L’Internet des objets (IoT) n’est pas épargné par l’augmentation globale des cyber attaques. En 2022, on observait une croissance de 87 % des logiciels malveillants ciblant l’IoT. En 2027, 41 milliards d’IoT devraient être en circulation, démultipliant considérablement les risques de cyberattaques. Le contexte géopolitique actuel accentue cet environnement à risque. De nombreux acteurs, de la tech à la puissance politique, œuvrent à endiguer ces menaces.
Par Hugo CHAMPION
L’Union européenne en première ligne dans la sécurisation des IoT
Dans le cadre de la réglementation européenne sur la cyber-résilience, la Commission européenne cherche à imposer un niveau de sécurité commun pour les objets connectés, et des procédures d’évaluation de conformité plus strictes. Le Cyber Resilience Act (CRA), présenté en septembre dernier, prévoit ainsi d’améliorer la sécurité des objets connectés en imposant de nouvelles exigences en matière de conception, de développement et de production. « Nous devons pouvoir nous sentir en sécurité quand nous achetons des produits au sein du marché unique », avait expliqué pour l’occasion Margrethe Vestager, la commissaire européenne chargée du projet Europe Fit for the Digital Age.
Les fabricants et les éditeurs seront tenus de s’assurer qu’ils se conforment bien aux nouvelles exigences, ce qui devrait renforcer la transparence envers les consommateurs, favoriser la confiance des utilisateurs, assurer une meilleure protection des droits fondamentaux, notamment du respect de la vie privée, et influer sur les exigences réglementaires partout dans le monde. Le Cyber Resilience Act apportera de nouvelles contraintes légales qui pourraient multiplier les rappels de produits connectés. Des sanctions, notamment financières, seront aussi à prévoir, pouvant aller jusqu’à 15 millions d’euros ou 2,5% du chiffre d’affaires mondial sur le dernier exercice fiscal en cas de non-conformité aux exigences de sécurité.
Le CRA ne s’appliquera pas aux équipements médicaux, aux véhicules à moteur et au matériel militaire car ils sont déjà encadrés par une législation dédiée. Si le CRA est encore au Parlement européen, les fabricants anticipent la promulgation de la loi et s’adaptent aux nouvelles normes à prévoir.
Les enjeux principaux liés aux IoT
Selon une enquête GALLUP de 2020, les utilisateurs mobiles naviguent près de 80 % de leur temps hors du réseau protégé de l’entreprise, accédant à Internet à partir d’endroits autres que le bureau ou l’entreprise. La sécurité des IoT devient alors un enjeu crucial, notamment en ce qui concerne la résilience cyber des systèmes déployés « ainsi que la sécurité des données personnelles, mais aussi la réputation des entreprises en cas d’attaque » souligne Pär Torstensson, spécialiste IoT des solutions Nexus pour IN Group.
Dans des environnements de plus en plus connectés, un nombre croissant de décisions concernant des systèmes complexes et vitaux sont prises grâce aux données collectées. « La possibilité d’attaques à distance devient concrète. Ce n’est plus de la science-fiction de pirater une voiture ou une ville à distance », rappelle Fred Raynal, président et fondateur de Quarkslab. Deux enjeux majeurs se dessinent : la scalabilité des solutions et la validation de la promesse des décisions « data driven ». « Il faut que les solutions actuelles soient capables de « scaler » en termes de volume de données traité et d’optimisation dans les chaînes de production. Les solutions doivent pouvoir adresser ces nouveaux défis tout en représentant des coûts raisonnables. Pour ce qui est du data driven, beaucoup de dispositifs sont devenus « plus smart ». Cela permet d’améliorer les process et de mieux monétiser les services grâce aux données collectées et analysées par les IoT et le cloud » souligne Fred Raynal.
Les vulnérabilités à appréhender
De nombreuses faiblesses mettent à mal la sécurité des IoT, de leur conception à leur utilisation. « Les applications ont besoin de sécurité, mais les fabricants n’ont pas toujours la possibilité d’intégrer des solutions robustes de sécurité » indique Fred Raynal. Les solutions de sécurité IoT sont en effet coûteuses, car la sécurité ajoute des dépenses en raison de temps de développement plus longs et d’une complexité accrue. « La sécurité est en effet souvent considérée comme un « overhead » et parfois négligée pour des questions d’optimisation (moins de coûts de production…) » souligne Fred Raynal. La sécurité est alors toujours perçue comme un coût. « On assiste néanmoins aujourd’hui à une prise de conscience croissante des enjeux liés à l’IoT, et le coût de la sécurité est de mieux en mieux accepté » précise Pär Torstensson.
Plusieurs solutions permettraient de renforcer la cyber-résilience des IoT. « Il faut augmenter la protection pendant la phase de design. La protection des données se fera grâce à des technologies de chiffrement et en particulier la protection des certificats qui permettent de s’authentifier sur les plateformes Cloud auxquels les équipements sont connectés et remontent des données » développe Fred Raynal. Pour sécuriser les objets connectés, des identités de confiance intégrées au stade même de la fabrication du produit sont au coeur du développement porté par Nexus. Basés sur une infrastructure de clé publique (PKI), des « certificats de naissance numériques » uniques sont émis pour chaque appareil fabriqué. Ils sont complétés, en milieu industriel notamment, par un certificat « opérationnel » qui authentifie l’appareil utilisé et autorise le transfert de données. « L’avantage des PKI réside dans leur scalabilité. Elles seront seront donc en mesure de faire face à l’augmentation des IoT. » souligne Pär Torstensson. « Elles sont aussi agnostiques en matière d’applications et peuvent servir pour tout type d’objet connecté, des réfrigérateurs aux tondeuses à gazon en passant par tous les outils de la smart city » ajoute-t-il.
Les fabricants devront aussi faire une analyse de risques en amont. « Il faut également développer l’observabilité de la sécurité. Il est impératif de faire du monitoring en temps réel des problèmes de sécurité afin d’identifier des problèmes de sécurité qui viennent du terrain et réagir en conséquence » poursuit Fred Raynal. Afin de limiter le retour à l’usine des produits, « il faut mettre en place des stratégies de « patching » à distance » ajoute le fondateur de Quarkslab.
Le marché européen de la sécurité IoT devrait enregistrer un taux de croissance annuel composé d’environ 12,5 % au cours de la période 2021-2026. L’émergence de la 5G devrait accélérer l’utilisation des appareils connectés dans les industries qui poussent déjà vers la révolution industrielle 4.0. Enfin, d’ici 2025, près de 30 villes intelligentes mondiales devraient émerger, dont 50 % seraient situées en Amérique du Nord et en Europe. Des mesures soutenues par des investissements mondiaux qui seraient d’environ 1 800 milliards de dollars, entre 2010 et 2030, pour tous les projets d’infrastructure dans les villes urbaines. Le marché mondial lié à l’Internet des Objets devrait représenter quelques 1077 milliards de dollars d’ici 2024, selon GlobalData.