La sécurité des objets connectés

La sécurité des objets connectés

Quels sont les risques pour les objets connectés ?

Bernard Ourghanlian : 70% des appareils IoT (internet des objets) sont vulnérables à des attaques et en particulier les objets destinés au grand public. Cela peut avoir des conséquences sur les grandes entreprises et les plus grands systèmes informatiques.

Je pourrais citer de nombreux exemples qui ont défrayé la chronique ces derniers temps. Rien que l’année dernière, on a recensé des attaques sur des véhicules, des drones, des caméras, des jouets, etc. En octobre 2016, une attaque informatique par déni de service d’une grande ampleur a touché la société américaine Dyn. Conséquence : les plus grands opérateurs de services de l’Internet ont été paralysés et le Libéria totalement coupé d’Internet. Les coupables seraient une centaine de milliers d’objets connectés infectés par MIRAI, un botnet. Cela montre bien les failles criantes de ces objets.

Comment sécuriser de bout en bout un environnement de plus en plus connecté ?

B.O. : La sécurité des objets connectés est plus complexe que la sécurité traditionnelle des technologies de l’information (IT). Les standards et les règlementations concernant la sécurité des objets connectés arrivent de façon balbutiante. On peut prendre comme exemple les hôpitaux britanniques qui ont été paralysés plusieurs jours par un virus en novembre 2016. Un moyen d’agir aurait été d’autoriser les objets connectés à corriger leurs failles sans supprimer leur garantie. Cela nécessite que l’ensemble des acteurs collaborent et travaillent ensemble. Il faut faire tomber les murs entre l’information et l’opérationnel technologique.

Agora Mag En Toute Sécurité : Quelles bonnes pratiques recommanderiez-vous aux directeurs sécurité ?

B.O. : Pour résoudre ce genre de problème, il faut avoir une approche globale fondée sur les rôles et les responsabilités de chacun.

Des pratiques de sécurité doivent être fixées pour chaque acteur : constructeurs hardware ou intégrateurs, développeurs, déployeurs ou opérateurs de solutions. Pour ne pas passer à côté du sujet, il est indispensable de penser une sécurité de bout en bout : sécurité de l’objet, de la connexion, du cloud.

Mes recommandations en matière de politique de sécurité sont multiples : promouvoir le développement de standards de sécurité, notamment concernant les attaques physiques. Mais aussi sensibiliser vos collaborateurs aux meilleurs pratiques et aux meilleures directives.

Il est primordial de prendre le temps de modéliser les menaces les plus pertinentes ainsi que leurs conséquences (sur la société, les clients, les infrastructures) et d’élaborer une stratégie d’évaluation de votre sécurité (les bonnes atténuations des risques aux bons moments). Tout cela sans oublier la question de la vie privée.