Quand et comment sécuriser les environnements IoT ?

La sécurité fait partie intégrante des projets IoT et doit être pensée dès le départ pour protéger les environnements connectés des attaques sans faire chuter le retour sur investissement.

Selon une enquête menée par Gartner en 2018, près de 20% des organisations ont subi au moins une attaque en lien avec des dispositifs IoT (Internet of Things) au cours des trois dernières années. Dans ce contexte, déterminer le bon niveau de sécurité pour son projet IoT est essentiel, afin de se protéger des menaces tout en préservant la rentabilité du projet.

Pourquoi est-ce important de sécuriser un projet IoT ?

« Dans l’IoT comme ailleurs, la cybersécurité a pour but d’éviter des événements redoutés, dont les conséquences peuvent être fâcheuses pour l’entreprise ou son client », prévient Guillaume Larrignon, directeur technologies opérationnelles chez Sigfox dans une intervention sur la plateforme Genesis.

Les dommages potentiels peuvent aller de la dégradation de l’image de marque aux poursuites judiciaires, notamment si l’entreprise n’a pas su protéger les données personnelles des utilisateurs, RGPD oblige. À cela s’ajoute l’impact financier. « Si un concurrent exploite vos données pour fournir un service équivalent, ou si vous devez rappeler tous vos produits à la suite d’un problème de sécurité, cela peut conduire une entreprise à la faillite. C’est d’autant plus risqué si vous êtes une startup et que le rappel concerne votre produit phare », précise Guillaume Larrignon.

La mise en œuvre de dispositifs IoT augmente mécaniquement la surface d’attaque de l’entreprise. Par exemple, avec une solution IoT de traçabilité des biens, une personne mal intentionnée qui accède aux coordonnées GPS peut s’en servir pour localiser un chargement précieux et le dérober. « Dès lors que des données sensibles circulent, il faut les sécuriser », lance Arnaud Courty, chercheur en cybersécurité et IoT Hacker chez Onepoint, sur Genesis. Dans tout projet IoT, il est donc important d’établir une liste des menaces, afin de pouvoir mettre en œuvre si nécessaire des contre-mesures adaptées.

Par ailleurs, la sécurité doit absolument être prise en compte dès le début des projets IoT, faute de quoi la viabilité même de ces derniers peut être mise en péril. Cette approche, connue comme le « Security by design », évite bien des mauvaises surprises. En effet, plus la sécurité est prise en compte tardivement dans un projet, plus cela coûte cher de la mettre en oeuvre.

Selon Arnaud Courty, le coût pour corriger une vulnérabilité se démultiplie à chaque étape du cycle de développement. « Une faille qui coûte 5 € à prévenir lors de l’expression des besoins coûtera 5000 € à rectifier pendant le développement, et bien plus encore si le produit est déjà commercialisé », illustre-t-il. Inversement, anticiper les risques potentiels permet d’en tenir compte dès la conception de l’objet, en choisissant d’emblée les composants, le réseau et l'architecture les mieux adaptés aux enjeux.

Quels sont les principaux risques pesant sur l’IoT et que faut-il protéger ?

Un article scientifique publié début 2018 par Hezam Akram Abdul-Ghani et Dimitri Konstantas de l’Université de Genève, avec Mohammed Mahyoub de l’Université King Fahd (Arabie Saoudite), recense plus d’une centaine d’attaques différentes pouvant viser un environnement IoT.

Ces menaces peuvent être regroupées en quatre catégories :

• Celles qui ciblent les composants physiques de l’IoT, comme les senseurs, l’alimentation ou les émetteurs ;
• Des attaques portant sur la couche de connectivité et les protocoles réseau utilisés ;
• Des attaques visant à accéder aux données stockées dans l’objet ou sur le cloud ;
• Des attaques sur la couche logicielle (applications, système d’exploitation et firmwares), qui peuvent aboutir à une prise de contrôle de l’objet ou à un spam des autres objets connectés.

Cette liste d’attaques se veut exhaustive : cela ne signifie pas pour autant qu’il faut se protéger contre l’ensemble des menaces potentielles, ce qui est non seulement impossible en pratique, mais n’a guère de sens économiquement.

Dans les faits, tous les environnements IoT ne sont pas soumis aux mêmes risques, et les enjeux en termes de sécurité varient d’un projet à l’autre. Ainsi, pour Arnaud Courty, sécuriser la donnée brute collectée par les capteurs n’est pas forcément la priorité : « Une donnée unitaire, sans le contexte, n’a pas trop de sens. C’est le contexte qu’il faut sécuriser. Prenons le cas d’une donnée de température : si c’est celle de mon jardin, ce n’est pas problématique. S’il s’agit de la chambre d’un patient, c’est tout de suite plus critique. »

Dans les projets IoT industriels, ou IIoT (Industrial Internet of Things), qui reposent souvent sur la collecte de données simples, les objets manipulent moins de données sensibles que d’autres secteurs, comme le domaine médical ou les véhicules autonomes. La sécurité devra donc surtout se concentrer là où les données prennent du sens, c’est-à-dire sur la plateforme. En revanche, « dès que le cas d’usage prévoit la possibilité pour l’objet de recevoir des messages et d’y répondre en déclenchant certaines actions, la sécurité doit être très solide. C’est le cas par exemple des objets connectés destinés au grand public, comme les véhicules connectés de Tesla ou les pacemakers » illustre ainsi Arnaud Huvelin, ancien responsable de l’industrialisation à l’IoT Valley.

Pour les projets industriels, un autre enjeu à prendre en compte concerne l’authentification des machines, afin d’éviter que leur identité ne soit usurpée pour transmettre des informations erronées. Pour limiter ce risque, une bonne pratique est d’utiliser un réseau dédié pour vos applications IoT, distinct du réseau de l’entreprise et non relié à Internet. En effet, dans beaucoup d’attaques ciblant des environnements industriels, comme le ver StuxNet qui ciblait les systèmes SCADA, la menace a souvent transité par le réseau interne de l’entreprise au préalable.

Comment choisir les mesures de sécurité à mettre en œuvre ?

Pour déterminer comment sécuriser un environnement IoT, il existe certaines méthodes, comme EBIOS, mise au point par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Comme l’explique Arnaud Courty, « dans cette approche, il faut tout d’abord préciser le contexte de l’objet et l’environnement dans lequel il va évoluer : est-ce qu’il va être connecté, pris en main par l’utilisateur, encastré dans un véhicule ? Ce contexte définit une surface d’attaque, à partir de laquelle l’entreprise peut identifier les scénarios possibles dans son environnement. Peut-on modifier les données sur l’objet ? Peut-on altérer leur confidentialité ?».

Une fois ces étapes franchies et la liste exhaustive des menaces établie, la suite consiste à évaluer le degré de vraisemblance de chaque risque, autrement dit la probabilité qu’il se concrétise. Pour évaluer plus finement les vulnérabilités, des méthodologies de test comme celle proposée par l’OWASP (Open Web Application Security Project) peuvent être appliquées. À l’issue de ce travail, l’entreprise possède tous les éléments pour choisir les contre-mesures à mettre en place pour se protéger. « En multipliant le niveau de risque par la vraisemblance, on obtient les risques à traiter en priorité, ceux qui affichent le score le plus élevé », indique Guillaume Larrignon.

Quand des données sensibles circulent entre les objets et la plateforme, la sécurisation de l’ensemble de la chaîne s’impose. En effet, « les attaquants vont toujours chercher le maillon le plus faible », avertit Guillaume Larrignon. Dans un environnement IoT, l’objet peut ainsi discuter avec un concentrateur ou bien accéder en direct à une infrastructure de connectivité. Celle-ci alimente une plateforme de cloud, sur laquelle sont construites des applications. Enfin, des utilisateurs peuvent éventuellement se connecter à ces dernières, un aspect à prendre en compte, car bien souvent les humains représentent le point le plus vulnérable. « Construire un château fort en un point est totalement inutile si le maillon suivant est ouvert à tous les vents », ajoute Guillaume Larrignon.

Pour assurer la conformité par rapport aux exigences réglementaires, les fournisseurs de solutions IoT ont intérêt à adopter une approche de « sécurité par défaut ». Celle-ci consiste à livrer un environnement au client avec les paramètres de sécurité au maximum. Libre ensuite à ce dernier de revoir les réglages à la baisse en fonction de ses besoins.

Quel est le bon niveau de sécurité pour l’IoT BtoB ?

La cybersécurité peut avoir un impact au niveau énergétique pour l’objet. Comme le rappelle Arnaud Courty, la sécurité entraîne souvent une surconsommation d’énergie. « Le chiffrement des flux et des données, les contrôles d’intégrité ont un coût énergétique monstrueux, qui peut s’avérer pénalisant pour tous les objets qui doivent fonctionner en autonomie. » Avec le chiffrement actif par exemple, une batterie se décharge deux fois plus vite.

Néanmoins, cet aspect concerne surtout les objets connectés, un peu moins les environnements IoT BtoB. En effet, pour ce type d’application il existe des réseaux IoT de type LPWAN (Low Power Wide Area Network), tels que celui de Sigfox ou les réseaux LoRaWAN, conçus pour minimiser la consommation énergétique des objets. « Des dispositifs de sécurité comme les Secure Elements, qui permettent de protéger les clés peuvent être intégrés dans ce type d’environnement, avec un surcoût négligeable en termes de consommation énergétique », précise Guillaume Larrignon. En revanche, utiliser ce type d’élément se traduit par une hausse du prix, de l’ordre de 50 centimes à 1 €. « En fonction des cas d’usage envisagés, ce surcoût peut être parfaitement soutenable », estime Guillaume Larrignon.

« La cybersécurité est toujours une affaire de compromis », rappelle Guillaume Larrignon. Quel que soit le projet, il faut effectuer un arbitrage entre le coût des mesures de protection, les contraintes législatives et l’impact potentiel des menaces.

Concrètement, cela signifie que le coût de la sécurité et celui des risques doivent être pris en compte dans le calcul du retour sur investissement (ROI). « Dans les projets IoT, les entreprises souhaitent connecter un objet car elles estiment que cela va apporter de la valeur. Si cela coûte plus cher de connecter un objet que les bénéfices attendus, cela indique que le business case n’est pas valide », insiste Guillaume Larrignon.

S’il est impossible de sécuriser un environnement à 100%, le bon niveau est celui où l’effort nécessaire pour contourner les mesures de sécurité devient bien trop coûteux ou trop complexe à mettre en œuvre pour une majorité d’attaquants. La plupart sont en effet motivés par des raisons économiques. Les pirates aussi établissent des business cases : dès lors que l’investissement nécessaire pour percer un système est trop élevé, ce n’est plus rentable.

En synthèse, la sécurité d’un projet IoT doit donc être adaptée au cas d’utilisation, aux types d’objets et de données, à la dynamique d’émission des données et à l’ouverture éventuelle de l’environnement sur Internet. La sécurité d’une chaîne IoT est donc nécessairement unique et déterminée par le cas d’usage.

À retenir

Il faut penser la sécurité de la chaîne IoT le plus tôt possible pour en réduire le coût

Il n’est pas toujours nécessaire de tout sécuriser, néanmoins il faut considérer toute la chaîne

La sécurité doit être adaptée au cas d’usage