Encore en ordre dispersé, les mesures pour améliorer la sécurité des objets et systèmes connectés commencent à se multiplier. Les premiers contest, label, CERT™ et mesures de répression montrent la voie.
« Une webcam ou un lecteur DVD peut désormais faire partie de l’arsenal d’une cyberarmée de zombies exploitant l’Internet des Objets » confirme Digital Security dans son bilan des attaques IoT en 2016. Elles se sont multipliées, diversifiées, ont touché des sites critiques comme des infrastructures nucléaires, des systèmes industriels comme des barrages, et 2017 ne sera pas épargné de nouvelles actualités. Ces cybermenaces peuvent avoir pour origine des objets de notre quotidien, anodins en apparence. « Que les industriels, régulateurs et entreprises se saisissent rapidement de la question » semble être une évidence. Et elle commence à se concrétiser par quelques initiatives, pas encore coordonnées.
L’IoT Home Inspector Challenge aux USA
Le lancement de l’événement a été très médiatisé. Et pour cause. C’est la Federal Trade Commission (FTC) aux États-Unis qui l’a initié. L’organisme régulateur télécom a ouvert un concours aux développeurs pour offrir aux consommateurs des solutions de protection pour les objets connectés des smart homes et également les équipements comme les ordinateurs ou smartphones.
Application, service Cloud, dispositif physique : ces solutions pourront prendre ces 3 formes et devront avoir pour finalité de protéger des failles de sécurité dues à des logiciels périmés. Le concours est ouvert aux jusqu’au 22 mai prochain et le gagnant empochera 25 000 $, les 3 mentions du jury bénéficieront de 3 000$. Les résultats seront proclamés fin juin.
La FTC est aussi à l’origine d’une plainte contre D-Link, fabricant de caméras IP et de routeurs. L’institution reproche à la société de n’avoir pas pris les mesures nécessaires contre la vulnérabilité de ses équipements. L’une de ces failles a été à l’origine du botnet Mirai qui a pu infecter plus d’un million de systèmes connectés et bloqué, entre autres l’hébergeur OVH à l’automne 2016.
IOT.BZH s’attaque aux voitures connectées, Gwagenn aux communications
Et c’est la sécurisation des systèmes embarqués connectés qui fait bouger les lignes dans l’ouest de la France. Car l’innovation en matière de smart car et plus largement de cyberdéfence et cybersécurité se veut bretonne grâce à la filière que la région développe. En décembre 2016 à Vannes, le Cyber West Challenge avait pour objectif de faire plancher les candidats sur ‘’les mesures techniques et non techniques’’ de cyberprotection des personnes et des équipements.
Le premier lauréat de ce concours s’appelle IOT.BZH. Cette start-up créée en 2015 a depuis connu une impressionnante montée en puissance grâce à sa spécialisation : la sécurisation des véhicules connectés. En à peine 2 ans, IOT.BZH est entrée dans la cour des grands, celle de l’industrie automobile européenne, américaine et japonaise, constructeurs et équipementiers compris. Mais son expertise et ses ambitions visent également des secteurs comme les télécoms, le médical, l’agriculture et la défense.
Gwagenn, autre heureuse candidate du Cyber West Challenge est membre de la FrenchTech Rennes Saint-Malo. Elle est spécialisée dans l’application de l’électromagnétisme à la protection des systèmes de communication sans fil dans des secteurs de la défense, des télécoms ou du naval. Gwagenn est une toute jeune structure qui a vu aussi le jour en 2015.
Le label IoT Qualified Security de Digital Security
92 % des acteurs de la filière Internet des Objets connectés sont demandeurs de standards de sécurité pour couvrir la confidentialité, l’intégrité et la disponibilité des systèmes connectés selon les résultats de la consultation publique de la Commission européenne.
Pour penser la sécurité IoT en amont, le label IoT Qualified Security de Digital Security, du groupe Econocom permettra aux futurs acquéreurs, entreprises ou particuliers, d’identifier le degré de sécurité d’une solution connectée selon un indicateur fiable, neutre et indépendant.
Ce système de labellisation est annoncé pour ce premier trimestre 2017 et vise à « l’identification fiable et objective du niveau de sécurité des solutions connectées », grâce à un plan de contrôle basé sur la plate-forme d’évaluation du CET-UBIK, premier CERT™ spécialisé en sécurité IoT. Les incitations aux bonnes pratiques issues de la cybersécurité sont aussi à ce programme dans l’optique d’une approche Security by Design.
Sources : Digital Security, Silicon, FTC.gov, Cyber West Challenge, La Tribune,
