IoT et sécurité : les clés pour comprendre l’évolution des pratiques

Introduction

Dès 2016, les botnets Mirai et ses variantes (Satori, Reaper, entre autres) ont permis de mettre le doigt sur les problématiques de sécurité IoT. Cet épisode particulièrement médiatisé – et qui pourtant n’a jamais pris réellement fin – avait entraîné un début de prise de conscience des industriels, en premier lieu les fabricants des appareils et gateways infectés par de tels réseaux zombies.

Pour autant, de par les particularités de l’internet des objets, assurer la sécurité des parcs d’appareils s’avère complexe. Et si la part des équipements connectés a augmenté dans le grand public ou dans les bureaux, depuis l’industrie s’est emparée du sujet. Il suffit d’observer les efforts des énergéticiens tels EDF ou Suez, mais également des industriels de la défense en la matière pour se rendre compte que la sécurité de l’IoT est devenue un enjeu critique. Or, là où l’intégration des objets connectés les plus courants peut s’apparenter à une problématique purement IT, l’IIoT implique un pont entre IT et OT.

Aussi, dans une usine des équipements et machines de différentes générations cohabitent : il faut prendre en compte les spécificités de plusieurs technologies de communication. Cela veut dire également qu’il n’est pas forcément possible de les mettre à jour une fois déployés. De plus, leurs capacités techniques limitées peuvent empêcher d’y exécuter des microprogrammes de sécurité ou des systèmes de chiffrement. Sans oublier les menaces purement physiques : certains équipements peuvent être installés sur des terrains distants et sont exposés à des risques de manipulation par des attaquants bien réels.

« Il est illusoire de vouloir proposer une lecture unique de la sécurité des objets connectés du fait de la diversité des situations rencontrées », écrivent les spécialistes de l’ANSSI dans un guide intitulé « Recommandations relatives à la sécurité des (systèmes d’) objets connectés ». Le document liste des conseils quant aux architectures matérielles et logicielles à mettre en place, l’instrumentalisation de la cryptologie et de l’authentification dans un tel contexte, la manipulation des données sensibles, la sécurité logicielle et matérielle, la protection des réseaux et la gestion du cycle de vie des dispositifs connectés. Mais comme le précise l’ANSSI, tout commence par une analyse des risques de laquelle découle l’application de ces diverses mesures plus ou moins strictes.

Or les entreprises se frottent à l’apparition de nouveaux concepts de sécurité qui, dans la bouche des éditeurs et fournisseurs, sont censés remplacer les anciens. Pourtant, en réalité, des solutions existantes en matière de gestion d’identité et de surveillance du réseau ont toute leur place dans une démarche de sécurisation de l’IoT. D’autres paradigmes, comme la supervision des logiciels, s’étendent désormais aux firmwares des objets connectés, même s’ils concernent en majorité des déploiements greenfield. C’est justement tout l’objet de ce guide essentiel qui vise à explorer les évolutions de ces trois volets – la gestion des identités, la surveillance du réseau et la supervision des vulnérabilités – au regard des pratiques des entreprises les plus conscientes de ces enjeux. 

1Identité-

Les infrastructures PKI, toujours debout

2Réseaux-

Les méandres de la supervision IoT

3Vulnérabilités-

Les nouvelles pratiques de sécurisation des firmwares