L’Internet of Things [1] – IoT- fait déjà partie de notre quotidien. Sans nécessairement être des early adopters, il nous est tous arrivé de découvrir, perplexes, certains de ces objets « révolutionnaires ». Ces capteurs connectés[2], à placer sur des casques de sport (Hockey sur glace, football américain, etc.), capables d’alerter l’entraîneur après un choc jugé trop important, ou encore cette ceinture connectée[3], permettant de suivre de près l’évolution de son tour de taille, en sont des belles illustrations.

iot-dec16

L’IoT est en plein essor et, quoique très variables, les projections sont ambitieuses : 20,8 milliards d’objets connectés en 2020 selon Gartner[4] et 80 milliards selon IDATE[5].

L’actualité se concentre principalement sur la facette « grand public » de l’IoT, avec notamment les appareils de domotique domestique et ceux de mesure de soi (quantified self). Le paysage qui se dessine en est toutefois tout autre ; le cabinet de conseil Deloitte prédit d’ailleurs que les entreprises et industries seront bientôt les acheteurs et utilisateurs de 60 % des objets connectés sans fil[6] .

La souplesse, le contrôle et la sécurité que permettent ces objets expliquent certainement en partie cette tendance, mais les entreprises et industries se tournent aussi et surtout vers l’IoT pour son potentiel économique. En effet, si le gain engendré par un « objet IoT » est minime, à l’échelle d’un parc ce gain devient substantiel et justifie alors l’investissement initial nécessaire au déploiement.

C’est ainsi, par exemple, que Decathlon a pu notamment améliorer sa gestion des stocks, accélérer et fiabiliser les inventaires, faciliter les passages en caisse et renforcer la sécurité contre les vols[7]. Nous pouvons également citer le cas des compteurs communicants Linky déployés par Enedis (ex ERDF)[8] et leur équivalent Gazpar déployés par GRDF[9] : ces compteurs intelligents permettent notamment d’effectuer des interventions à distance et réduisent ainsi les couts et délais habituellement liés.

Risques et Enjeux

Comme toute technologie, l’IoT nous vient également avec son lot de problématiques l’actualité se charge d’ailleurs régulièrement de nous rappeler que la sécurité est l’une d’entre elles. En effet, insuffisamment protégés, ces « objets » peuvent être compromis et détournés de leur fonction initiale pour, par exemple, être utilisés comme pivots[10]  ou relais[11]  pour d’autres attaques.

En octobre dernier, des centaines de milliers d’objets connectés compromis ont ainsi été impliqués dans des attaques de déni de service distribué (DDoS) résultant notamment en une indisponibilité de nombreux grands acteurs de la toile (Twitter, PayPal, Github, Spotify etc.) pour un certain nombre d’internautes américains[12].

Les conséquences d’une sécurité mal maitrisée peuvent être bien plus dramatiques : certains objets connectés à usage médical – ex : pacemaker, pompe à insuline, etc.- peuvent être compromis et contrôlés à distance[13].

Similairement, les enjeux et les risques de l’IoT en milieu industriel sont colossaux avec notamment l’avènement du modèle d’industrie 4.0[14].  Pour des raisons de sécurité les réseaux industriels doivent être isolés des autres réseaux, cependant, pour des raisons de performance et d’optimisation une porte est ouverte pour permettre plus de contrôle à distance sur l’IoT déployé sur les réseaux industriels. Quid des conséquences d’une porte un peu trop « ouverte » ?

Un autre pan de l’IoT concerne la gestion et les traitements effectués sur les données à caractère personnel, les dérives sont possibles et il est nécessaire de baliser ce qui est, ce qui peut et ce qui doit être fait en matière de protection des données.

Si la sécurité d’un déploiement « volontaire » d’IoT est généralement anticipée et intégrée à la gestion globale de la sécurité du groupe, il peut en être tout autre pour la sécurité de l’IoT « subi » : l’IoT dont la DSI n’a pas encore connaissance. Pourtant, ces services augmentent la surface d’attaque du SI.

De la même façon que les politiques de sécurité BYOD/CYOD[15] furent la réponse à l’introduction des périphériques personnels sur le lieu de travail, nous devons également considérer l’IoT dans la gestion globale de la sécurité du Systèmes d’Information et identifier les mesures à adopter.

Guides de sécurisation et cadres règlementaires

La sécurisation de l’IoT est un défi puisque pour être efficace, ce travail doit porter sur tout l’écosystème de l’IoT. Les différents acteurs – Les constructeurs et revendeurs des objets connectés, les opérateurs de réseaux, les fournisseurs de services, etc. – doivent s’accorder sur le niveau et les mesures de sécurité à adopter :

iot-dec-16

 

Acteurs de l’IoT – illustration : ARCEP

De multiples guides de sécurisation mais également des cadres règlementaires ont ainsi fleuri. Certains se concentrent sur l’IoT spécifiquement et/ou la sécurité alors que d’autres ont une portée plus générale. Le tableau ci-dessous présente les ressources les plus pertinentes que nous avons identifiées :

Nom Éditeur Object
Strategic Principles For Securing The Internet Of Things (IoT)16
(novembre 2016)
Department of Homeland Security (DHS) des États-Unis Guide détaillant les « principes stratégiques de la sécurisation de l’internet des objets » guide largement inspiré d’un guide de sécurité publié par la Federal Trade Commission17
Préparer La Révolution De L’internet Des Objets18
(novembre 2016)
Autorité de Régulation des Communications Électroniques et des Postes (ARCEP) Livre blanc définissant des orientations à suivre pour construire des bases saines et durables pour l’IoT tout en étant propices à l’innovation
AIOTI Working Group 4 – Policy19
(octobre 2015)
AIOTI Digitisation of Industry Policy Recommendations20
(novembre 2016)
Alliance for Internet Of Things Innovation (AIOTI)21 22 Rapports détaillant les recommandations que formule l’AIOTI auprès de la Commission Européenne sur le cadre règlementaire à adopter pour favoriser la massification de l’IoT et ainsi contribuer à l’effort d’évolution de l’U.E. vers un « marché unique numérique »23
GSMA IoT Security Guidelines24
(février 2016)
Global System for Mobile communications Association (GSMA) Ensemble de guides de sécurité adaptés aux différents acteurs de l’IoT (Constructeurs, opérateurs réseaux, fournisseurs de service, etc.)
Loi de Programmation Militaire 2014-2019(LPM)25
(décembre 2013)
Ministère de la Défense (France) Cadre juridique de la politique de cyber défense nationale française et concernant notamment les Opérateurs d’Importance Vitale (OIV)
E.U. General Data Protection Regulation (GDPR)26
(avril 2016)
Commission Européenne Règlement général sur la protection des données applicable en mai 2018 dans l’ensemble des États membres de l’U.E.

Ces règles visent notamment à :

  • Renforcer et harmoniser les cadres et pratiques actuels relatifs à la gestion des données à caractère personnel ;
  • Assurer la protection de ces données ;
  • Redonner aux citoyens de l’U.E. le contrôle de leurs données.
IoT Security Guidance27
(draft)
Open Web Application Security Project (OWASP) En s’appuyant sur le TOP 10 des vulnérabilités les plus présentes dans l’IoT28, l’OWASP propose un ensemble de mesure à prendre pour s’en protéger.

Il s’agit donc d’identifier en fonction de son contexte, les ressources sur lesquelles s’appuyer. Le guide du DHS fourni une approche pragmatique à la sécurité, cependant, pour un déploiement en Union Européenne, il est nécessaire de s’appuyer sur les normes qui y sont applicables. Tout particulièrement d’ailleurs, si des données à caractère personnel sont manipulées puisque, pour garantir nos libertés, le cadre défini y est plutôt fort.

Approche de la sécurité

Nous avons constaté que les préconisations et mesures des ressources ci-dessus se rejoignent globalement en grands principes que nous tentons de les récapituler ici :

Nous avons les principes généraux et génériques de sécurité de l’information :

  • Intégrer les besoins de sécurité dès la phase de conception d’un projet et impliquer tous les acteurs dans cette démarche ;
  • Analyser les risques afin de prioriser les mesures de sécurité à mettre en place d’une part et de trouver le meilleur compromis entre leur gain et leur coût d’autre part ;
  • Adopter le mode « sécurisé par défaut » qui se décline notamment pour les données à caractère personnel par le mode « Privacy by design » mis en avant par l’ARCEP ;
  • Respecter le principe du moindre privilège qui se décline sur les différentes couches : système, réseau, gestion des données, etc.

Ainsi que les principes à replacer dans le contexte de l’IoT :

  • Fournir les moyens de garantir la sécurité :
    • Sur l’ensemble des éléments de la chaine IoT, c’est-à-dire sur l’ensemble de la surface d’attaque : les « objets », le réseau, l’applicatif et le stockage ;
    • Entre les acteurs : les constructeurs, revendeurs, opérateurs etc. ;
    • Sur le cycle de vie complet du produit, en fournissant notamment les moyens de suivre, diffuser et déployer les mises à jour  y compris sur les « objets » ;
  • Jouer la transparence :
    • Auprès des autres acteurs pour notamment faciliter la coopération et leur réactivité en cas de découverte de faille ;
    • Auprès des utilisateurs pour les informer des données collectées, des traitements effectués et lui laisser la possibilité de garder un certain contrôle sur ses données.

Nous retenons ainsi que l’approche sécurité à mettre en place pour l’IoT est similaire à l’approche sécurité préconisée de façon générale ; nous mettons toutefois l’accent sur l’importance de considérer l’IoT comme un ensemble de produits, de services, et d’acteurs intrinsèquement liés pour évaluer correctement les risques et définir les mesures à adopter.

Pour conclure, l’IoT a évolué très rapidement  et souvent au détriment des principes de base de sécurité, pourtant les risques et incidents évoqués plus haut sont bien réels et nous devons les prendre en compte. Les différents guides de sécurisation nous confirment que l’approche usuelle de la sécurité de l’information est également valable pour l’IoT mais qu’elle doit être déclinée et adaptée aux spécificités qui lui sont propres.

 

[1]. Dans cet article, le terme IoT désigne un ensemble composé d’objets connectés – les capteurs et actionneurs physiques-, de solutions d’interconnexion, de stockage, de traitement et de présentation des données.
[2]. http://www.theshockbox.com/
[3]. http://www.wearbelty.com/
[4]. http://www.gartner.com/newsroom/id/2636073
[5]. http://www.idate.org/en/Research-store/Collection/Market-report_23/Internet-of-Things_1037.html
[6]. https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology-Media-Telecommunications/gx-tmt-pred15-full-report.pdf
[7]. http://media.decathlon.fr/communique-presse/innovation-services/landing/landing.html
[8]. http://www.enedis.fr/linky-le-compteur-communicant-derdf
[9]. http://www.grdf.fr/dossiers/gazpar-le-compteur-communicant
[10]. https://www.helpnetsecurity.com/2016/10/13/sshowdown-proxy-attacks/
[11]. https://krebsonsecurity.com/2016/10/iot-devices-as-proxies-for-cybercrime/
[12]. http://www.silicon.fr/dyn-submerge-par-un-botnet-de-100-000-objets-connectes-161359.html
[13]. http://www.forbes.com/sites/ericbasu/2013/08/03/hacking-insulin-pumps-and-other-medical-devices-reality-not-fiction/
[14]. http://www.lemonde.fr/economie/article/2014/11/14/la-france-doit-s-inspirer-du-projet-industrie-4-0-allemand_4523865_3234.html
[15]. Bring/Choose Your Own Device
[16]. https://www.dhs.gov/sites/default/files/publications/Strategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINAL_v2-dg11.pdf
[17]. https://www.ftc.gov/tips-advice/business-center/guidance/start-security-guide-business
[18]. http://www.arcep.fr/iot/2016/11/07/livre-blanc-revolution-iot-nov2016/
[19]. http://ec.europa.eu/newsroom/dae/document.cfm?action=display&doc_id=11815
[20]. http://www.aioti.org/wp-content/uploads/2016/11/AIOTI-Digitisation-of-Ind-policy-doc-Nov-2016.pdf
[21]. http://www.aioti.org/
[22]. http://www.aioti.org/workinggroups/
[23]. https://ec.europa.eu/priorities/digital-single-market_fr
[24]. http://www.gsma.com/connectedliving/future-iot-networks/iot-security-guidelines/
[25]. http://www.defense.gouv.fr/portail-defense/enjeux2/politique-de-defense/la-loi-de-programmation-militaire-lpm-2014-2019/actualisation-de-la-loi-de-programmation-militaire-lpm-2014-2019
[26].http://www.eugdpr.org/ 
[27]. https://www.owasp.org/index.php/IoT_Security_Guidance
[28]. https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf