Blog GlobalSign

05 sept. 2017

Internet des Objets : définition et application d’une politique de sécurité

La sécurité de l'Internet des Objets (IoT) est sans aucun doute l'une des préoccupations majeures à l’heure actuelle. La question nous impacte tous — consommateurs, fabricants, entreprises de toute taille et pouvoirs publics. Qui plus est, l’absence de recommandations, de standards et de règles entretient la plus grande confusion sur le marché. Certes, certains frameworks de sécurité IoT sont actuellement développés, mais ils sont à différents stades d’avancement. Et surtout, ils sont spécifiques à certains secteurs d'activité et ne relèvent, pour la plupart, que des bonnes pratiques.

Dans un document intéressant sur les politiques de cybersécurité pour l’Internet des Objets (« Cybersecurity Policy for the Internet of Things »), Microsoft expose le besoin de règles et de politiques de cybersécurité pour l’Internet des Objets. Avec la disparition des frontières entre les mondes physique et digital, les cyberattaques prolifèrent ; la mise en place de règles devient donc indispensable. La firme de Redmond poursuit avec l'idée d’une collaboration entre le public et le privé autour des politiques et lignes directrices à élaborer afin de répondre aux enjeux de l’IoT et d’en améliorer la sécurité.

Sécurité : les interrogations de la communauté d'utilisateurs de l'IoT

Ce document aborde la cybersécurité de l’IoT du point de vue des utilisateurs. Microsoft s’attache à trois communautés distinctes : les consommateurs, les entreprises et les pouvoirs publics. Les problématiques de cybersécurité IoT ne sont pas les mêmes dans chacune de ces communautés. En partant du principe que les responsables de l’élaboration des politiques cernent les préoccupations de chaque groupe d’utilisateurs, les questions de sécurité peuvent être traitées sans brider l’innovation IoT.

Consommateurs

Au quotidien, nous utilisons de plus en plus d’objets connectés : textiles et accessoires intelligents, équipements de domotique ou automobiles, la liste est longue. L’usage d'un équipement IoT grand public se définit par (1) l’utilisation d'un appareil partagé doté d'une puissance de calcul limitée, (2) les interactions avec des données via une application cloud et (3) la communication de données potentiellement sensibles dans le but de profiter des avantages de l'objet connecté. Leurs données étant personnelles et parfois sensibles, les consommateurs s'inquiètent de la sécurité de leurs informations privées et confidentielles.

Entreprises

Les entreprises qui adoptent l'Internet des Objets dans l’entreprise s’appuient sur l’innovation pour améliorer leurs processus métiers, enrichir l’expérience des utilisateurs et résoudre certaines problématiques. Même si les entreprises se sont toujours préoccupées des vulnérabilités qui risquaient d’exposer des données personnelles, la question de la sécurité dans l'IoT est autrement plus vaste. La dépendance vis-à-vis de l’intégrité et de la disponibilité des données, l’augmentation de vecteurs de menaces comme les attaques par DDoS, la gestion des mises à jour de sécurité et la conformité réglementaire sont autant de sujets de sécurité à aborder. L’interopérabilité et la sécurisation de l'écosystème de l'IoT revêtent une importance capitale.

Pouvoirs publics

Le rôle de l’IoT continue à croître avec la mise en place d’un plus grand nombre d'objets connectés par les pouvoirs publics qui cherchent ainsi à améliorer les services offerts aux citoyens. Malgré des exigences de sécurité propres au public, les questions de sécurité IoT dans les pouvoirs publics ressemblent à celles du privé. La résilience des infrastructures publiques face aux menaces, ainsi que les critères de pérennité et de prévisibilité sont aussi importants pour la sécurité IoT.

La sécurisation de l'écosystème IoT dépend de certains rôles clés

Les écosystèmes IoT sont propres à chaque communauté d'utilisateurs. Fabricants et intégrateurs, développeurs, professionnels du déploiement et opérateurs participent tous au bon fonctionnement de ces écosystèmes. Microsoft évoque la manière dont chacun de ces rôles contribue à renforcer la sécurité de l'IoT et peut permettre aux responsables de l’élaboration des politiques de mieux cerner la complexité et les responsabilités inhérentes à la sécurité d’un écosystème IoT.

La sécurité doit être intégrée au niveau de chaque rôle : qu'il s’agisse de la fabrication d’appareils plus sécurisés, du développement de plateformes et de systèmes plus sûrs, de la connexion et l'installation d’appareils et de logiciels dans le respect des bonnes pratiques de sécurité, de la garantie d’intégrité des mises à niveau et de la maintenance opérationnelle.

À tous les niveaux, l’authentification, le chiffrement et l’intégrité jouent un rôle crucial dans le maintien de la sécurité de l’écosystème IoT. Nous sommes entièrement d'accord avec Microsoft sur ce point puisque les certificats numériques constituent le socle de la sécurité de l’IoT. Pour en savoir plus, vous pouvez lire cet article sur notre blog : «?La sécurité IoT commence avec l’identité?».

Un cadre pour faire avancer la sécurité IoT

L’établissement de règles et de directives bien définies et universelles permettra d’améliorer la sécurité des écosystèmes IoT. Microsoft propose que les pouvoirs publics travaillent main dans la main avec les organismes de normalisation et de certification, et le secteur privé pour instaurer des directives visant à développer l’utilisation de bonnes pratiques de sécurité IoT — l’objectif étant de garantir la sécurité et la sûreté, et de protéger la vie privée. Comme le préconise Microsoft, les pouvoirs publics peuvent :

  • servir de catalyseur au développement de bonnes pratiques de sécurité IoT ;
  • établir des partenariats interdisciplinaires encourageant la collaboration entre les secteurs public et privé, et la coopération entre les institutions ;
  • soutenir les initiatives transfrontalières permettant d’améliorer la sécurité de l’IoT.

Le projet Plattform Industrie 4.0 est un exemple de collaboration entre le public et le privé cité par Microsoft. Dans le cadre de ce projet, des entreprises des secteurs public et privé travaillent à la création d’un framework IoT incluant la sécurité IoT dans l’industrie. Lors du dernier salon professionnel de Hanovre, GlobalSign a participé à une démonstration sur la sécurité de l’IoT dans un contexte multi-fournisseurs dans le cadre du projet Plattform Industrie 4.0 et de l’Industrial Internet Consortium. La démonstration en direct a présenté comment sécuriser les communications dans les environnements de production distribués qui font intervenir plusieurs fournisseurs.

Ce type de collaboration est nécessaire pour définir les directives et les règles standard qui permettront de faire évoluer la sécurité de l’IoT. Nous ne pouvons tout simplement pas nous appuyer sur des groupes disparates qui définissent leurs propres frameworks. Cela ne ferait qu’ajouter à la confusion autour de la sécurisation de l’Internet des Objets.

Nous vous invitons vivement à lire le rapport de Microsoft intitulé Cybersecurity Policy for the Internet of Things. Qu’est-ce qui vous inquiète dans la sécurité de l’IoT ? À votre avis, qui devrait se charger de définir et faire appliquer les consignes et règles de sécurité dans l’IoT ? Dites-nous ce que vous en pensez !

Partager ce blog