Tribune libre par Objenious, marque de Bouygues Telecom dédiée à l'Internet des Objets
Remarque : les propos tenus ici n'engagent pas la rédaction de GNT, mais constituent un avis éclairé de la part d'un expert dans son domaine que nous avons jugé opportun de vous faire partager. Il ne s'agit pas d'un article promotionnel, aucun lien financier ou autre n'existant entre cette société et GNT, le seul intérêt étant de vous apporter un éclairage intéressant sur un domaine particulier.
Qualifier son projet, une première étape indispensable
Pour bien sécuriser son projet IoT, il faut d’abord l’analyser de bout en bout et en comprendre les enjeux spécifiques. La vigilance ne se portera pas sur les mêmes éléments d’un projet à un autre. Le secteur d’activité, la criticité des données recueillies ou encore le besoin de disponibilité immédiate de l’information sont autant de facteurs influant sur la sécurisation. Ce sont ces caractéristiques qui façonnent le projet. Par exemple, les projets IoT portant sur la vidéosurveillance ou la gestion des terminaux de paiements peuvent être très sensibles, aussi bien en termes de disponibilité que de confidentialité. A contrario, les solutions connectées pour gérer les bureaux et salles de réunion (taux d’occupation, performances énergétiques, etc.) le seront potentiellement moins.
Un même projet global peut inclure différentes caractéristiques totalement opposées. Dans un projet d’immeuble connecté, certaines actions seront hautement critiques (vidéosurveillance, gestion des accès, etc.) et d’autres auront un degré moindre (gestion des salles de réunion, machines à café, etc.). En phase de conception du projet, il faut donc analyser chaque enjeu séparément afin d’y apposer la meilleure méthode de sécurisation via une approche, graduée et flexible, alliant différentes technologies. Tout cela dans le but de répondre aux attentes techniques et économiques de l’entreprise. La technologie doit s’adapter au besoin, et non pas l’inverse.
Plusieurs couches technologiques à comprendre et protéger
La première couche technologique est celle des capteurs, contenant un module de communication pouvant inclure des puces et permettant l’envoi et la réception d’informations. C’est ce qui permet de rendre l’objet « communicant » et de capter les données recherchées. Plusieurs méthodes existent pour identifier rapidement à distance un possible vol ou une attaque : détection de changement d’IMEI afin d’être alerté si la puce est transposée dans un autre objet, contrôle de déplacement inattendu permettant d’être alerté si le capteur est sorti de sa zone autorisée et habituelle, surveillance du nombre de connexions pour détecter une anomalie, etc. Il est également possible d’inhiber le dialogue des capteurs entre eux afin d’éviter qu’un virus se propage en cas d’attaque sur l’un des capteurs.
Deuxième couche technologique : les flux de données et leur transport. Les différents réseaux utilisés dans les projets IoT (M2M, LoRa, etc.) disposent déjà de protocoles de sécurisation forts permettant d’assurer une certaine sérénité aux entreprises. Cependant, il arrive que l’entreprise décide, par nécessité dans des zones peu couvertes ou par choix, de créer avec un partenaire son réseau privé. Il faudra alors y intégrer une brique de sécurité solide afin de crypter les flux et empêcher tout détournement. Pour être plus sereines, les entreprises peuvent aussi faire appel à des fournisseurs réseaux liés aux opérateurs télécoms, qui obéissent à des règles très strictes en matière de sécurisation et de continuité d’activité, tant sur leurs flux que sur leurs infrastructures.
La troisième couche est liée aux données et à leur supervision. Il est important d’en sécuriser le stockage et le traitement, ce qui passe notamment par une visibilité complète et une bonne supervision. Pour cela, des plateformes informatiques sont disponibles pour gérer, via une même interface, l’ensemble des données. Il est donc plus facilement possible de détecter les signaux faibles pouvant indiquer qu’une attaque est en cours. Mais la supervision ne s’arrête pas au monde numérique, l’attention doit également être portée sur les interventions humaines et techniques : à la fois dans l’organisation même de l’entreprise, la maintenance des capteurs et objets connectés ou du serveur applicatif métier doivent être régies par une politique de droits d’accès stricts et contrôlés ; ainsi que chez les partenaires pour tous leurs équipements participant à la solution globale IoT.
Dernière couche technologique à sécuriser : l’objet en lui-même. Les inquiétudes, de la part des entreprises et particuliers, se cristallisent bien souvent sur cette partie. L’enjeu principal ici est de contrôler qui peut accéder, et surtout qui peut commander, l’objet. Cet enjeu peut être particulièrement fort dans le secteur de l’automobile par exemple, pour éviter une prise de possession à distance des voitures connectées, ou encore dans le secteur médical. Aucune manœuvre frauduleuse ne doit être possible. Il est donc vivement recommandé de ne pas connecter les objets en direct à internet, d’autant plus avec une IP publique, afin de limiter les possibilités d’attaques. Dans le cadre de certains projets, la connexion à internet est pourtant inévitable, il faut alors mettre en place des mesures de sécurité supplémentaires pour encrypter de bout en bout les flux et sécuriser l’objet.
Le choix de ses partenaires en fonction des exigences attendues, élément clé de la sécurisation
Tous ces facteurs sont indispensables au bon déroulé d’un projet IoT, mais l’entreprise ne peut pas répondre seule à ces problématiques. Les partenaires technologiques ont un grand rôle, à la fois de conseil et de supervision. C’est pourquoi l’entreprise doit porter une attention toute particulière au choix des partenaires afin de bénéficier d’un accompagnement fort et complet.
La règle est donc simple : plus il y a de conseils et d’accompagnement dès le démarrage du projet, moins il y aura de vulnérabilités en matière de sécurité. Mais il sera également nécessaire de rester vigilant dans le temps, car les techniques de cyberattaque – mais aussi l’usage des différents objets connectés - peuvent évoluer et occasionner de nouvelles menaces à prendre en compte et éradiquer. Les projets IoT font intervenir une multitude de prestataires, mais le partenaire réseau joue bien souvent un rôle de chef d’orchestre et de garant du bon fonctionnement et de la sécurité de l’ensemble du projet.
Un bon partenaire participera à la qualification du projet. Il pourra, de consœur avec l’entreprise, définir la criticité des données recueillies et des flux. Il s’attachera également à comprendre l’ensemble du projet, ainsi que l’importance donnée à chaque élément, pour pouvoir désigner une solution sur-mesure. Son rôle est de percevoir des enjeux ou des besoins dont les porteurs de projet n’avaient jusque-là pas conscience, puis d’aider à définir la liste des « comportements anormaux » pouvant présager une attaque. La solution est créée sur mesure, afin de s’adapter aux contraintes métier, technologiques et budgétaires de l’entreprise, sans sacrifier la sécurité.