Explosion du nombre d’objets connectés, déploiement de la 5G, intensification du télétravail… notre environnement ultra-numérisé offre à la cybercriminalité autant d’opportunités qui obligent les fabricants IoT à faire de la sécurité, une priorité.
Dangers & défis
S’il est une certitude, c’est que les attaques vont se multiplier et qu’aucun acteur ni secteur n’est d’ores et déjà épargné. Organismes publics, data centers, industriels de la santé, du transport ou de l’énergie représentent autant de cibles de choix, mais il suffit de constater la hausse de caméras de vidéosurveillance infectées entre 2020 et 2021 (+19%) pour comprendre l’ampleur du phénomène. La liste est longue depuis la détection en décembre 2021 de la faille LoG4j touchant des millions d’utilisateurs d’applis Java dans le monde jusqu’au botnet mirai tristement connu pour ses attaques par déni de service (DDoS) via des objets connectés. Dès lors, c’est une course de vitesse sans relâche qui oppose hackers et industriels, plaçant les offres SaaS (software as a service) au cœur des dispositifs de sécurisation. Avec leurs palettes d’outils pour une évolutivité plus rapide et une réactivité plus forte, elles assurent un cadre de garanties, là où les règles communes peinent à être mises en place…
1,5 milliards d’attaques au 1er semestre 2021 selon la société Kaspersky
Normes in progress
Même si un premier pas a été franchi en 2020 avec la création de la norme EN303645 intégrant 13 dispositions pour la cybersécurité des objets connectés Grand Public, la diversité des normes propriétaires sur le terrain rend difficile la sécurisation des systèmes autant que leur compatibilité. En l’absence d’une harmonisation internationale ou du moins européenne et malgré de vraies avancées telles que le RGPD ou encore le nouveau schéma européen de certification de cybersécurité, les problématiques de sécurité constituent un chantier collectif, protéiforme et continuellement « in progress ». Pour les fabricants toutefois, des publications de la GSM Association, l’Industrial Internet Consortium ou l’IoT Security Foundation fournissent outils et listes de contrôle bienvenus. Quant aux consommateurs, ils devraient bientôt voir apparaître le label « objet connecté sécurisé » sur leurs équipements préférés.
Quelques conseils
En premier lieu, l’implémentation de la sécurité doit être prise en compte dès l’amont de la conception de votre produit. La méthodologie « Secure by design » reconnue par les spécialistes, permet de calibrer et mettre en place les mesures-clés de votre dispositif (zone mémoire avec protections physiques, accélérateurs de cryptographie, mises à jour, tests dynamiques, niveaux d’accès et authentification…). Il faut bien comprendre aussi que la sécurité est affaire de temporalité. Ce qui est protégé à T0 ne l’est plus à T+1, d’où l’importance fondamentale des mises à jour. Enfin, des audits réguliers garantissent à vos solutions de se maintenir à l’état de l’art.
Enfin, n’oubliez pas que la sécurité est l’affaire de tous, du fabricant au fournisseur de services jusqu’à l’utilisateur final : renforcer votre collaboration avec l’ensemble des acteurs de votre secteur vous permettra d’apporter des réponses coordonnées, plus rapides et efficaces.
Commentaires (0)