La sécurité d'un projet IoT

Technologies de Sécurité
La sécurité d'un projet IoT

L’édition 2018 du SIdO, salon dédié à l’internet des objets, m’a permis de participer à une table ronde dédiée à la sécurité d’un projet IoT. Avec Thierry Matusiak de la société IBM et de Jean-Philippe Lelièvre de la société Hear & Know, nous avons essayé d’identifier la meilleure démarche pour prendre en compte la sécurité dans un tel projet.

Des enjeux de sécurité évidents

Est-il encore nécessaire de rappeler l’importance de la sécurité dans le monde des objets connectés ? Les professionnels de la SSI ont tous en tête les risques associés à l’IoT. Les premiers incidents (DDoS d’OVH via des webcams connectées, failles de sécurité dans les jouets pour enfants, etc.) laissent présager des impacts conséquents.

Les caractéristiques de l’IoT n’ont pas encore de quoi rassurer les plus inquiets. La myriade d’objets annoncées par les analystes et cabinets de conseils signifie une surface d’exposition sans commune mesure avec les parcs existants. Les cas d’usages envisagés à ce stade (géolocalisation, suivi des données de santé ou de bien-être, contrôle d’installations industrielles pour ne citer que ces trois-là...) mettent en avant des contextes sensibles. Et l’absence d’intégration systématique de la sécurité (pas encore de « security by design ») permet de finaliser une cartographie de risques plutôt préoccupante.

Alors, faut-il rappeler le challenge que représente la sécurité pour l’IoT ? Il me semble que la réponse est oui ! Le sujet a été abordé lors de nombreuses interventions lors du SIdO. Les industriels, les startupers et les utilisateurs semblent avoir conscience des enjeux. Malheureusement à ce stade, les questions sont plus nombreuses que les réponses.

Et finalement, on se dit que la sécurité est un sujet important. On se dit qu’il faudra le prendre en compte. On se dit qu’avec cette histoire de GDPR on n’a vraiment plus le choix ni le temps d’attendre. On se dit que c’est critique pour le business. On se dit même que ça peut devenir un argument, un différentiateur pour des futurs clients encore plus sensibles aux enjeux de la privacy et de la maitrise des données.

Mais on se dit aussi que le marché n’est pas prêt, qu’il n’y a pas encore de normes de références. Et on ajoute que le prix unitaire de l’objet va fatalement augmenter (et oui en 2018 encore la sécurité a un coût, comme les airbags ou les EPI soit dit en passant). Alors on a plutôt tendance à continuer son projet, sans vraiment chercher des réponses aux risques déjà identifiés.

Quelle démarche adopter ?

Pour celles et ceux qui souhaiteraient vraiment prendre en compte la sécurité, la démarche reprend les codes du « security by design ». Il faut en effet se préoccuper de la sécurité et de la conformité à chacune des étapes du cycle projet (agile ou non d’ailleurs). Pour faire (trop) simple il faut a minima :

1)      Cartographier les risques et comprendre les besoins de sécurité
2)      Déployer les mesures de protection
3)      Tester la sécurité avant la mise en production
4)      Surveiller la sécurité tout au long du run (et oui, l’IoT aussi a besoin de SOC)

Ces conseils sont assez classiques, très connus des experts, de mieux en mieux connus des chefs de projet IT mais encore méconnus par ceux des projets IoT (et OT également). Il faut encore sensibiliser et expliquer. Mais pour être crédible et efficace il faut prendre en compte les spécificités de ce nouveau monde connecté. En voici deux pour démarrer.

#1 : L’objet est important, le système tout aussi.

Il faut protéger l’objet. Mais il faut se rappeler que cet objet n’est rien sans un système plus global qui va l’entourer et l’exploiter. L’objet interagit avec un serveur, via des API, qui peuvent également être utilisées par une application mobile ou un site Web. Comme toujours, il faut protéger l’ensemble et ne pas laisser une API trop gentille permettre de prendre la main sur tous les objets !

#2 : Soft & Hard

Un objet connecté, c’est un savant mélange d’informatique et d’électronique. Quand on vient du monde « SSI », la sécurité du volet logiciel est normalement maitrisée. Pour les experts de l’Internet des objets, il apparait que l’Internet est plutôt « sécurisable ». En revanche, l’objet peut être source de complexité. Quels sont les bonnes pratiques de sécurité matérielle ? Faut-il un secure element au sein de l’objet ? Comment pousser des mises à jour « over-the-air » alors que le réseau (Lora ou Sigfox par exemple) ne permet d’uploader que quelques octets de temps à autre ?

Il faut se mettre à niveau pour avoir l’expertise adéquate sur le matériel. Mais rassurons-nous, le marché semble proposer des solutions intéressantes comme celles de la société Wisekey par exemple.

Et maintenant, que faire ?

Les risques de l’IoT sont nombreux et sont loin d’être sous contrôle. Les référentiels et autres normes peuvent manquer à l’appel. Les retours d’expérience sont encore peu nombreux. Les pessimistes verront l’IoT comme le lieu du prochain cyber-cataclysme. Pour les optimistes dont nous souhaitons faire partie, les solutions commencent à apparaitre. Cela va nécessiter de revoir ses habitudes, d’intégrer de nouvelles compétences et une fois encore de comprendre les usages. Et si pour une fois on anticipait ?

Alors prenons ensemble de l’avance !

Vous avez des projets IoT ? Notre équipe d’experts dédiée est à votre disposition pour échanger et répondre à vos questions. N’hésitez pas à nous contacter.

Benjamin Leroux, Innovation & Marketing, Advens