire de contrôle des applications IoT, et plus spécifiquement des accès basés sur le rôle et de la détection d’anomalies. Avec les accès basés sur le rôle, les entreprises peuvent créer des listes de gestion des identités et de contrôle des accès pour s’assurer que les applications dans le cloud autorisent le bon accès aux bonnes personnes. Avec la détection d’anomalies, les entreprises peuvent s’assurer que la plateforme IoT qu’elles utilisent sait détecter les comportements suspects et anormaux, mais aussi qu’elle permet la résolution automatisée des anomalies.

Checklist de la sécurité de l’IoT

Les prévisions de croissance de l’IoT sont vertigineuses, que ce soit en nombre de dispositifs connectés, en quantité de données transportées ou en termes de bénéfices escomptés. Mais ces perspectives massives s’accompagnent de potentiels risques tout aussi massifs. Les entreprises d’un bout à l’autre de la chaîne de valeur doivent avoir une vue complète de l’écosystème impliqué dans la sécurité. Cette vue doit englober l’ensemble des acteurs, les dispositifs et leurs fabricants, les réseaux et les plateformes de connectivité. Elle permettra de planifier et mettre en œuvre une stratégie solide de sécurité de l’IoT.

Quelques points clés permettent de bâtir une stratégie cohérente :
Evaluer les procédures d’identification et d’authentification de bout-en-bout de toutes les entités participant au service IoT (les passerelles, les terminaux, le réseau domestique, les réseaux d’itinérance, les plateformes de service)
Chiffrer toutes les données utilisateurs échangés entre le terminal et les serveurs en back-end
Stocker et encadrer l’utilisation de toutes les données « personnelles » et réglementées en conformité avec la législation locale de protection et de confidentialité des données
Utiliser une plateforme d’administration de la connectivité IoT et fonder la sécurité sur des règles de telle sorte que des mesures puissent être déclenchées immédiatement dès qu’un comportement anormal est détecté de la part des dispositifs connectés
Opter pour une approche holistique de la sécurité au niveau du réseau




Voir les articles précédents

    

Voir les articles suivants