[Avis d’expert] Quelle sécurité pour l’internet des objets ?

C’est désormais une évidence : le futur de l’industrie est fait de données. Tous les secteurs de l’économie sont progressivement transformés par la multiplication des objets connectés. Appareils domestiques, voitures, infrastructures logistiques ou encore chaînes de production sont désormais équipés de capteurs permettant de monitorer leur activité en temps réel et d’optimiser leur fonctionnement ou de leur attribuer de nouvelles fonctions.

Pourtant, une transformation de cette ampleur peut-elle être envisagée sans que la question de sa sécurité ne soit abordée ? L’Internet des objets est une source de nouvelles opportunités mais également de nombreux risques. Les identifier et les prévenir représente un prérequis indispensable pour les industriels qui voudraient être partie prenante de cette nouvelle révolution technologique. Voici quelques pistes pour aborder cette question complexe mais particulièrement stratégique.

Développer une culture de la sécurité

Bien plus qu’au talent des pirates, la plupart des failles sont dues aux négligences d’utilisateurs mal formés ou peu attentifs aux questions de sécurité. Ce constat valait pour les réseaux informatiques traditionnels, il est encore plus pertinent lorsqu’il s’agit d’internet des objets. La généralisation des usages mobiles et des équipements techniques nécessitant une connexion web a multiplié les risques d’une négligence potentiellement critique pour l’ensemble d’un réseau.

La vulnérabilité des systèmes connectés réside ainsi bien plus dans leurs aspects humains que dans leur conception technique. Réduire cette vulnérabilité implique de construire au sein de chaque entreprise une véritable culture de la sécurité. Autrement dit, un ensemble de connaissances, de règles et de bonnes pratiques entièrement tourné vers la prévention des risques numériques. De la sélection des mots de passe au suivi du parc d’appareils mobiles en passant par l’usage du cryptage ou la prévention du phishing, tous les savoir-faire informatiques nécessaires à la sécurisation du réseau pourront ainsi devenir un socle culturel commun à tous les salariés en contact avec les dispositifs connectés.

Généraliser le chiffrage de bout en bout

Une étude menée en 2020 par Palo Alto Networks a révélé que 98% du trafic des appareils IoT ne faisait l’objet d’aucun cryptage. Une situation d’autant plus alarmante qu’en matière d’objets connectés, un seul point de faiblesse peut parfois compromettre l’ensemble d’un réseau et ainsi permettre la perte de données sensibles. C’est ainsi que, selon la même étude, 57 % des appareils IoT seraient vulnérables à des attaques de gravité moyenne à élevée.

Le chiffrage de bout en bout apparait dès lors comme l’unique solution pour ces réseaux potentiellement porteurs de données personnelles, sensibles ou critiques. Mais une telle pratique demande de penser les réseaux dans leur globalité et parfois de les remettre à plat entièrement pour intégrer l’exigence de sécurité et de cryptage à leur structure même. C’est notamment via un tel processus que l’usage du protocole LoRaWAN tend à se démocratiser : ce type de réseau à bas débit et basse consommation, particulièrement adapté aux systèmes de capteurs, transporte généralement des données cryptées nativement et contribue ainsi à réduire drastiquement les risques de faille.

L’apport de la biométrie

La gestion des identités est, dans le domaine de l’internet des objets, particulièrement décisive. L’accès à chaque objet connecté doit en effet faire l’objet d’un contrôle d’identification pour que la sécurité globale du réseau soit assurée. La biométrie est aujourd’hui l’une des principales pistes explorées par les spécialistes de la cybersécurité pour permettre une authentification fiable des utilisateurs de ces réseaux. Empreintes digitales, oculaires ou vocales peuvent ainsi servir de sésame pour accéder aux données d’un appareil. Mais une démarche de ce type pose également la question hautement sensible de la sécurisation des données biométriques. Un domaine en plein développement grâce, notamment, aux apports de la blockchain.

Comme le montre le retard du chiffrement des données, la sécurisation de l’internet des objets accuse un important retard. Prendre au sérieux ce problème et commencer dès maintenant à construire une culture de la sécurité tenant compte de ces nouveaux enjeux doit donc être une priorité. Pour les industriels, l’internet des objets ne pourra porter pleinement ses fruits que si les risques qui l’accompagnent sont compris et anticipés.