L’abréviation IoT (Internet des Objets) désigne tout un écosystème incluant une grande variété d’objets physiques capables de collecter, de partager et d’émettre de la donnée grâce à des capteurs (objets connectés), le réseau par lequel ces données transitent et toutes les plateformes capables de les recueillir et de les analyser.

Le marché de l’IoT est en plein essor avec 34 Mds d’objets connectés à l’horizon 2020 (Source: BII, The IoT 2015 Report). Les industriels exploitent aujourd’hui ces technologies dans le but d’améliorer la sécurité d’un réseau, la qualité d’un service ou tout simplement les intègrent dans leurs infrastructures SI dans l’objectif de générer un gain de productivité. Les objets connectés deviennent ainsi un levier de performance et d’efficacité dans divers domaines tels que la maintenance prédictive, la détection des dysfonctionnements sur des équipements distants, ou encore la télé-opération sur des environnements techniques sensibles.

Parce qu’ils peuvent potentiellement introduire des nouvelles vulnérabilités dans un système d’information, les objets connectés doivent répondre à certaines exigences en termes de sécurité, de cyber-sécurité voire parfois de sûreté de fonctionnement. Dans certains cas d’usage, ils doivent même être homologués par des instances comme l’ANSSI avant d’être intégrés dans l’infrastructure d’un système d’information sensible.

Un constat important concernant les normes associées à ces technologies mérite d’être souligné : les exigences de cyber sécurité dédiées aux usages de l’IoT ne sont pas totalement figées dans un cadre précis. Mais un certain nombre d’entre elles figurent dans les guides de bonnes pratiques que nous pouvons glaner un peu partout, de directives métier ou de recommandations spécifiques définies dans les PSSI des industriels.

Pour effectuer une analyse complète des risques inhérents à l’IoT dans une infrastructure, il est recommandé de bien cerner les enjeux fonctionnels, techniques et juridiques des usages de l’IoT dans le périmètre étudié. Globalement l’approche, selon les experts, est de mener deux types d’audits distincts :

– Evaluer l’intégrité physique de l’objet par des tests d’intrusion sur la base des référentiels connus, et d’outils spécialisés (open source ou commerciaux) pour la reconnaissance, l’extraction, le reversing et l’émulation de la cible dans le but d’identifier des vulnérabilités ou évaluer la sensibilité de la surface d’attaque de l’objet.

– Evaluer la sensibilité des données traitées par l’objet IoT via une pré-qualification Data dans le but d’identifier les besoins potentiels de sécurité pour la collecte, la montée en qualité, la sensibilité et la mise à disposition de ces données. Ces besoins sont évalués selon les critères de sécurité DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité).

Pour réaliser la première partie de l’évaluation sécuritaire, l’initiative OWASP IoT Project est une très bonne base sur laquelle l’auditeur peut s’appuyer car elle fournit le top 10 des vulnérabilités liées à l’exploitation des technologies IoT.

Pour réaliser la seconde partie de cette évaluation, la meilleure approche serait de commencer par une analyse classique des risques liés aux données à caractère personnel et de l’enrichir au fur et à mesure avec les données métiers traitées par les objets IoT en mode Run. En d’autres termes, faire un rapprochement entre les principes fondamentaux du RGPD et les traitements effectués par les objets IoT susceptibles de présenter un risque élevé pour l’entreprise et ses collaborateurs, décliner les risques portant sur la sécurité des données et enfin anticiper la mise en place des mesures techniques efficaces pour protéger ces données.

En conclusion, disons simplement que la meilleure cyber-protection consiste à anticiper l’exploitation des vulnérabilités de nos systèmes. Pour ce faire, un seul créneau : intégrer la sécurité en amont des projets de développement. Pour l’IoT cela revient à initier une réflexion globale de la sécurité d’un objet dans son écosystème en tenant compte de ses interactions avec toutes les composantes du SI.

Liens utils :

https://www.owasp.org

Article rédigé par Karim Slimani, Directeur de Projet chez Formind