Les objets connectés ont souvent été épinglés pour leurs défauts en matière de sécurité. Pourtant, l’écosystème de l’IoT a plus que jamais besoin d’installer la confiance, alors que son développement s’accélère. Et depuis 2016, la donne change petit à petit.
En 2016, le monde découvre que des services numériques de grandes entreprises peuvent être mis en défaut par… des caméras de surveillance. En France, cette année, l’hébergeur OVH connait une attaque majeure par déni de service distribué (DDoS) évaluée à 1 Tbits/s. Dans les semaines qui suivent ce sont Netflix, Airbnb ou encore Twitter qui connaissent des interruptions de services remarquées. Le public découvre alors « Mirai », un logiciel permettant de former des botnets (réseaux de « robots » informatiques connectés à Internet) pour mener ces attaques.
A lire aussi : L’urgence de la sécurisation de nos vies numériques, rencontre avec Olivier Beaudet
Mirai, dont le code source est publié par ses créateurs à cette époque et mis à disposition des hackers du monde entier, a la particularité de scanner les vulnérabilités des objets connectés pour les enrôler de force et utiliser leurs puissances informatiques respectives, limitées unitairement mais conséquente une fois additionnées, pour mener ses attaques. Et ce sont en particulier les routeurs internet des particuliers ou encore les caméras connectées servant à la vidéosurveillance, qui se retrouvent ainsi mis à contribution d’ambitions criminelles, contre le gré de leurs propriétaires.
Les conséquences d’un développement rapide du marché
Ces évènements mettent en évidence ce que de nombreux spécialistes savent déjà : l’IoT (Internet of Things, « l’internet des objets », NDLR) est le plus souvent synonyme de passoire en termes de sécurité. Le développement extrêmement rapide des marchés qui lui sont liés dans les années 2010, alors que tous les objets du quotidien deviennent progressivement connectés, ne s’est pas embarrassé des bonnes pratiques du « security by design » qui sont vues comme une source d’augmentation des coûts et surtout les délais de conception des produits. En effet, pour les fabricants, la prime à la nouveauté et celle obtenue en étant les premiers sur un marché, sont bien trop importantes : les risques liés à la réputation sont donc une préoccupation pour le futur… Et la zone grise réglementaire concernant les responsabilités achève de marginaliser le sujet. L’argument du « quel intérêt pour un hacker de pirater mon objet connecté individuel ? » fait aussi mouche auprès du grand public, avide d’innovations. Mais comme l’a prouvé Mirai, il n’est pas seulement question de sécurité individuelle : ses propres objets peuvent être utilisés pour nuire à quelqu’un d’autre, à l’autre bout de la planète.
Quelques années plus tard, les conséquences de cette euphorie initiale se font cruellement sentir. Outre les impacts ressentis d’attaques comme celles portées par Mirai à partir de 2016, l’accessibilité des failles de l’IoT marque les esprits : un portail de recherche comme Shodan est régulièrement mis en avant pour montrer à quel point il est facile pour n’importe qui de détecter et localiser un objet connecté au réseau et, par extension, les limites de sa sécurité. C’est ainsi en tout logique que s’installe une défiance grandissante vis-à-vis des objets connectés ; à la limite de la schizophrénie face à la croissance du secteur. Dès 2018, une étude menée par OpiniumResearch auprès de 10 000 personnes dans le monde montre que l’IoT intimide et n’inspire pas confiance, que ce soit pour sa présence dans les véhicules, les habitations ou dans la santé. L’enquête met en exergue qu’au-delà de la problématique de la sécurité, c’est une crainte générale concernant le manque de fiabilité et de performance des outils qui contribue au malaise.
Une adaptation des pratiques de sécurité
Pourtant, la confiance est un élément central nécessaire au bon développement de l’économie, en particulier quand le numérique s’impose de plus en plus dans l’équation. D’autant que l’IoT s’installe aussi durablement dans l’environnement des écosystèmes BtoB complexes, impliquants de nombreux partenaires différentes jusqu’à l’utilisateur final, comme dans le cas de la voiture connectée. A la clé, ce sont de plus en plus de données qui sont récoltées et analysées, à tous les niveaux de la chaine de valeur.
Les fabricants ont aujourd’hui une meilleure perception de la problématique. Une enquête menée par PwC Luxembourg dans la prolongation de la prise de conscience Mirai, a mis en avant qu’environ les deux tiers des acteurs avaient mis en œuvre des évaluations de sécurité de leurs offres. Au programme, ce sont autant des analyses techniques qu’un effort sur la formation de leur salarié qui ont pu être menés. De manière générale, la sécurité de l’IoT doit en effet couvrir un spectre assez large de pratiques : de la sécurisation des capteurs eux-mêmes et de leur fonctionnement jusqu’à la sécurisation des accès, en passant par la protection des données stockées et en transit.
Dans un avis d’expert consacré au sujet, Arnaud Le Hung, Senior Channel Account Manager, France & Iberia de BlackBerry résume l’enjeu pour 2023 : « Il y a actuellement plus de 30 milliards de dispositifs IoT utilisés dans le monde entier, et nous devons dissiper le mythe selon lequel les menaces proviennent toujours de l’extérieur. […] La façon dont les données sont créées, collectées et communiquées est en train de changer : chaque objet connecté a désormais sa propre adresse IP. Étant donné que le réseau massif d’objets connectés nécessite une interopérabilité entre les systèmes, les entreprises doivent sensibiliser les employés au fait que l’IoT introduit des risques sans précédent autant pour la sécurité que pour le respect de la vie privée. Les employés des administrations et des entreprises doivent se rendre compte que des acteurs malveillants peuvent désormais accéder à des données à partir de n’importe quel appareil, n’importe où et en temps réel. »
L’IoT de plus en plus présent dans les entreprises nécessite d’accompagner les collaborateurs
Selon une étude IDC réalisée pour Kyndryl en décembre 2022, le passage à l’échelle de l’IoT dans les entreprises françaises est pour l’heure limité, et seules 20 % d’entre elles ont déployé plusieurs projets. Mais 86% des entreprises ont cependant entamé une démarche IoT et près d’une sur deux prévoient d’étendre ces démarches avec une hausse de budget dans les deux ans. Les cas d’usages concernent avant tout la gestion des stocks et des inventaires (57% des déploiements), l’optimisation des chaines de production (48%) ou encore la traçabilité des composants (48%). « Les capteurs sont la face émergée de l’iceberg » note en parallèle de cette étude, Nicolas Sekkaki, General Manager de la practice mondiale Application, data & AI de Kyndryl. Il souligne que les efforts à mener sont globaux : « Le passage à l’échelle des démarches IoT nécessite une approche industrielle et holistique : network & edge, data & IA, gestion du cloud hybride et cyber-résilience, sans oublier le co-design. Il est ainsi essentiel d’intégrer l’ensemble des parties prenantes dans les cycles d’innovation et de décision pour réussir les déploiements et l’impact métier dans la durée ».
Cependant, c’est aussi l’exigence des consommateurs qui permettra de faire changer la donne et de progressivement gérer plus de confiance. Le site officiel Cybermalveillance.fr liste ainsi 10 pratiques à mettre en œuvre en tant qu’utilisateurs, parmi lesquelles une attention portée sur les mises à jour des équipements, les changement des mots de passe ou encore le paramétrage des solutions. L’agence nationale de la sécurité des systèmes d’information (Anssi) a également publié son propre guide de recommandations. Des pratiques qui peuvent permettre d’accompagner en particulier les entreprises et leurs salariés.
A ce titre, Arnaud Le Hung donne quelques conseils : « un moyen efficace de promouvoir la sensibilisation aux vulnérabilités de l’IoT est d’informer les employés de leurs responsabilités dès le premier jour. D’ailleurs, l’adaptation des processus et des politiques de cybersécurité dans le cadre de l’intégration dans l’entreprise est une bonne méthode pour éduquer les utilisateurs. En plus des programmes de formation réguliers et obligatoires que tous les employés devraient suivre, l’organisation d’exercices de cybersécurité tels que des simulations de gestion de crise peut sensibiliser, préparer et finalement réduire les impacts des événements critiques. Enfin, les entreprises doivent veiller à ce que la formation à la sécurité IoT soit ciblée et facile. Partager des détails non pertinents et déroutants sur les menaces des vulnérabilités IoT peut être contre-productif. Les communications doivent rester simples, concises et faciles à comprendre, car tous les employés ne sont pas des experts IT. » Il met en garde par ailleurs sur la rencontre entre deux phénomènes : la croissance du télétravail et l’utilisation de plus en plus importantes de domotiques et de plateformes IoT au domicile, ce qui fera apparaître dans les mois et années à venir des nouvelles interactions et problématiques de sécurité et de confiance en milieu professionnel.
Dans les années à venir, l’Union Européenne pourrait aussi de son côté faire profondément bouger les lignes. Son Cyber Resilience Act a en effet, en première intention, retenu les objectifs les plus ambitieux de son projet de travail, pour inclure largement toute forme d’objets connectés dans ces nouvelles exigences de sécurité. Sans cibler directement l’IoT en tant que tel, le dispositif réglementaire vise bien en premier lieu à renforcer la confiance dans une économie de produits et de services numériques dont les usages et les conséquences de long termes préoccupent de plus en plus les citoyens de l’UE.