Ecrit en collaboration avec Tamim Khoder, Senior Consultant Cyber.
Un nombre croissant d’entreprises tirent aujourd’hui parti des possibilités offertes par l’Internet des Objets, dont le développement fulgurant s’étend à tous les secteurs d’activité, de la santé à l’automobile en passant par la téléphonie, l’industrie, le sport, ou l’assurance. Les technologies connectées font émerger un nouveau monde de capteurs, de wearables devices et de logiciels intelligents collectant et transmettant dynamiquement des données, dont l’analyse permet aux organisations d’anticiper et d’ajuster leurs offres de services, leur approvisionnement ou les actions à mener (maintenance, achat, rendez-vous, etc.).
Mais se lancer dans l’IoT n’est pas sans risque, notamment sur le plan de la cybersécurité. Les objets connectés créent des problématiques nouvelles de sécurité et de confidentialité, dont les entreprises doivent avoir conscience pour se protéger et protéger leurs clients. Quels sont ces risques et comment y remédier ou en maîtriser l’impact ? Eléments de réponse.
Quel niveau de cybersécurité pour les 30 milliards [1] d’objets connectés attendus à l’horizon 2020 ? Les entreprises qui, aujourd’hui déjà, fabriquent ces objets ou les utilisent, sont-elles à l’abri d’attaques malveillantes ? Pas si sûr, quand on sait que des attaques récentes ont compromis et exploité des objets connectés dits « sécurisés », c’est-à-dire possédant au moins un moyen de sécurisation (mot de passe, clé de chiffrement, etc.)…
Dans le domaine de la voiture connectée, une étude a montré que presque 100% des véhicules actuellement sur le marché utilisent des technologies sans fil, qui sembleraient insuffisamment sécurisées. En effet, un simple SMS a suffi, pour certaines marques, pour s’introduire dans le système des véhicules. Dans d’autres situations, moyennant des attaques plus complexes, il a même été possible de prendre le contrôle du véhicule.
Dans un tout autre domaine, des pirates ont eu accès à toutes les données collectées par des peluches connectées (voix des enfants, échanges avec les parents, photos…), y compris certaines métadonnées indiquant l’heure, la date, mais aussi le lieu où les enregistrements avaient été réalisés. Ces attaques ont pu se produire car la transmission de données se faisait en clair (c’est-à-dire sans aucun chiffrement des flux) et la base de données du fabricant, qui centralisait toutes les données, n’était protégée par aucun mot de passe ni pare-feu.
Les dispositifs de sécurité en lien avec les systèmes industriels sont également une cible de plus en plus privilégiée des attaquants. En 2014, en Allemagne, une aciérie fut la cible d’une cyberattaque qui a déréglé le réseau interne des systèmes de contrôle et conduit à de graves dégâts au sein de l’infrastructure industrielle.
Enfin, dans le secteur du commerce, d’importants distributeurs ont été victimes ces dernières années de vols de données clients, opérés à partir d’appareils situés sur les points de vente au détail.
Force est donc de constater que le niveau de sécurité d’un grand nombre d’objets dits « connectés » n’est pas suffisant. Dans le cadre de notre étude Deloitte « TMT Predictions 2017 », nous indiquions que les attaques par déni de service, via des objets connectés, devraient se multiplier en 2017 (et potentiellement les années suivantes) en raison de leur grande vulnérabilité.
On l’a dit, la dynamique actuelle d’adoption et d’utilisation de l’IoT pose de vrais défis en matière d’exploitation des données, mais également de sécurité des flux et du stockage. Quelles sont alors les solutions ou les approches pour une mise en œuvre sécurisée des objets connectés ?
Quelques pistes :
Le chiffrement des données (collectées, en transit, stockées) doit être systématique, afin de rendre plus difficile l’exploitation de données interceptées, volées ou qui auraient fuité. Cependant, déployer du chiffrement sur certains objets connectés peut se révéler difficile (impossibilité de stocker des clés de chiffrement, puissance de calcul limitée, etc.).
L’adoption et l’exploitation de techniques d’analyse issues du Big data (machine learning, algorithmes d’analyse de données, etc.) peuvent permettre de détecter et d’anticiper des problèmes liés à des intrusions, attaques ou fuite de données. Il sera nécessaire de se doter de capacités de calculs importantes, dans le cadre de plateformes de gestion d’évènements issus de l’IoT.
La vulnérabilité de l’IoT tient, en grande partie, aux interactions qui relient les appareils connectés entre eux. Les pirates informatiques peuvent ainsi accéder simultanément à des millions d’appareils comme cela a été le cas lors des attaques menées à l’aide du logiciel malveillant Mirai en 2016, qui visaient des appareils interreliés. La solution pour rompre ces liens et se protéger d’attaques globales est d’adopter des protocoles propriétaires : chaque fabriquant met en œuvre, stocke et exploite ses données dans un format qui lui est propre.
Des actions sont attendues de la part des gouvernements et autres organismes de régulation. A ce jour, aucun fabriquant ou acteur majeur de l’IoT n’en a fait la demande, mais l’apport de telles normes serait salutaire car elles homogénéiseraient les mesures et protocoles à mettre en œuvre, et permettraient de ce fait une meilleure sécurisation de l’ensemble de l’IoT.
Nous constatons aujourd’hui que la majorité des organisations abordent l’Internet des Objets de manière pragmatique, centrée sur ses bénéfices (efficacité opérationnelle, économies d’échelle, augmentation des revenus etc.), mais en occultant, voire en acceptant, les menaces qu’il implique et sans réellement apprécier ses impacts potentiels sur leur activité ou leur image. Les niveaux de risques associés à l’usage des IoT restent de ce fait très élevés. Même si des difficultés techniques subsistent, il est donc impératif d’intégrer un niveau de sécurité « plancher » aux projets de déploiement d’outils connectés.
Pour en savoir plus sur le sujet, n’hésitez pas à me contacter.
Article co-rédigé avec Cyril Chalin, Charles-Henri Carlier, Joseph Delawari et Pape Modou Mbow. La loi…
Entretien avec Jérôme de Grandmaison (VP Talent Management, Product Lines & Functions, Alstom) à l’occasion…
Article co-écrit par Ivann Le Pallec (Senior Consultant Risk Advisory) et Valentin Brohm (Manager Risk…
Five Trends Shaping the Market Hear “luxury travel,” and you’re likely to envision a swirl…
Interview réalisée par Marie-Line Ricard, Associée Blockchain & Web 3, Jérémy Stevance, Manager Blockchain &…
Article co-rédigé avec Wilfrid Biamou, Senior manager. Les évolutions réglementaires successives Alur du 26 mars…