Le monde de l'IoT (l'Internet des objets, en anglais Internet of Things) est confronté à un nombre croissant d’enjeux de cybersécurité allant des campagnes de hacking financées par les États jusqu’aux vulnérabilités des objets connectés d'où l’importance de mieux sensibiliser les consommateurs, mais aussi et surtout les entreprises. Environnements IT/OT silotés, chaînes d’approvisionnement peu maîtrisées, prévalence du fonctionnel sur la sécurité : toutes ces faiblesses sont autant de munitions offertes aux cyberattaquants.
Bien que les attaques sur les systèmes informatiques traditionnels restent plus nombreuses, l’impact potentiel des menaces IoT est tel qu’il suscite la plus vive attention. Il ne s’agit pas ici que d’une simple question de confidentialité et de vol de données, mais de dommages physiques possibles sur des infrastructures critiques et leurs utilisateurs.
D’après un rapport récent, des hackers russes seraient ainsi parvenus à s’infiltrer dans des centaines d’installations électriques aux États-Unis. Outre-Manche, le Centre national de la cybersécurité avait déjà tiré le signal d’alarmeau sujet d’attaques similaires dans les secteurs de l’énergie, des médias et des télécoms. Sans oublier les désormais célèbres attaques sur les fournisseurs d’énergie ukrainiens qui avaient privé des centaines de milliers de foyers d’électricité en décembre 2015 et 2016.
Devant l’ampleur de ces incidents, les vulnérabilités des véhicules connectés, des caméras de surveillance intelligentes et des babyphones peuvent sembler insignifiantes, mais elles restent néanmoins une menace réelle et croissante pour chacun d’entre nous.
Dans le domaine des objets IoT, c’est aux fabricants que revient la responsabilité de montrer l’exemple. En effet, diverses études indiquent que les préoccupations de sécurité et de confidentialité freinent les investissements des ménages dans la domotique. Mais si l’on veut y voir le côté positif, il existe une réelle opportunité de se différencier sur le terrain de la sécurité.
IT vs. OT
Mais qu’en est-il pour les entreprises ? Ces dernières sont de plus en plus exposées avec leurs systèmes SCADA mais aussi via les nombreux équipements de type Smart Buildings ou Smart Offices. En effet, ces derniers passent souvent entre les mailles du filet des équipes de sécurité plus occupées à sécuriser les terminaux traditionnels (PC, imprimantes etc.) et l’infrastructure réseau. Il n’est pas rare l'IT ne soit pas même consulté lorsque les équipes installent un mini-réfrigérateur intelligent, un ascenseur connecté ou un système de climatisation.
L’enjeu ici se situe en partie au niveau de la traditionnelle barrière entre les équipes IT (Information Technology) et OT (Operations Technology). Tandis que l’IT se focalise principalement sur l’intégrité et la confidentialité des équipements, l’OT se soucie essentiellement de leur disponibilité. Bref, ces deux équipes ont du mal à se comprendre, bien que toutes deux parlent le même langage. Pour protéger leurs systèmes IoT, les entreprises doivent donc faire sortir ces deux départements de leur entre soi. Il leur faut également se pencher sur la question épineuse de la chaîne d’approvisionnement, une imbrication complexe qui représente un risque croissant. Si l’on prend l'exemple des entreprises de maintenance qui interviennent chez les industriels, il est clair qu’elles s’intéressent davantage au fonctionnel qu’à la sécurité. En ce sens, elles sont sur la même longueur d’onde que leurs clients.
Une possible entente pour sécuriser l'IoT ?
L’arrivée d’une nouvelle génération de professionnels OT est de bon augure, néanmoins, c’est l’utilisation, et surtout le non-renouvellement des équipements d’ancienne génération qui pose des difficultés.
Prenons le cas des systèmes SCADA monolithiques. En raison des coûts et des dépendances complexes auxquelles ils sont soumis, ils sont rarement actualisés après leur déploiement initial. Par conséquent, les fenêtres de maintenance privilégieront les mises à jour des fonctionnalités plutôt que l’installation de correctifs de sécurité. Mais parce que ces machines sont connectées à d’autres systèmes, elles se retrouvent sans le vouloir exposées au monde extérieur.
C’est pourquoi les entreprises doivent établir une meilleure visibilité sur les systèmes IoT, à l’échelle du réseau comme des applications, pour modéliser les comportements normaux et détecter tout acte suspect. En clair, un changement de perspective s’impose pour qu’enfin, la sécurité prenne le dessus sur le fonctionnel. Le nouveau Kitemark IoT de la British Standards Institution (BSI) constitue un indicateur utile pour aider les acheteurs à évaluer la fiabilité et le niveau de sécurité des produits. Mais espérons tout de même que, dans 5 ou 10 ans, les objets IoT sécurisés ne seront plus une exception, mais bien la norme.