Des IoT toujours aussi vulnérables ?

22 milliards d’objets connectés dans le monde. 40 milliards en 2025.1 Ces chiffres amèneront le marché des IoT à atteindre les 1 387 milliards de dollars dès cette année.2 Si la cybersécurité de ces objets est aujourd’hui un défi, le tandem réglementation-innovation pourrait bien amener à l’émergence d’une security by design dans le monde de l’IoT et plus largement de l’embarqué.

Par Diane Cassain

Face au défi de la sécurité

« Les organisations du monde entier subissent une pression croissante pour assurer la protection de leurs appareils et outils connectés tout en navigant dans un paysage numérique de plus en plus complexe qui exige une confiance totale »3, résume Ellen Boehm, SVP, IoT Strategies and Operations chez Keyfactor. En moyenne, chaque semaine, 54 % des organisations subissent des tentatives de cyberattaques visant les IoT.4 69 % d’entre elles ont constaté une augmentation des cyberattaques à leur encontre. Une tendance à la hausse qui amène constructeurs et clients à repenser la sécurité des systèmes liés à ces objets. « Les possibilités limitées de protection des IoT en font des cibles de choix pour les cybercriminels. Cela s’applique bien entendu à l’ensemble de la supply-chain et implique une maîtrise du cycle conception-production, autant que de l’après-vente. Il sagit dune logique d’écosystème importante pour la confiance des consommateurs de produits connectés » abonde Stéphane Nappo, Vice Président Directeur Cybersécurité du Groupe SEB. Chaque dispositif représente une porte d’entrée potentielle pour les cyber attaquants. Les IoT sont partout dans les hôpitaux : une chambre de patient en contient pas moins de 6, une salle de réanimation 12. En 2021, le Verkada Hack a permis à des cyber attaquants d’accéder aux flux en direct de plus de 150 000 caméras… L’année suivante, une équipe de hackers éthiques s’est intéressée aux vulnérabilités dans les systèmes informatiques de plusieurs marques de véhicules. Un résultat sans appel : le groupe a réussi à récupérer les données enregistrées dans les boîtiers Sirus XM, ceux qui gèrent le GPS, la vitesse ou encore la quantité de carburant. Reste que les données issues des IoT sont compliquées à sécuriser. Avec 79 % des entreprises hébergeant leurs données issues des IoT dans le cloud,5 la dépendance à l’infrastructure entraine de potentiels risques en termes de fuite ou vol de données.

Des réglementations de plus en plus contraignantes

Si dans l’Union européenne la directive NIS2 a fait grand bruit, c’est le Cyber Resilience Act (CRA) qui pourrait bien changer la donne pour les objets connectés. Introduisant pour la première fois des sanctions financières pour les fabricants et leurs mandataires, les éditeurs de logiciels, les importateurs et les distributeurs, le CRA obligera notamment à inclure des mesures de sécurité dès la conception des objets connectés. Cela pourra passer par des mesures de protection contre les accès non autorisés (système d’authentification, gestion des accès…) ou encore pour protéger la confidentialité et l’intégrité des données stockées. Pour les produits considérés comme critiques, à l’instar des IoT industriels, des exigences supplémentaires s’appliquent. Signalement des vulnérabilités à l’ENISA dans un délai de 24 heures par les fabricants mais aussi vérification de la conformité de l’IoT par un tiers avant sa mise sur le marché en sont quelques exemples. Le 30 novembre dernier, le Parlement et le Conseil sont parvenus à un accord : une fois le CRA officiellement adopté, les fabricants auront 3 ans pour se mettre au pas, excepté en ce qui concerne l’obligation de signalement des vulnérabilités pour laquelle le délai est de 21 mois. Une réglementation attendue du côté des entreprises. « Pour que le marché s’en saisisse, la réglementation sera à nouveau un effet de levier fort » souligne Jean Larroumets, Président Fondateur d’EGERIE. Un règlement qui a aussi inspiré la Grande-Bretagne. Le Product Security and Telecommunications Infrastructure (PSTI), qui entrera en vigueur le 29 avril prochain, reprend largement ses dispositions. Aux Etats-Unis, lIoT Cybersecurity Improvement Act de 2020 fixe des normes de sécurité minimales pour les objets connectés utilisés par le gouvernement fédéral. L’Institut national des normes et de la technologie (NIST) est chargé de superviser les risques de cybersécurité liés aux IoT en publiant notamment des lignes directrices afin de garantir leur sécurité, la mise à niveau et la gestion des identités. Depuis fin 2022, il est interdit aux agences fédérales d’acquérir des objets jugés non-conformes par le NIST. Au niveau étatique, les législateurs se sont également emparés du sujet. La loi californienne SB-327 définit de nouvelles exigences pour les IoT.11 autres Etats ont emboîté le pas à la Californie, érigeant tour à tour leurs propres réglementations pour protéger la vie privée des utilisateurs des IoT.Résultat : les citoyens américains sont désormais soumis à un millefeuille réglementaire où les lois nationales chevauchent celles du niveau fédéral, arrivant parfois à se contredire.6

Security by design, Edge computing, Edge AI : le futur de la sécurité des IoT

Pour assurer une cybersécurité efficace, la première brique doit permettre de renforcer les mesures de sécurité et de confidentialité sur tous les composants du produit. « La sécurité doit intervenir dès la phase d’idéation. Le security by design c’est presque déjà trop tard. Sachant que le security by design n’est déjà pas la norme partout, c’est un véritable choc culturel de parler sécurité avant même le design IT. Pour ce qui concerne l’après-vente, les SOC IoT vont être très importants pour détecter/réagir et pour l’heure, tout comme les EDR IoT, ils restent à développer. Renforcer l’analyse des risques en amont est donc un point primordial » souligne Stéphane Nappo. « Notre approche associant conformité aux règles de sécurité et bonnes pratiques et analyse des risques permet en effet de prendre en compte le security by design avant la mise sur le marché du produit. Notre process industrialisé couplé à une vision 360 permet de mutualiser l’adressage des risques. » précise Jean Larroumets et d’ajouter : « La notion de coût trop élevé pour la mise en place de mesures de sécurité est encore souvent invoquée. Mais qu’en est-il réellement face aux coûts directs et indirects engendrés par le rappel de tous les IoT présentant une faille de sécurité ? Le résultat est sans appel. » La délivrance de certificat PKI, autrement dit d’une identité de confiance, au stade de la fabrication permet à l’appareil de s’authentifier et de communiquer en toute sécurité avec une application IoT. IN Groupe déploie ces certificats qui facilitent les communications chiffrées entre les appareils et les systèmes, contribuant une fois encore à une sécurité renforcée de bout en bout.

Par ailleurs, le développement du edge computing pourrait apporter une couche supplémentaire de sécurité aux appareils connectés. En traitant les données localement, il n’est plus nécessaire pour l’IoT d’envoyer les données à un cloud central. Il conscrit la donnée à un environnement sûr, réduisant ainsi le risque d’interception ou d’accès non autorisé. En cas de violation du réseau, toutes les données ne sont pas compromises, une partie d’entre elles étant restée sur l’appareil local ou le serveur à proximité.7 L’Edge AI favorise quant à lui le traitement des données grâce à l’implémentation de l’intelligence artificielle directement dans l’appareil connecté. En tirant parti de techniques telles que le machine et le deep learning, les IoT peuvent identifier les tendances, les anomalies et les modèles au sein des données récoltées par l’appareil. Une mine d’or qui sert à prédire les conséquences potentielles si l’anomalie n’est pas prise en compte et les comportements futurs sur la base de modèles de données historiques. Les processus peuvent être optimisés et les risques ou défaillances potentielles détectés plus rapidement. Avec un taux de croissance prévisionnel de 21 % pour la période 2023-2030,8 l’Edge AI semble séduire. Une utilisation vertueuse de la technologie et de l’IA au service du progrès, de la sécurité et de la protection des données. Mais si les promesses n’engagent que ceux qui les croient, attention à ne pas décevoir aux risques d’une sanction immédiate des utilisateurs.

Les systèmes embarqués face au défi de la cybersécurité

Désormais, tout ou presque est question de connectivité. Les logiciels embarqués sont nécessaires pour le fonctionnement des matériels électroniques liés à la surveillance, au contrôle, à la communication et à la navigation, représentant de nouvelles cibles pour les cybercriminels. Face à cela, les industriels appellent à « penser la cyber en amont de la création et du développement du produit embarqué mais également un suivi tout au long du cycle de vie de ce dernier. » témoigne Patrick Radja, directeur de la cybersécurité de Naval Group, co-organisateur du premier rassemblement Cyber On Board en février dernier sur l’île des Embiez. Ces systèmes sont constitués de plusieurs centaines, voire milliers, de composants qu’il faut pouvoir superviser, du système d’exploitation jusqu’aux endroits très sécurisés et sensibles. L’embarqué implique de facto une miniaturisation et une automatisation amenant une complexité supplémentaire. Les systèmes embarqués ont ainsi des contraintes fortes en termes de poids, de consommation électrique, de volume.

Cette connectivité accroit fortement la surface d’attaque. Aussi, face à l’entrave, au renseignement ou à l’influence sur les systèmes, la protection des systèmes d’armes est un volet consacré de la Loi de programmation militaire. La dimension cyberdéfense se voit octroyer près de 4 milliards d’euros sur la période 2024-2030. « Au-delà du temps réel, les actions doivent porter sur les approches de résilience, de maintien en conditions opérationnelles et de continuité d’activité. Si les militaires doivent s’approprier et maîtriser les technologies, leur capacité à réagir et travailler en « mode dégradé » si la connectivité est rompue ou compromise est tout aussi essentielle. » témoigne un officier du ministère des Armées. Des postures bien rodées qui se renforcent dans la coopération avec les autres ministères et les industriels de la défense. Une convergence de la menace qui doit trouver une réponse collective pour adresser une logique de performance et une approche capacitaire. « Il est nécessaire d’anticiper et de mesurer l’impact sur le système en opération et sur son maintien en conditions opérationnelles et de sécurité. » rappelle Patrick Radja. Cela prévaut pour tous les secteurs d’activité, aéronautique, ferroviaire, automobile… Cela nécessite donc une nouvelle approche de la cybersécurité par la performance, mais aussi une implication des métiers. « Nous devons partager nos connaissances et nos idées, explorer de nouvelles perspectives et renforcer notre capacité collective à faire face aux menaces cyber qui émergent dans notre monde de plus en plus connecté. La cybersécurité dans le domaine de l’embarqué est devenue un enjeu crucial, touchant non seulement les entreprises mais également les particuliers. Nous devons agir pour protéger le futur de nos métiers, de nos entreprises et de nos enfants. Les systèmes embarqués sont omniprésents dans notre quotidien. Nous devons repousser les limites de nos savoir-faire pour trouver le bon compromis entre sécurité du service et qualité du service. » témoigne Arthur Bataille, fondateur de Neverhack et co-organisateur de Cyber On Board. La réglementation à l’œuvre permettra une montée en maturité de toute la chaîne de valeur. Mais si certains redoutent un blocage possible de l’innovation, ils saluent la nécessité d’un encadrement. « L’intelligence artificielle est une menace et une opportunité en même temps : elle peut être un démultiplicateur de la surface d’attaque comme être extrêmement performante pour détecter les anomalies ou faire de la maintenance préventive. Pour cela, nous devons continuer à développer des algorithmes pour détecter les attaques, travailler sur les anomalies de détection, etc. » soutient Patrick Radja. Si l’intelligence artificielle permettra une accélération et le quantique une révolution qu’il faut d’ores et déjà anticiper, la clé de la réussite reposera une fois de plus sur les talents qu’il va falloir acculturer, former, et fidéliser dans un univers très concurrentiel. « Les entreprises, confrontées au défi de sécuriser leurs données et leur infrastructure informatique, doivent investir dans l’avenir en recrutant des talents capables de définir des protocoles de sécurité innovants. Face aux enjeux de l’IT, il est essentiel de former la jeunesse avec une approche axée sur la curiosité intellectuelle, car les réponses académiques actuelles ne suffisent plus. » soutient Arthur Bataille, et de conclure « Aujourd’hui, la véritable définition des talents réside dans la capacité à rechercher des solutions hors des sentiers battus et à trouver des moyens novateurs pour garantir la sécurité des entreprises et de leurs clients. »

1https://www.latribune.fr/opinions/tribunes/le-boom-silencieux-de-l-iot-quand-les-objets-connectes-vont-envahir-notre-vie-quotidienne-982567.html

2 https://www.statista.com/outlook/tmo/internet-of-things/worldwide

3 https://www.helpnetsecurity.com/2023/10/16/iot-security-strategy/

4https://blog.checkpoint.com/security/the-tipping-point-exploring-the-surge-in-iot-cyberattacks-plaguing-the-education-sector/

5 https://www.lambertconsulting.ch/statistiques-et-tendances-du-cloud-computing-2023-2024/

6 https://www.thalesgroup.com/en/markets/digital-identity-and-security/iot/inspired/iot-regulations

7https://iotindustriel.com/iot-iiot/pourquoi-liot-a-besoin-de-ledge-computing/#:~:text=L’Edge%20Computing%20peut%20permettre,plate%2Dforme%20de%20gestion%20centralis%C3%A9e.

8 https://www.grandviewresearch.com/industry-analysis/edge-ai-market-report#:~:text=How%20big%20is%20the%20edge,USD%2017%2C483.3%20million%20in%202023.