Sécuriser les objets connectés pour un usage plus fiable et pérenne

12 mars 2024

Récemment, l’opinion nationale française a été surprise par l’histoire d’Elodie, lyonnaise de 35 ans. Elodie a été sauvée par sa montre connectée à l’issue de malaises dont elle ignorait la cause. Entre battements cardiaques trop élevés et taux d’oxygène anormaux, sa montre connectée n’a jamais cessé de sonner. Ces 2 symptômes expliqués par la jeune dame en consultation à la demande du médecin, ont permis d’alerter les services d’urgence. Le diagnostic final était alarmant : Élodie souffrait d’une hémorragie interne, un saignement gastro-intestinal. Heureusement, grâce aux signaux d’alerte émis par son bracelet connecté, qui surveillait sa fréquence cardiaque et son taux d’oxygène, elle a pu être prise en charge à temps et recevoir une transfusion sanguine. Sans cet outil technologique, la situation aurait pu être catastrophique.

L’histoire d’Élodie illustre l’usage vital que les populations peuvent désormais faire des objets connectés. Ces derniers, dotés de fonctionnalités multiples, sont aujourd’hui pour la plupart connectés à internet, formant un écosystème que l’on appelle communément l’internet des objets (IoT).

Définition de IoT

L’internet des objets (IoT) est un réseau de “choses” physiques (objets, véhicules, bâtiments, etc.) qui sont dotés de capteurs, de logiciels et de connectivité réseau. Ces objets peuvent collecter et échanger des données entre eux et avec des systèmes externes via internet. L’internet des objets (IoT) est partout. On le retrouve dans notre maison, nos voitures, nos montres, nos téléphones et même dans nos bâtiments. Cette technologie permet de connecter des objets physiques à internet, les rendant ainsi accessibles et contrôlables à distance.

L’IoT a un impact considérable sur notre vie quotidienne. Il nous permet de suivre et de gérer nos biens de consommation, d’automatiser des tâches et de collecter des données précieuses.

Principe de fonctionnement de l’IoT

Selon SAP France, leader du marché des applications d’entreprise, le fonctionnement de l’IoT tourne autour de 4 axes majeurs : 

Capture des données : grâce aux capteurs, les terminaux IoT capturent les données dans leurs environnements. Une tâche qui peut être aussi simple qu’un relevé de températures ou aussi complexe qu’un flux vidéo en temps réel.

Partage des données : à l’aide des connexions réseau disponibles, les terminaux IoT envoient ces données à un système cloud public ou privé (terminal-système-terminal) ou à un autre terminal (terminal-terminal), ou les stockent localement à des fins de traitement en périphérie.

Traitement des données : à ce stade, le logiciel est programmé pour lancer une action sur la base de ces données, comme allumer un ventilateur ou envoyer un avertissement.

Exploitation des données : les données collectées de tous les terminaux d’un réseau IoT sont analysées. Il en ressort de solides insights1 qui aident à prendre des décisions et des mesures en toute confiance.

L’exemple le plus pratique de l’Iot est celui des maisons intelligentes dont l’éclairage, le réglage de la température, le monitoring des systèmes de sécurité et de l’électroménager peuvent se faire à distance par le biais d’un smartphone.

Quelques chiffres clés sur l’IoT :

L’internet des objets (IoT) connaît une croissance exponentielle. En 2020, il y avait déjà près de 9 milliards d’objets connectés dans le monde. Selon les estimations de Orange, ce chiffre devrait dépasser les 25 milliards d’ici 2030. Cet essor est soutenu par les investissements massifs des entreprises. D’ici 2025, les investissements cumulés dans l’IoT devraient atteindre 150 000 milliards de dollars. Le marché de l’IoT 5G, qui représente une nouvelle génération de connectivité pour les objets connectés, est également en plein essor et devrait atteindre près de 286 milliards de dollars d’ici 2030.

Ces chiffres clés illustrent le potentiel immense de l’IoT. Cette technologie a le pouvoir de transformer de nombreux aspects de notre vie quotidienne, de la domotique à la santé en passant par l’industrie et le transport.

Défis de l’IoT

Même si cette technologie a de beaux jours devant elle, plusieurs défis restent à relever selon la multinationale Alcatel-Lucent. L’hétérogénéité des normes2 et les protocoles3 : caractérisée par le type de dispositif (filaire ou non filaire), le débit de diffusion des données et le mode de communication des équipements. La sécurité et la fiabilité des réseaux au regard des politiques de sécurité en vigueur dans les organisations concernées et des standards internationaux. Le renforcement des mesures de sécurité et des capacités des réseaux (en continu) afin de réduire au minimum les risques d’intrusion malveillante et d’améliorer les performances des dispositifs IoT (fréquence, débit).

L’écosystème IoT est aujourd’hui victime de son succès : le nombre croissant d’objets connectés à internet et des données collectées par ces terminaux suscitent l’appétit des cyber attaquants. De fait, la non prise en compte des enjeux liés à cette technologie pourrait exposer les organisations qui y sont connectées à plusieurs menaces.

Usage de l’IoT : Exposition aux menaces

Ci-dessous, une liste (non exhaustive) d’attaques récurrentes survenues sur ces systèmes au cours de ces dernières années :

  • Les attaques de déni de service4

En 2020, les entreprises ont été victimes de ce type d’attaque : un peu plus de 10 millions d’attaques enregistrées dans le monde selon Netscout, vendeur des logiciels de surveillance réseau et de sécurité réseau. Cette attaque a eu pour conséquences le blocage des communications, la difficulté dans la récolte et le traitement de données et des infrastructures sous-jacents à tout projet IoT.

  • Attaque par malware5

Selon une étude récente de SonicWall, expert en solutions de cybersécurité, une augmentation de 30% du nombre d’attaques par malware visant l’IoT a été constatée en 2020 pendant la crise sanitaire du COVID-19. Par ailleurs, ces attaques ont altéré le fonctionnement des services Cloud.

Sécurité des IoT

Parmi toutes les mesures de sécurité prévues pour les systèmes connectés, il a été convenu de s’inspirer du guide des recommandations relatives à la sécurité des systèmes d’objets connectés de l’ANSSI6 en raison de son approche holistique et de sa déclinaison au sein de toutes les composantes de l’écosystème IoT : l’architecture technique7 du système connecté et les propriétés de sécurité attendues sur la base d’une analyse de risques. Les recommandations techniques sur la base des infrastructures8 sous-jacents au système connecté (matérielles et logicielles) et la mise en œuvre des mesures de sécurité sur ces infrastructures.

En guise de conclusion, la pérennité des IoT n’est pas la résultante d’un ensemble de mesures génériques mais plutôt de plans d’actions définis en fonction des actifs informatiques concernés. Il convient de mettre en œuvre ces actions de façon régulière afin d’être en amélioration continue sur le traitement des risques liés à l’écosystème IoT.

Par Brice KOFFI

  1. Résultats d’analyses de données dans ce contexte. ↩︎
  2. Une norme dans le secteur informatique est une spécification technique émise par un organisme de normalisation et destinée à harmoniser l’activité d’un secteur. ↩︎
  3. Un protocole informatique est un ensemble de règles qui régissent les échanges de données ou le comportement collectif de processus ou d’ordinateurs en réseaux ou d’objets connectés. Un protocole a pour but de réaliser une ou plusieurs tâches concourant à un fonctionnement harmonieux d’une entité générale. ↩︎
  4. Une attaque en déni de service ou DDoS vise à rendre inaccessible un serveur afin de provoquer une panne ou un fonctionnement dégradé du service. ↩︎
  5. Les malwares sont définis par leur intention malveillante, agissant contre les exigences de l’utilisateur de l’ordinateur. Les malwares sont utilisés à la fois par les pirates et les gouvernements pour voler des renseignements personnels, financiers ou commerciaux. ↩︎
  6. L’Agence nationale française de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Placée sous l’autorité du Premier ministre et rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), elle bénéficie d’un positionnement lui permettant de déployer une politique globale de cybersécurité et d’en assurer la coordination à l’échelle interministérielle. ↩︎
  7. L’architecture technique est une vue tournée vers les différents éléments matériels et l’infrastructure dans laquelle le système informatique s’inscrit, les liaisons physiques et logiques entre ces éléments et les informations qui y circulent. ↩︎
  8. L’infrastructure informatique regroupe l’ensemble des équipements matériels (postes de travail, serveurs, routeurs, périphériques…) et des logiciels (ERP, CRM, messagerie, réseau…) d’une entreprise. Elle représente l’agencement entre les différentes applications, le service de stockage et le réseau d’entreprise. ↩︎