En 2014, IDC® annonce qu’il existe à travers le monde 200 milliards d’objets capables de se connecter à Internet. 14 milliards d’entre eux (soit 7%) communiquent déjà via Internet et représentent 2% des données numériques mondiales. D’ici à 2020, IDC prévoit entre 30 et 50 milliards d’IoT, représentant à eux seuls 10% du volume total de données générées.
Fin juillet 2015, les différentes études menées par HP Fortify® portant sur la sécurité des IoT (Internet des objets) révèlent que les montres connectées sont une nouvelle cible pour les pirates. 100% des appareils testés présentent des vulnérabilités.
Les IoT : un nouvel enjeu stratégique pour les entreprises
L’IoT représente une formidable opportunité business pour les entreprises se trouve aussi être à l’origine de très grands risques. « Les dirigeants d’entreprise qui souhaitent se lancer sur ce nouveau marché et tirer parti de ses potentialités doivent donc impérativement créer de la confiance en sécurisant les IoT et en protégeant les données recueillies. » précise Michael Bittan, Associé Leader des activités Cyber Risk Services chez Deloitte.
Aux Etats-Unis, selon une étude réalisée par ESET-NCSA, environ 40% des personnes interrogées disent n’avoir aucune confiance dans la sécurité et la confidentialité des objets connectés (source : ESET-NCSA alliance cybersécurité)
L’Internet des objets (IoT) est aujourd’hui au cœur de la transformation digitale : voitures intelligentes, villes, systèmes de santé, usines… les connectivités augmentent, se croisent agrandissant ainsi la surface d’attaque possible. « Ces connectivités démultipliées font des objets connectés des vecteurs d’attaques. Ils favorisent ainsi les possibilités d’attaques latérales. » explique David Leporini, Directeur « IoT Security » d’Atos.
Les objets connectés vont envahir notre quotidien mais aussi les entreprises et le monde de l’IoT industriel pose de nombreuses interrogations face à une prise de conscience timide eut égard aux risques et vulnérabilités portés par ces objets connectés.
« La gestion des risques introduits par les objets connectés doit être prise en compte. En permettant de rattacher le monde physique à la sphère de l’information, l’Internet des objets ouvre la voie au développement d’innombrables services tant à l’intérieur de l’entreprise qu’à destination de ses clients. Mais cette interconnexion globale des personnes, des processus et du contexte – ce qu’on appelle l’Internet of Everything (IoE) – ne tiendra toutes ses promesses que si cette infrastructure sous-jacente offre des garanties élevées de sûreté et de fiabilité. » ajoute David Leporini.
La bataille des plateformes IoT
Les plateformes IoT vont devoir reconnaitre des milliers d’objets connectés différents, reliés sur des dizaines de réseaux spécifiques à ces objets, mais aussi gérer des enjeux d’authentification et de sécurisation bien plus compliqués que ceux de l’internet d’aujourd’hui pour ensuite récupérer, indexer, stocker, manipuler, analyser bien évidemment dans le cloud et en temps réel des volumes d’informations considérables. Et au cœur de tout cela, l’intelligence artificielle, qui sera une dimension critique s’appuyant sur la puissance de calcul des ordinateurs d’aujourd’hui pour gérer cette complexité grandissante. « Cette bataille des plateformes IoT commence à peine. » souligne David Leporini.
Sécuriser les échanges des systèmes IoT « Nous avons développé une architecture qui vise à sécuriser les échanges des systèmes IoT. Un « Secure Element », une puce assure un chiffrement de la communication de bout en bout jusqu’à la plateforme IoT de l’industriel où est installée l’infrastructure de gestion de clés. » David Leporini, Directeur « IoT Security » d’Atos.
Les questions de sécurité sont en effet encore mal appréhendées
La sécurité de l’IoT repose sur quatre piliers fondamentaux : la sécurisation des capteurs et de leur fonctionnement ; la confidentialité et l’intégrité des données en transit ; la sécurisation des données stockées et enfin la sécurisation des accès à l’information. « Recueillie, acheminée, éventuellement traitée et stockée, la donnée passe de mains en mains jusqu’à son exploitation. Il faut donc s’assurer de son intégrité et de sa confidentialité tout au long de son parcours au sein de cet écosystème, jusqu’à l’utilisateur final, qui doit pouvoir s’appuyer dessus en toute confiance. La notion d’identité numérique fiable prend également tout son sens. » ajoute le directeur.
Des solutions bout en bout
Pour répondre à ces enjeux, Atos a donc développé une offre complète de solutions IoT de bout en bout intégrant l’ensemble des partenaires de l’écosystème et offrant un socle de confiance aux services de l’Internet of Everything (IoE). « Nous soutenons avec notre plateforme Atos Codex la transformation digitale de nos clients à tous les niveaux : stratégie, conseils, élaboration, exécution et sécurité. » précise David Leporini en soulignant ainsi l’un des points forts de la firme par ailleurs souligné par le rapport de NelsonHall qui positionne Atos comme leader des services IoT et 3e acteur européen en termes de parts de marché sur l’IoT.
Dans ce rapport, NelsonHall anticipe une croissance du marché de l’IoT de 26 % par an, pour atteindre 6,4 milliards de dollars en 2021, dopée notamment par l’utilisation accrue de l’IoT dans l’environnement B2B (voiture connectée, fabrication intelligente et logistique intelligente). D’après une étude récente réalisée par Atos, près de 90 % des entreprises estiment que l’information tirée des données sera un élément différenciateur clé d’ici 2020.
Les SOC et l’intelligence artificielle au cœur des enjeux de demain
Répondre aux défis de l’IoT d’aujourd’hui reste complexe mais il faut déjà entrer dans la course de l’après. Il est alors question du monitoring des données et de la sécurité. « Les Security Operations Center (SOC) pour l’IoT vont jouer un rôle essentiel afin de s’assurer que les politiques de sécurité restent conformes. Ce monitoring est déjà intégré au cœur des roadmaps des SOC. Cela devrait donc se concrétiser dans les prochaines années. » ajoute David Leporini. En attendant une nouvelle solution baptisée « Prescriptive Security Operations Center » s’appuie sur le Big Data et le Machine Learning afin de doter les SOC de capacités prescriptives. La solution va aider les analystes à intervenir dès les premiers signes annonciateurs d’une attaque, avant même que celle-ci soit avérée.
Sécuriser un système n’a en effet rien d’une démarche définitive. Les matériels et les logiciels vieillissent et se dégradent au fil du temps. « La nature et l’intensité des attaques peuvent évoluer de façon telle qu’elles rendent obsolètes des mesures de sécurité auparavant efficaces. Et, bien évidemment, aucun niveau de sécurité n’est infaillible : quels que soient les efforts déployés, les systèmes restent vulnérables. Par conséquent, la sécurité doit s’accompagner d’une vigilance/d’un suivi pour déterminer si un système est toujours sûr ou s’il a été altéré. » souligne Michael Battan chez Deloitte.