5-conseils-securite-iot

D’ici 3 ans, 25% des cyberattaques auront pour origine l’Internet des objets. Face à ce défi à relever, des solutions s’affirment : surveillance par l’infrastructure réseau, CERT™, respect des bonnes pratiques, et aussi développement de technologies émergentes comme la blockchain et la puce silicon.

Menaces et opportunités : telle pourrait être la synthèse des discussions actuelles autour du challenge de la sécurisation de l’Internet des Objets. La lutte contre les risques de cyberattaques va s’accompagner dans les 3 prochaines années selon Gartner, d’une augmentation des budgets consacrés à la sécurité et parallèlement, des offres de protection (test, sous-traitance, détection-réponse).

À l’unisson, les experts ne cessent de multiplier les avertissements relatifs aux enjeux de la sécurité de l’IoT en avançant des chiffres parlants. D’ici 2020, plus de la moitié des process business incorporeront un dispositif connecté et au moins 25% des attaques auront pour source ce type de dispositif. Les menaces valent donc pour tous les types de business et les opportunités pour les experts en outils et services de protection.

Penser la Security by Design au niveau de l’infrastructure réseau

La sécurisation prise en compte dès la conception de l’objet (Security by design) est mise à mal par la rapidité des cycles de développement et l’absence de normes.  Pour Cisco, l’approche préventive peut aussi s’effectuer à partir du réseau grâce aux IP et traces laissées par les objets connectés. À ce niveau, il est possible  « d’identifier les objets (modèles, marques, identifiants utilisés et alimenter un référentiel de l’objet, de détecter les vulnérabilités et de filtrer ».

Utiliser le 1er CERT™ européen dédié à la sécurité des objets connectés

Cette structure permet à ses utilisateurs de bénéficier d’un laboratoire de tests pour l’évaluation des objets connectés, d’être informés sur les nouvelles menaces et donc de pouvoir s’y préparer, ou de réagir efficacement. Créé en juin 2015 par Digital Security du groupe Econocom, le CERT-UBIK propose les services d’un CSIRT et d’un SOC.
Ce CERT™ est aussi la 1re structure d’offre de services préventifs et réactifs dédiés aux objets connectés à avoir obtenu l’agrément Computer Emergency Response Team et pour l’Hexagone, le label Passi  (Prestataire d’audit de la sécurité des systèmes d’information)  de l’ANSSI.<

Blockchain et empreinte silicon : des technologies à surveiller

  • La blockchain, avec son modèle décentralisé de flux et de stockage de données, sa traçabilité et son inviolabilité est envisagée pour des usages autres que les monnaies virtuelles.  En usages internes à une entreprise ou ouverts à ses partenaires pour sécuriser les transferts de données ou des transactions par exemple. La technologie est déjà expérimentée dans le secteur de l’énergie pour des échanges BtoB, BtoC ou CtoC. Les smart contracts étendent aussi les possibilités à des procédures automatisées et sécurisées entre objets.
  • La puce inclonable en silicone ou PUF (Physical Unclonable Function) est l’équivalent de l’empreinte digitale humaine. C’est un système embarqué de signature unique, attribué à chaque objet connecté pour l’authentifier. Grâce à ce type de développement technologique, la société Intrinsic-ID, spin-off de Philips Electronics a récemment remporté le très recherché prix de l’European Union Innovation Radar. Verayo, créé en 2005 dans la Silicon Valley par des ingénieurs issus du MIT est une start-up déjà ‘’historique’’ dans les recherches et les applications autour des PUF.

Consulter les recommandations des groupements d’experts

Ces guides de bonnes pratiques émanent principalement d’organisations comme les agences nationales, associations ou alliances d’expert et d’industriels liés au numérique.

  • Pour les dispositifs médicaux, les voitures, les drones et plusieurs autres types d’objets connectés, la GSMA (GSM Association) a publié début 2016 un imposant document relatif aux critères permettant d’évaluer les différents niveaux (terminaux, Infrastructure, opérateurs réseau) de sécurisation de ces systèmes. Télécharger, en anglais, le GSMA IoT Security Guidelines (2016)
  • Pour la smart home, le développement et l’intégration de ses équipements (composant, logiciel, réseau) et les services associés, l’ENISA (European Union Agency for Network and Information Security) a élaboré un livret de bonnes pratiques et de recommandations. Télécharger, en anglais, Security and resilience of smart home environment(2015)
  • Pour le secteur des prestataires industriels, l’ANSSI (l’Agence Nationale de la Sécurité des Systèmes d’nformation) met à disposition un référentiel pour les intégrateurs et fournisseurs de maintenance, incluant entre autres, le déploiement et l’audit d’outils de télémaintenance, de plateformes collaboratives système. Télécharger le référentiel ANSSI cybersécurité pour les prestataires (2016).
  • La Cloud Security Alliance (CSA - organisation à but non lucratif regroupant près de 50 000 experts autour de la sécurisation Cloud) a élaboré un livre blanc conséquent, orienté sur des exemples et des solutions pratiques (exemple ci-dessous) pour comprendre toutes les implications des dispositifs connectés dans la chaîne de valeur et les précautions à prendre. Télécharger, en anglais, le Security guidance for early adopters of the Internet of Things (2015)

securite-iot-csa

Sources : ITWeb, Gartner, ZDNet, Blockchain France/énergie, Blockchain France/smart contracts, Verayo, Intrinsic ID

 

Econocom aux Assises de la Sécurité et des Systèmes d’Information

Digital Security et Exaprobe du groupe Econocom sont présents à Monaco jusqu’au vendredi 8 octobre, au Grimaldi Forum.

À suivre  ‘’IoT : 50 milliards de failles connectées en 2020’’, le jeudi 6/10 à partir de 11h : l’atelier organisé par Digital Security sur les risques et les retours d’expérience des early adopters. Pour en savoir plus