L’Internet des Objets, ou IoT pour Internet of Things, est le sujet de nombreux débats depuis
déjà pas mal de temps. Ces discussions portent sur les opportunités business qui y sont liées,
les avantages pratiques apportés au grand public, et bien sûr, les implications en matière de
confidentialité et de sécurité des données.

L’IoT s’inscrit dans une migration qui s’opère alors que le monde évolue des
communications M2M (Machine-to-Machine) de l’IoT vers l’Internet of Tout (« Internet of
Everything », autrement dit, au-delà des objets, données, processus, voire gens connectés).

Cette évolution est induite par trois moteurs : la prolifération des objets connectés, la
croissance exponentielle des applications multi-plateformes, et la maturité des technologies
réseau capables de connecter des milliards de dispositifs, de manière économique et sans
efforts.

L’IoT est source de nombreux avantages, avec notamment une visibilité et une veille en
temps réel, une disponibilité 24/7, une automatisation des processus, davantage de praticité,
ainsi que la maîtrise des coûts. Les entreprises, les administrations et le grand public : tout le
monde peut tirer parti de cette évolution.

Les opportunités de marché sont nombreuses. Gartner, par exemple, estime que les
fournisseurs de produits et de services liés à l’IoT, vont pouvoir générer un chiffre d’affaires
supplémentaire de plus 300 milliards de dollars US en 2020, tandis que le nombre de ces
objets connectés est estimé à plus de 26 milliards à cet horizon. De son côté, IDC table sur
une croissance du marché mondial des solutions IoT de 1 900 milliards de dollars US en 2013
à 7 100 milliards en 2020.

Les pertes de données via les objets connectés : une menace pour les entreprises
L’IoT va transformer nos processus au quotidien, qu’il s’agisse de nos communications avec
les autres, de nos méthodes de collaboration ou encore de nos transactions. De nombreux
services novateurs seront également créés autour de l’IoT.

Le revers de la médaille, cependant, est que l’IoT présente des risques de sécurité. En premier
lieu, la migration d’informations et d’activités vers le cloud les rend vulnérables au piratage :
en effet, le réseau est davantage exposé avec l’introduction d’objets connectés, tandis que le
logiciel qui fait fonctionner ces objets est souvent peu sécurisé et plus vulnérable.
À l’heure où le grand public et les salariés s’attendent à ce que les entreprises protègent leurs
données personnelles, ces vulnérabilités peuvent porter à de lourdes conséquences. Les
entreprises ont aujourd’hui pour responsabilité de protéger leurs ressources corporate, mais
également les informations de leurs clients et de leurs salariés : éléments de rémunération,
historique de recherche et d’achat de produits, et autres données sensibles. Cette évolution
s’opère à l’échelle mondiale, de la simple protection des clients contre l’utilisation
frauduleuse de leur carte bancaire vers une protection exhaustive des informations
personnelles. Ces responsabilités doivent être tenues par les entreprises pour éviter qu’elles
ne se mettent en péril.

Dans une récente enquête sur l’IoT menée par Fortinet, 62% des personnes interrogées
affirment qu’ils se sentiraient outragés et particulièrement en colère - jusqu’à prendre des
mesures - si elles apprenaient qu’un objet connecté personnel collectait secrètement des
informations les concernant pour les transmettre à un tiers. D’autre part, si un dispositif
connecté identifié recueille des données, 66% des répondants insistent sur le fait que l’accès à
ces données soit limité à eux ou à des tiers dûment autorisés par leurs soins.

Des objets connectés facilement piratables

Les objets de l’IoT sont simples à pirater : ils utilisent en effet de nombreux modules et
bibliothèques communes, souvent issus de l’Open Source. Ils ont également tendance à
utiliser les protocoles les plus récents tels qu’UPnP (Universal Plug n Play), susceptibles de
présenter davantage de défauts que les protocoles plus matures.
D’autre part, les fabricants d’objets connectés ne donnent pas forcément la priorité à la
sécurité lorsqu’ils les conçoivent, et ne disposent pas de mécanismes de réponse en cas de
piratage de leurs équipements.

Les principaux éditeurs de logiciels, tels que Microsoft et Adobe, sont des cibles historiques
d’attaques et ont donc fait de la sécurité un élément essentiel de leur cycle de développement
applicatif, avec notamment une mise à disposition fréquente de patchs de sécurité. Si une
vulnérabilité majeure est repérée sur leur logiciel, ce sont des équipes d’urgence dédiées à la
sécurité qui prennent en charge rapidement cette problématique.

De plus, ces éditeurs ont intégré de nombreuses mesures de sécurité au coeur de leurs
produits, ce qui ne facilite guère la tâche pour les assaillants. Adobe Reader, par exemple,
dispose d’une sandbox pour davantage de résilience face aux attaques. Les objets connectés
sont dépourvus de ces contrôles de sécurité. Ils gagnent en complexité avec le temps qui
passe, ce qui devrait faire émerger davantage de bugs de sécurité. Il s’agira, pour l’essentiel,
de bugs traditionnels affectant les interfaces Web utilisateurs qui contrôlent les dispositifs
IoT.

Pour FortiGuard Labs, la division de Fortinet dédiée à la recherche et veille des menaces, les
hackers ont déjà commencé à tester les vulnérabilités de l’IoT. Peu d’attaques ont été menées
à ce jour, mais les choses devraient changer dans les mois à venir. Les équipements IoT
constituent ainsi des cibles privilégiées compte tenu de leur faible résistance. D’ailleurs ces
hackers le savent : en l’absence d’équipes de sécurité pour gérer les patchs et les problèmes
de sécurité de l’IoT, leurs attaques sont susceptibles de réussir. Si un équipement est
connecté, dispose d’un espace de stockage, de ressources mémoire et d’un processeur, il
devient un candidat idéal pour les attaques. Notons également qu’un objet connecté va
souvent servir d’intermédiaire vers une seconde attaque vers le réseau interne.

L’inspection du réseau pour une sécurité pertinente

Face à la surface d’attaque importante que présente l’IoT, la sécurité et la gestion des
terminaux tendent à se fragmenter. La majorité des objets connectés ne disposent pas d’un
antivirus. D’ailleurs, le déploiement d’un tel outil de sécurité est complexe, face au volume et
à la diversité de l’écosystème IoT.

L’inspection du réseau constitue ainsi la seule solution possible pour sécuriser l’IoT. Chaque
réseau devra intégrer une appliance de sécurité suffisamment intelligente pour assurer une
inspection détaillée des plateformes logicielles de ces objets non conventionnels. C’est ce que
ce nous appelons une inspection multiplateforme, la meilleure option pour faire face aux
évolutions de l’IoT.

Pour chaque requête de données, cette appliance doit être capable de répondre à trois
questions liées à l’utilisateur : qui est-il, que fait-il et quelles sont les données dont il a
besoin. Ceci implique que le réseau intègre des technologies de protection réseau à l’instar
d’un pare-feu, d’un système de prévention d’intrusions, d’un filtrage Web et de solutions
antimalware qui assurent l’application des règles, contrôlent les applications et préviennent
les fuites de données. De plus, les contenus doivent également être analysés, précisément
parce que la surface d’attaque est plus large. En effet, les menaces peuvent se dissimuler un
peu partout aujourd’hui, et notamment au sein d’un trafic qui semble à priori légitime.

Avec ces solutions intelligentes, des règles bien définies et des équipes de sécurité IT
vigilantes, les entreprises pourront espérer remporter cette bataille de la sécurité de l’IoT, ou,
tout du moins, mettre leur entreprise sur un pied d’égalité face aux menaces.