L’internet des objets, couramment appelé “IoT” (prononcez les lettres à l’anglaise) pour “internet of things”, se développe à toute vitesse. Grâce à des capteurs de plus en plus performants, grâce à des outils de stockage et de traitement de la donnée de plus en plus puissants, et enfin grâce à des techniques de transmission des données de plus en plus légères, le monde matériel est de plus en plus facilement retranscrit dans le monde numérique.
Si les applications sont nombreuses et plus stimulantes les unes que les autres, les défis sont également nombreux, à commencer par celui de la confidentialité de l’IoT et de sa sécurité d’ensemble.
IoT : sécurité et confidentialité, les mêmes enjeux ?
L’internet des objets repose essentiellement sur l’acquisition de données, généralement au moyen de capteurs, et sur leur transmission via des réseaux vers un centre de traitement. En réaction à la donnée, des actionneurs ou contrôleurs peuvent être immédiatement activés, soit pour résoudre un problème, soit pour réguler une donnée (arrêt d’une ligne de production suite à un incident dans le premier cas et fermeture automatique d’une fenêtre en cas de pluie dans le deuxième cas par exemple).
Or, les mots “réseaux” et “données” suffisent à eux seuls à alerter sur les notions de sécurité et de confidentialité.
- La sécurité, en l’occurrence celle des réseaux IoT, concerne notamment (mais pas exclusivement) la capacité à empêcher l’accès aux réseaux à des utilisateurs non autorisés, et à faire en sorte de protéger l’intégrité de ces réseaux.
→ En matière d’Iot, la sécurité est donc avant tout une question d’ordre informatique, technique et technologique.
- La confidentialité quant à elle, concerne la nécessité de définir qui sont les utilisateurs, institutions ou organisations qui peuvent légitimement ou légalement accéder aux données collectées et échangées.
→ En matière d’IoT, la confidentialité est donc essentiellement une question d’ordre réglementaire et le cas échéant, éthique.
Les problématiques concernant l’IoT, la sécurité et la confidentialité, sont évidemment liées mais ne relèvent ni des mêmes compétences ni des mêmes acteurs.
Le point sur chacun de ces grands enjeux.
IoT, sécurité et protection des réseaux
En matière d’IoT, la sécurité est essentiellement un enjeu de protection contre les cyberattaques. Parce que l’internet des objets multiplie à la fois le nombre de données créées et échangées, et les réseaux via lesquels ces données s’échangent, il multiplie également les opportunités de piratage informatique. En effet, on estime que 20% des entreprises qui ont déployé l’IoT dans leurs systèmes ont fait l’objet de cyberattaques.
Des risques qui se situent à plusieurs niveaux
En matière de sécurité de l’IoT, les failles sont situées à plusieurs niveaux et les facteurs de risques sont associés à plusieurs phénomènes :
- d’abord, la multiplication des adresses IP correspondant aux objets connectés, capteurs aussi bien qu’actionneurs ou contrôleurs : de façon quasiment mécanique, la multiplication des points d’entrée dans un réseau donné augmente la surface d’attaque potentielle, et donc son risque ;
- ensuite, la création de réseaux invités, dont aucune entreprise passée à l’IoT ne saurait se passer, génère par nature des failles de sécurité ;
- enfin, la dépendance à des prestataires extérieurs, qui doivent assurer la sécurité de leurs outils mais qui peuvent faire l’objet d’attaques ciblées d’autant plus violentes qu’ils sont spécialisés.
IoT sécurité : les mesures et précautions à prendre
Les actions à mener en matière de sécurité dans le cadre du déploiement de l’IoT, sont les suivantes :
- d’abord, dresser le profil complet des risques encourus en termes de sécurité par l’entreprise ou la structure qui envisage son déploiement ;
- si possible et pertinent, opter pour des réseaux IoT parallèles aux réseaux couramment déployés, à l’instar de la technologie SD WAN par exemple : de cette façon, on s’assure de déployer l’IoT dans un circuit clairement identifié et sur lequel on peut exercer une surveillance ciblée dès sa mise en service ;
- et enfin, choisir avec soin son prestataire de solutions IoT, en s’assurant que ce dernier est en mesure de garantir la sécurité de ses systèmes, grâce à la surveillance en temps réel notamment.
L’enjeu de la surveillance des réseaux IoT et leur sécurité native
En matière de sécurité de l’IoT, la vigilance au moment du déploiement de la technologie et l’attention portée lors de leur raccordement au/x réseau/x existants ne suffit pas à assurer la sécurité des systèmes.
L’installation de nouveaux réseaux, reposant sur des technologies autres que celle des réseaux WAN classiques et naturellement plus sécurisées, est un premier pas indispensable vers la sécurité de son système IoT.
Ensuite, la surveillance des réseaux et la modélisation de leur comportement normal est le meilleur moyen de repérer par la suite des anomalies susceptibles d’indiquer la présence d’une attaque.
Enfin, il est indispensable de concevoir un réseau IoT à la fois agile et résilient, c’est-à-dire qui puisse se passer de l’un ou l’autre de ses composants en cas d’attaque ciblée.
Un réseau IoT sécurité est donc un système qui est à la fois bien pensé, déployé avec les bons outils, et résilient face aux attaques.
Confidentialité des réseaux et données IoT
Si la sécurité est une affaire de systèmes, la confidentialité de son côté est résolument une affaire de société.
Dans un contexte où les technologies et modalités de la production industrielle évoluent bien plus rapidement que le législateur n’a le temps de se pencher sur les enjeux en découlant, la question de la confidentialité des données retombe bien souvent dans le champ des opérateurs de déploiement de l’IoT.
Il existe cependant quelques guides de réglementation auxquels il est indispensable de se conformer dans le cadre du déploiement de tout système IoT.
C’est le cas notamment du RGPD européen, le “règlement général sur la protection des données” qui vise précisément à donner aux citoyens européens des droits concernant les données qu’ils produisent et fournissent avec ou sans conscience à divers interlocuteurs tels que les institutions publiques, employeurs, prestataires de services, entreprises du web, etc.
→ Assurez-vous lors du déploiement de votre IoT de former au RGPD l’ensemble des collaborateurs impliqués, et mettez rapidement en place un plan de traitement des données conforme au règlement.