Certains experts en sécurité comparent l'état actuel de la sécurité de l'IdO avec l'amiante. Ils prédisent que dans quelques années, nous regarderons en arrière en nous demandant "A quoi pensions nous ? D'autres établissent un parallèle avec le World Wide Web de 1994-95, en affirmant que l'IdO sera une véritable épave en matière de sécurité pendant des années, avant que nous ne le découvrions.
De tels messages peuvent donner une image trop sombre des défis de l'IdO. Néanmoins, la cybersécurité est une condition préalable essentielle à l'IdO, notamment en raison de son étroite interaction avec le monde physique. Les menaces liées à l'IdO peuvent aller bien au-delà des menaces Internet classiques bien connues, comme le vol de cartes de crédit. Elles peuvent désactiver les systèmes de sécurité domestiques, manipuler les systèmes de navigation des véhicules connectés, perturber les appareils médicaux intelligents ou mettre hors service des systèmes énergétiques entiers.
L'IdO s'accélère
Chez Data Respons, nous avons une grande expérience et un long parcours dans le domaine de la sécurité de l'IdO, et nous connaissons actuellement une augmentation significative des demandes et des projets des clients dans le domaine de la cybersécurité de l'IdO.
Ce n'est pas étonnant, car l'IdO arrive sur nous à une vitesse incroyable. Nous connectons de plus en plus d'appareils et de systèmes à l'internet, qu'il s'agisse de systèmes de contrôle industriels, de voitures, de caméras, de serrures de portes, de systèmes de suivi de la condition physique ou de technologie médicale. D'ici 2020, le nombre de dispositifs IdO installés devrait atteindre près de 31 milliards dans le monde. Et les menaces liées à l'IdO augmentent simultanément : Les experts prévoient qu'en 2020, plus de 25 % des attaques d'entreprises seront liées à l'IdO.
Sensibilisation
Heureusement, la prise de conscience de l'importance de la sécurité de l'IdO s'accroît. Par exemple, le botnet Mirai a réussi en 2016 à réduire en esclavage des millions de dispositifs, y compris des caméras IP et des routeurs, les transformant en botnets contrôlés de manière centralisée pour les attaques par déni de service distribué (DDoS). Actuellement, il existe encore des variantes de Miria, comme Mukashi, qui scannent constamment le web à la recherche de dispositifs IdO vulnérables, à la recherche de machines faiblement protégées avec des identifiants par défaut ou des mots de passe communs.
De plus, en juin 2020, le plus grand organisme indépendant de consommateurs au Royaume-Uni, Which ? a révélé que 3,5 millions d'appareils photo sans fil bon marché produits en Chine et distribués dans le monde entier pourraient potentiellement être détournés par des pirates informatiques.
Nouveau programme de sécurité
Le tableau est donc très clair : l'IdO établit un tout nouveau programme pour la cybersécurité. Il ne suffit pas de prendre les concepts et les normes de sécurité du monde de l'informatique administrative moderne et de les adapter à ce nouveau domaine. En outre, nous devons garder à l'esprit la proximité de l'IdO avec le monde physique, ainsi que la complexité accrue et la nature multicouche de nombreux écosystèmes de l'IdO. Tout cela exige une approche de la sécurité à plusieurs niveaux.
Par souci de clarté, divisons les projets IdO en deux catégories différentes, chacune nécessitant une approche différente : Premièrement, le développement d'un nouveau produit IdO complet à partir de zéro, et deuxièmement, l'adaptation d'un système existant au nouveau monde de l'IdO.
Projets de terrain
Le développement de nouveaux produits IdO est relativement simple, vu sous l'angle de la sécurité. Partir de zéro vous donne l'avantage d'intégrer la sécurité dès les premières étapes de votre conception. Vous pouvez procéder à la sécurité par défaut, en prenant toutes les bonnes décisions en matière de correctifs, de mises à jour, de contrôle d'accès, d'authentification des utilisateurs, etc. en intégrant la sécurité dès le début.
De plus, les projets greenfield vous permettent d'adopter une approche globale de la sécurité. Penser de manière holistique est le meilleur moyen de gérer la complexité de l'écosystème multicouche de l'IdO. Cela signifie qu'il faut penser la sécurité à tous les niveaux, que ce soit au niveau des capteurs/actionneurs et des passerelles, qu'il s'agisse de crypter les données envoyées par le système ou de sécuriser les données stockées et les applications web et mobiles en cours de développement.
Évaluation des risques
Une autre approche importante est l'évaluation des risques. Elle vous aide à canaliser votre effort de sécurité là où il est le plus nécessaire et où il fera la plus grande différence. L'évaluation des risques consiste à trouver les vulnérabilités et les menaces, à estimer la probabilité que la menace se concrétise, à trouver des moyens d'atténuer les attaques, etc.
Il est essentiel que l'évaluation des risques soit effectuée pour l'ensemble de la chaîne de valeur de bout en bout d'un produit ou d'un service IdO, en gardant à l'esprit qu'il est plus complexe que les services numériques classiques. Une solution IdO sera généralement un mélange de technologies, d'appareils, de logiciels, de connectivité, de stockage de données, etc. Il y a donc beaucoup à prendre en compte. Par exemple, vous avez peut-être conçu un dispositif IdO doté de fonctions de sécurité très performantes. Mais si vous ne pensez pas à la sécurité lorsque vous concevez l'application qui lui est associée, vous risquez d'avoir des problèmes. De même, si la solution de stockage dans le nuage que vous avez choisie pour stocker vos données présente des défauts.
L'évaluation des risques prend de plus en plus d'ampleur, notamment en raison des normes et de la législation qui obligent les développeurs à adopter une approche globale et fondée sur les risques en matière de sécurité de l'IdO. En outre, cette approche vous aide à hiérarchiser vos ressources de développement et vous permet de dépenser votre budget de sécurité là où il fait le plus de différence.
Les anciens systèmes
Un tout nouveau défi se présente, lorsque nous voulons adapter les anciens systèmes au monde moderne de l'IdO. Faire entrer des systèmes développés il y a 20 ou 30 ans dans le nouveau monde de l'IdO exige une grande attention en matière de sécurité.
Il est tout à fait compréhensible que les entreprises responsables de ces systèmes souhaitent donner à leurs clients l'accès aux nouvelles opportunités commerciales offertes par l'IdO. Par exemple, les fabricants de moteurs de navires et d'autres équipements de navires lourds cherchent des moyens de mettre leurs machines en ligne, créant ainsi de nouvelles possibilités de service et de maintenance. Mais permettre à ces anciens systèmes en termes d'accès et de connectivité à l'internet de partout et à partir d'un large éventail de dispositifs signifie les exposer à un nouveau monde de risques en matière de sécurité. Se connecter à l'internet signifie se connecter à des cyber-menaces potentielles.
Faible niveau de sécurité
C'est particulièrement difficile, car ces systèmes hérités sont "nés" avec un niveau de sécurité très faible, tant en ce qui concerne la manière dont ils ont été développés que la manière dont ils sont entretenus. Ils doivent maintenant être adaptés au monde moderne de la cybersécurité et répondre aux exigences de pointe en matière de correctifs, de mises à jour, de protection par mot de passe, etc. Il s'agit là d'un défi majeur.
Il est probable que les entreprises responsables de ces anciens systèmes n'ont pas l'habitude d'émettre des correctifs de sécurité, simplement parce qu'elles n'ont jamais été tenues de le faire. Les correctifs ont été publiés lorsque, par exemple, une nouvelle fonctionnalité était nécessaire.
Rendre conformes aux exigences de sécurité modernes des systèmes hérités qui n'ont jamais été conçus pour fonctionner avec un quelconque type de sécurité est une tâche complexe. Mais il faut le faire, car tous les avantages découlant de la connectivité se transformeront en menaces, si nous ne sommes pas en mesure d'assurer la confidentialité, l'intégrité et la disponibilité de ces systèmes.
Vulnérabilités de l'IdO
Patching
Les patchs ne sont pas diffusés avec la même fréquence que celle qui est couramment pratiquée dans le monde informatique. Cela laisse des vulnérabilités dans le système pendant longtemps avant que des correctifs ne soient envoyés pour résoudre le problème. Ou pire : certains appareils ne sont pas du tout conçus pour recevoir des correctifs/mises à jour
Mots de passe faibles
Certains dispositifs IdO n'ont que des mots de passe à 4, 5 ou 6 chiffres, et ce manque de complexité signifie qu'ils sont facilement cassables. De plus, il n'est pas toujours possible de changer l'utilisateur de l'appareil, et les noms d'utilisateur et mots de passe par défaut sont faciles à trouver sur Internet.
Communication
La communication à partir de l'appareil est-elle cryptée et, si oui, le cryptage est-il suffisamment puissant ? Est-elle cryptée à la fois en transit et au repos ?
Logiciel défectueux
Lorsque vous développez votre produit IdO, il peut être judicieux de réutiliser des logiciels développés par d'autres. Cependant, vous devez vérifier que le logiciel que vous réutilisez ne présente aucune faille de sécurité et que vous utilisez la version la plus récente du code.
Fin de vie
Que se passe-t-il si le composant ou l'appareil que vous utilisez arrive en fin de vie et n'est plus pris en charge par le fournisseur ?
Protection de la vie privée
Avez-vous des données concernant votre utilisateur stockées sur l'appareil ? Qu'en est-il des intégrations par destiers?
Un seul niveau de sécurité
Une seule couche ne suffit pas. Il faut une défense en profondeur, où plusieurs niveaux de sécurité sont utilisés pour protéger les données et les informations
La nécessité de normes de sécurité
La grande majorité des dispositifs IdO ou des dispositifs utilisés dans les SCI (systèmes de contrôle industriel) ne suivent pas ou n'ont pas été conçus pour suivre les normes ou les directives de sécurité. Cela signifie que nous devrons "paver la route pendant que nous la conduisons", c'est-à-dire concevoir et mettre en œuvre la sécurité pendant la mise en œuvre, plutôt que pendant la conception des produits ou au début de leur cycle de vie.
Certaines normes de sécurité existent cependant, comme la norme CEI 62443. D'autres sont sur le point d'être élaborées au niveau européen, par exemple par l'ENISA (Agence de l'Union européenne pour la cybersécurité) et l'ISO (Organisation internationale de normalisation). Ces normes seront disponibles dans les années à venir.
Une plus grande proactivité est nécessaire
Heureusement, la sensibilisation à la cybersécurité est en hausse. Les médias publient presque quotidiennement des articles sur la cybercriminalité, et les fabricants et les fournisseurs de services sont soumis à une pression considérable de la part des clients, des gouvernements et des autorités de réglementation, s'ils sont reconnus comme négligeant leurs responsabilités en matière de sécurité.
Mais nous constatons tout de même plus de réactivité que de proactivité. Trop souvent, ce sont les experts en sécurité ou les utilisateurs avertis qui trouvent et publient les failles de sécurité. Ce n'est qu'alors que les fabricants règleront le problème, et d'ici là, les dommages causés pourraient être importants.
Dans les années à venir, nous assisterons à de nombreux incidents, au cours desquels des dispositifs IdO seront utilisés pour des cyber-attaques ou au cours desquels les données des clients seront compromises. Les entreprises concernées réagiront avec le recul, mais l'idéal serait que ce soit l'inverse : Grâce à des normes de sécurité élevées et à une sensibilisation accrue, nous arriverons - bientôt, espérons-le - à un point où il est rare de réagir avec le recul et où une sensibilisation accrue permettra de réduire les incidents au minimum.
Un dilemme bien connu
Toutefois, le dilemme bien connu entre la commodité et la sécurité continuera de poser des problèmes aux entreprises, aux développeurs ainsi qu'aux experts en cybersécurité. Le vieux dicton sur la complexité des mots de passe s'applique également à la sécurité de l'IdO : plus c'est long et complexe, plus c'est sûr, mais plus c'est aussi fatigant.
D'une part, les entreprises et les clients veulent de la commodité et de la facilité d'utilisation. Ils veulent des appareils et des services disponibles au bout des doigts sans avoir à se soucier des procédures de sécurité. D'autre part, les experts en sécurité insistent sur la confidentialité, l'intégrité et la disponibilité. La difficulté consiste à trouver l'équilibre entre ces deux considérations.
Mais si vous examinez ce dilemme de plus près, vous constaterez qu'il est impossible de contourner la sécurité. En fait, bien que le point de départ de nombreuses entreprises dans le domaine de l'IdO soit les économies et le confort qu'il offre, elles réalisent rapidement que ce n'est qu'une fois la sécurité en place qu'elles peuvent se concentrer à nouveau sur la réalisation du potentiel de l'IdO, l'optimisation des processus, le renforcement du service, la réduction des coûts et la conception d'une expérience client exceptionnelle.
