Quelle cybersécurité à l’ère de l’Internet des Objets ?

Mis à jour : juin 11

La transformation digitale s’est accélérée ces dernières années. Les technologies de l’information font apparaître de nouvelles menaces pour les entreprises du monde industriel.


Les cyberattaques, les vols de données, les pertes d’exploitation, l’altération de l’image et de la réputation, le piratage d’un objet connecté, font partie de ces menaces

Les dispositifs « HOMME + MACHINE » supervisés de protection contre les menaces avancées sont en capacité de sécuriser le réseau, les objets, les courriels, le cloud, les applications web, les outils nomades.

Une évolution technologique sans précédent


Aujourd’hui, les informations échangées sur Internet proviennent en grande majorité des outils numériques nomades (smartphone, tablette, ...) et des objets connectés. En deux décennies, la montée en puissance de l’Internet des Objets (IoT) a permis de créer de nouveaux types de produits et services pour les entreprises. Ces technologies ont des conséquences économiques, sociales et politiques importantes. Avec les dernières évolutions, les outils numériques classiques permettant de recueillir les informations sur les objets connectés disparaissent progressivement. Ils sont avantageusement remplacés par des écrans intégrés directement aux objets comme, par exemple, dans le domaine de la cobotique avec le « chariot suiveur ». C’est également le cas des objets connectés à commande vocale. Ils contribuent au remplacement des outils nomades classiques par de nouvelles technologies issues de l’intelligence artificielle : le « machine learning » (1), le « Big Data » (2) ou encore, avec le « Deep learning » (3). L’homme est désormais « Augmenté » par les outils digitaux.

L’Internet des objets (IoT)


Selon la Commission européenne, l’IoT est déjà une réalité. On prévoit que l'UE comptera des dizaines de milliards de dispositifs numériques connectés d'ici 2020 (4). L’IoT représente de grandes opportunités de croissance et de performance pour l’ensemble des acteurs de la chaîne de création de valeurs de l’entreprise. Dans le monde industriel, l’IoT est désormais incontournable. Ses applications connectées se retrouvent pratiquement partout (traçabilité des flux logistiques, surveillance des sites, gestion des flottes de véhicules, maintenance prédictive, détection de la radioactivité, robotique et cobotique, vidéo intelligente, jumeau numérique, drone, système de contrôle et d’acquisition de données SCADA, équipements industriels OEM, etc.).

Avec l’avènement de la 5G prévue à l’horizon 2020, la vitesse d’échanges de données pour atteindre le niveau de la fibre va être démultipliée. Les véhicules autonomes, les robots et les cobots vont gagner en agilité. Ils vont interagir avec leur environnement grâce à une optimisation des échanges de données. Demain, des milliards d'appareils connectés vont augmenter l'utilisation des données et la croissance des entreprises.


Des failles ?


Toutefois, une faille de #sécurité ou encore la communication de données à caractères confidentielles dans un objet connecté peuvent avoir de lourdes conséquences. Financières (5), techniques et juridiques, elles impactent sur l’activité et la réputation des entreprises, surtout si elles les utilisent sans prendre toutes les précautions d’usage. En effet, l’usage des objets connectés doit être sécurisé tant sur le plan matériel que pour sa finalité. De nombreuses problématiques de cyber-risques demeurent, avec des modes opératoires en constante évolution.


Les cybercriminels


En matière de cybermenace, les cybercriminels exploitent allègrement les failles de sécurité et les négligences humaines. Ils n’hésitent pas à mettre en œuvre des stratégies d’ingénierie sociale (6), pour rendre indisponible les services. Ils utilisent des campagnes de cyberattaques par « déni de service attribué (Ddos) » (7), ou encore, avec des logiciels malveillants de type « Ransomware ». Ceux-ci cryptent, en quelques minutes, des milliers de données devenant impossible à récupérer.


Le RGPD /GRPD


De surcroît, les entreprises, TPE / PME / ETI de la chaîne d’approvisionnement, la « Supply Chain », sont très exposées. Elles sont très peu protégées en réalité. Sur le plan réglementaire, la protection des données à caractère personnel est devenue un enjeu stratégique pour toutes les entreprises européennes. Il s’agit du nouveau règlement de l’Union européenne (RGPD/GPRD). C’est le texte de référence. Entré en vigueur le 28 mai 2018, il contraint les entreprises à se mettre en conformité sans quoi elles s’exposent à de lourdes sanctions financières. D’un simple avertissement à une amende pouvant aller jusqu'à 4% du CA ou 20 millions d’euros, les sanctions en cas de non-respect varient en fonction des infractions.


Des solutions ?


Les conséquences en cas de cyberattaques sont très importantes. Elles concernent le préjudice financier, le blocage de l’exploitation, de la chaîne de production et logistique, l’impossibilité de prendre les commandes ou de produire des factures…

Face à la complexité et à la montée en puissance de la cybercriminalité, les solutions permanentes, entièrement managées 24/7, sont à privilégier. Les dispositifs « HOMME + MACHINE » supervisés de protection contre les menaces avancées sont en capacité de sécuriser le réseau, les objets, les courriels, le cloud, les applications web, les outils nomades. Elles peuvent détecter les comportements anormaux et les fuites d’information. Des attaques complexes et récurrentes comme les « Advanced Persistent Threat (8) » exploitent les failles « Zero-Day (9) ». Les entreprises doivent impérativement s'en protéger. Ces solutions de détections avancées sont déployées en amont, en cœur de réseau ou sur les sites, et sur tous les objets connectés et les outils nomades pour prévenir et contrer les menaces.


Pour une cybersécurité « de bout en bout »


La #cybersécurité est un enjeu permanent. Il ne faut jamais baisser la garde. Les cybercriminels arrivent toujours à identifier de nouvelles failles pour s’introduire dans les systèmes. En 2017, Wannacry et ou NotePetya étaient arrivés par le réseau. En 2016, la plupart des ransomwares étaient acheminés par le courrier électronique. Le courrier électronique est l’épine dorsale de la communication de l’entreprise. C’est aussi la cible préférée des cybercriminels. Ils ont ainsi un accès direct au maillon le plus faible de l’entreprise : les collaborateurs. Par le courrier électronique transitent des données sensibles, des contacts, des informations financières et des informations pouvant être utilisées dans des attaques de l'ingénierie sociale. Compte-tenu des risques et menaces la généralisation de l’utilisation du courrier électronique sécurisé « de bout en bout » devrait constituer une priorité pour toutes les entreprises. La protection par le chiffrement des données est une solution recommandée par le #RGPD.


Des préconisations


En conséquence, il est important de favoriser une utilisation responsable de l’Internet des objets connectés (IoT). Il est souhaitable que les acteurs industriels de toute taille et dans tous les secteurs, généralisent l’utilisation d’un IoT sécurisé. Celui-ci doit être conçu sur le principe de « Security by design » (10). La sécurité doit être pensée en amont de la conception de l'objet connecté. Le principe « Security by design » fait partie intégrante de l'article 25 du règlement général sur la protection des données personnelles (11). Aussi, le chiffrement « de bout en bout » est une solution conforme aux normes RGPD, HIPAA (12) et autres exigences de sécurité et de protection des données. D’autre part, la diffusion d’une culture de sécurité et de #cybersécurité au sein des entreprises et de leurs chaînes d’approvisionnements, met les IoT en œuvre sur le plan industriel.


Un process différent pour un contrôle actif


Les groupes industriels Framatome et Orano ont fait le choix de la sécurité en mode projet. Avant tout lancement d’une pré-étude, il y a automatiquement une analyse de sécurité (sous forme de formulaire à compléter). Le métier classifie la sensibilité des informations. En fonction de la solution et de l’architecture ciblée, le formulaire donne les exigences à respecter (chiffrement, double authentification, directive SIIV,...). Lors de la validation de la fin de pré-étude, deux possibilités apparaissent. Soit l’équipe projet les applique, soit le métier requalifie la sensibilité de ses documents (en cas de surévaluation) ou si l’équipe abandonne le projet (coûts trop élevés par rapport au ROI du projet,...). Pour passer ce contrôle d’étape, l’équipe projet a besoin d'un engagement du RSSI (13) métier. La décision est tracée dans l’outil de gestion de portefeuille avec toutes les autres décisions concernant le projet.


Pour la maîtrise de son environnement


De nouveaux d’objets connectés permettent à leurs utilisateurs de maîtriser davantage leur environnement. Ils leur proposent aussi de s’informer de façon sécurisée. C’est le cas de la Startup française « ICOHUP » avec son objet connecté « RIUM ». Ce détecteur de radioactivité connecté est capable d’envoyer ses données en ligne. Il se sert de différents moyens de communication hautement sécurisé grâce à un chiffrement asymétrique. Pour communiquer avec la plateforme de supervision (en mode Saas), depuis un outil nomade, l’objet utilise un chiffrement en approvisionnant les clés de manière sécurisée. A l’aide de l’algorithme ECDH, serveur et capteur auront un secret commun, utilisé pour dériver des clés de chiffrement symétrique. Chaque envoi de données est chiffré à l’aide d’une clé unique et d’un algorithme de chiffrement de type AEAD (14), à l'aide de clés 256 bits. Cette utilisation répond aux normes européennes. Une fois les données en ligne, chaque utilisateur ayant un accès à la plateforme peut accéder aux données des capteurs. Différents niveaux d’accréditation sont proposés. Le principe de « Security by design » est bien respecté.


***


Conclusion


L’utilisation du chiffrement « de bout en bout » pour protéger les communications, les données et les objets, est une solution efficace. Elle est conforme aux standards et exigences de sécurité européenne. Néanmoins, l’arrivée sur le marché des ordinateurs quantiques vient compromettre les dispositifs de #cybersécurité. Ceux-ci disposent de nouvelles capacités pour casser les modes de chiffrement actuels. Face à cette menace, des solutions résistantes aux attaques quantiques doivent être développées et mises en œuvre rapidement. L’arrivée de la 5G va bouleverser les usages et accélérer les échanges de données. Aussi, il faut s’attendre à une augmentation exponentielle des cyberattaques. Car, cette technologie de rupture ne va-t-elle pas connecter beaucoup plus d’objets et d’équipements : des véhicules, des usines, des drones, des robots, des villes,… ?


A suivre…


Thierry MARQUEZ


Si vous avez besoin d'assistance, vous pouvez visiter notre page dédiée où vous trouverez nos services à la carte et nos programmes sur mesure




Références :

1 Le Machine Learning : l’auto-apprentissage

2 Le Big Data : analyse des données permettant de réaliser des prédictions très fines

3 Deep learning : la reconnaissance vocale permettant de traduire les demandes avec une très grande précision

4 https://www.consilium.europa.eu/fr/policies/cyber-security/

5 https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article84

6 L’ingénierie sociale : https://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale_(s%C3%A9curit%C3%A9_de_l%27information)

7 Attaque par déni de service attribué (Ddos) https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service

8 https://fr.wikipedia.org/wiki/Advanced_Persistent_Threat

9 https://fr.wikipedia.org/wiki/Vuln%C3%A9rabilit%C3%A9_zero-day

10 https://en.wikipedia.org/wiki/Secure_by_design

11 https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre8#Article84

12 https://fr.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act

13 Le responsable de la sécurité des systèmes d'information

14 Advanced Encryption Standard

62 vues

Nous contacter

Téléphone 

+33(0)5 53 87 86 04

Email

ces-expertise[@]pm.me

Adresse

Rue de Réaumur, 75002 Paris, FRANCE.

Zone d'intervention : mondiale

  • LinkedIn

Copyright CES 2020 | Tous droits réservés

Mentions légales | Politique de confidentialité