Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Global Security Mag : Le Magazine Trimestriel sur la Sécurité, le stockage, la dématérialisation...

Global Security Mag est un magazine trimestriel sur le thème de la sécurité logique et physique publié et diffusé à 5.000 exemplaires.
Notre revue est une source d’information indispensable à tous les acteurs de la filière sécurité. Elle est destinée à tous les professionnels de la sécurité informatique et physique : RSSI, Risk Manager, DSI, Administrateurs Réseaux, etc. dans les entreprises et administrations de toute taille...
Notre publication propose un résumé de tous les articles en anglais.
Le magazine est aussi diffusé en version PDF.

Contactez-nous

Pourquoi l’IoT est-il si difficile à sécuriser ?

novembre 2022 par Pierre Codis, Directeur de Ventes France Benelux et Europe du Sud, de Keyfactor

Des stimulateurs cardiaques aux voitures autonomes, en passant par les systèmes vidéo de surveillance, une multitude d’appareils auparavant cloisonnés, se connectent désormais à internet. Mais si cette interconnectivité offre une grande valeur ajoutée aux utilisateurs, elle n’est pas sans risque ! La sécurité des dispositifs IoT, qui ont explosés ces dernières années, évolue à mesure que de nouvelles technologies, réglementations, cas d’utilisation et menaces apparaissent. Et les enjeux sont élevés, car une violation ou compromission de données compromettant des appareils médicaux, des équipements militaires, des véhicules personnels ou des services publics peut être dévastatrice, et aller jusqu’à mettre des vies en danger.

Les éditeurs traditionnels de l’informatique et de la cybersécurité sont capables d’adresser cette nouvelle révolution technologique de multiples façons mais ils devront, tôt ou tard relever un certain nombre de nouveaux défis :

Défi 1 : Répondre à des exigences de grande envergure

Les machines industrielles doivent souvent produire des centaines de milliers d’unités par semaine, chacune ayant son propre certificat et sa propre identité. Ces certificats doivent être délivrés aussi rapidement que les unités sortent de la chaîne de production.
Le simple inventaire de tous les certificats délivrés - sans prendre en compte leur gestion et leur mise à jour - est une entreprise de grande ampleur, en particulier lorsque leur le cycle de vie est court.
42% des entreprises utilisent des feuilles de calcul pour suivre manuellement les certificats numériques, et 57 % ne disposent pas d’un inventaire précis de leurs clés SSH. Par conséquent, jusqu’à 40 % des identités des machines ne sont pas contrôlées.

Défi 2 : Adopter le Zero-Trust

Les unités de contrôle électronique (UCE) automobiles - qui vérifient les systèmes de sécurité, de transmission et d’info-divertissement des véhicules - sont fabriquées via une chaîne d’approvisionnement gigantesque comportant plusieurs points d’entrée, potentiellement exploitables par des hackers. Par ailleurs, les produits de cette chaîne logistique sont déployés dans des environnements inconnus qui peuvent utiliser des contrôles de sécurité vieux de plusieurs décennies. Les fabricants ne peuvent pas laisser la sécurité de leurs produits dépendre de l’utilisateur final, car toute violation de données peut potentiellement nuire à leur réputation.
La technologie IoT doit adopter une approche Zero Trust en matière de sécurité, tant pour les identités humaines que pour les machines. Ce modèle - qui n’accorde par nature aucune confiance - ne se contente pas d’ajouter une fonctionnalité de sécurité, mais l’intègre dès la conception du produit et tout au long de son cycle de vie.
En outre, l’appareil doit s’intégrer à un large éventail de systèmes adjacents, qui n’adhèrent pas forcément aux mêmes normes de sécurité. Les réglementations et les normes industrielles étant encore en élaboration dans la sphère IoT, les fabricants sont confrontés à des outils hétérogènes. Protéger ses produits, tout en les rendant interopérables est donc un défi de taille.

Défi 3 : Une sécurité pensée à posteriori

La sécurité est rarement un argument de vente pour un appareil IoT. Ce qui compte, c’est le bon fonctionnement du produit, son efficacité, son coût, etc. Les fabricants de produits IoT ne peuvent pas augmenter le prix de leurs produits en utilisant la sécurité comme argument. Par conséquent, ils doivent veiller à ce que les mesures de sécurité n’impactent pas l’expérience utilisateur et son efficacité.
Les réflexions relatives à la sécurité doivent être prises en compte tout au long du processus de développement et de fabrication du produit. Si la sécurité fait partie du dispositif dès le début et qu’elle adopte une approche "Security by Design", elle génèrera moins de frictions dans le cycle de lancement du produit et impactera moins les marges bénéficiaires.

Défi 4 : Trouver un équilibre entre sécurité et fonctionnalité

Permettre aux entreprises de superviser les opérations sur Internet est un facteur vital, mais, dès qu’un appareil se connecte, il induit un nouveau risque. Le fabricant d’un produit doit donc assurer à la fois la sécurité et l’interconnectivité afin d’éviter les conséquences désastreuses pour l’entreprise d’une violation des données.
Cet exercice d’équilibre peut être difficile, surtout si la phase de conception s’oriente vers un modèle Agile ou DevOps. Les fabricants s’épanouissent dans le changement et l’innovation, tandis que les responsables de la sécurité préfèrent la stabilité et la prévisibilité.

Cinquième défi : Respecter les normes de conformité

L’IoT va connaître une évolution considérable au cours des prochaines années. Les nouveaux usages, les nouvelles technologies et menaces entraîneront de nouvelles réglementations. Mais si la sécurité n’est pas une priorité absolue pour les développeurs de l’IoT, la conformité sera toujours un obstacle.
L’environnement réglementaire autour de la sécurité de l’IoT diffère selon les pays et une entreprise qui veut commercialiser un produit globalement doit le concevoir pour qu’il soit conforme quel que soit la réglementation (GDPR en Europe, PIPL en Chine, LGPD au Brésil, ...). Ces réglementations en matière de protection de la vie privée sont en train d’être étendues pour inclure les dispositifs IoT, et les entreprises peuvent faire appel à des consultants spécialisés pour les accompagner parmi ces différentes mises en conformité.

Les risques liés à une sécurité IoT pensée à posteriori

Selon IoT Analytics, le marché mondial de l’IoT a connu une croissance de plus de 22 % en 2021 et devrait continuer à augmenter de la même façon jusqu’en 2027. Ce secteur relativement nouveau connaît de nombreux problèmes de croissance, et les entreprises ne savent pas exactement qui est responsable de quoi en matière de sécurité. L’optimisation en matière de sécurité des dispositifs IoT ne sera possible que lorsque les responsables de la conception, des opérations et de la sécurité reconnaîtront qu’ils doivent agir de concert. Les meilleurs produits IoT seront construits par des fabricants qui intègreront la sécurité et la conformité réglementaire dès la conception de leurs appareils.


Voir les articles précédents

    

Voir les articles suivants