Comment sécuriser les IoT ?

Les entreprises déploient de plus en plus de capteurs afin de réaliser des analyses dédiées à l’optimisation des processus ou pour effectuer de la maintenance prédictive. Mais cette intégration au Système d’Information peut entraîner des fuites de données ou une prise de contrôle par un pirate…

Augmentation de la productivité, automatisation des processus, maintenance prédictive, diagnostic intelligent… Les capteurs industriels vont envahir l’entreprise qui va devenir une « smart factory ». L’intégration du réseau industriel au Système d’Information (SI) va doper le marché mondial qui devrait atteindre 933,62 milliards de dollars d’ici 2025, contre 109 milliards en 2016, selon un rapport de Grand View Research.

Focalisés sur l’efficacité opérationnelle, les professionnels, mais aussi les fabricants d’ IoT, négligent un critère essentiel : la sécurité informatique. Interrogés par Ponemon, 58 % des DSI et responsables IT se disent inquiets tout en reconnaissant qu’aucune mesure n’est prise pour empêcher ce type d’attaque. Or, les risques sont réels et peuvent avoir des impacts majeurs sur la production de l’entreprise, la confidentialité de ses données, sans parler de la sécurité physique des salariés travaillant près de robots.

En 2016, deux chercheurs de Pen Test Partners ont pris le contrôle d’un thermostat et ont incité la victime à installer une application tierce. Celle-ci cachait un code malveillant de type ransomware ! Si la personne ne payait pas la rançon, le pirate pouvait augmenter ou baisser à l’envie la température. Certes, il s’agissait d’une démonstration organisée lors d’une conférence sur la cybersécurité, mais imaginez la même chose avec un industriel travaillant dans l’agroalimentaire et qui doit respecter la chaîne du froid…

Une authentification trop faible

Mal intégré au SI, un capteur industriel peut être également une porte d’entrée pour accéder à des données sensibles ou entraîner le dysfonctionnement du réseau d’électricité ou d’eau. Des stations d’épuration en ont déjà fait les frais aux États-Unis…

Cette connectivité ouvre donc la porte à des nouveaux risques de cybersécurité. Mais pour l’instant, les fabricants privilégient les optimisations directement liées à l’usage de leurs produits. Ils doivent être relativement petits, peu onéreux et légers afin de faciliter leur intégration. « Ils s’appuient sur des protocoles qui consomment peu de bande passante (ou d’énergie) ou qui sont très rapides. Revers de la médaille, leur niveau de sécurité est assez faible », constate Hervé Debar, professeur à Télécom SudParis, responsable du département Réseaux et Services de Télécommunications (RST). L’un des principaux problèmes est en effet l’utilisation de chiffrements et de schémas d’authentification faibles.

Mais comment les DSI peuvent-ils renforcer la sécurité de ces petites boîtes noires « propriétaires » ? Comment surveiller ces multiples capteurs quand ils sont très nombreux et qu’il devient parfois très difficile d’accéder physiquement à chaque appareil pour réparer des défauts ? Et comment gérer les cycles de vie ?

L’IoT en étant encore à ses prémisses, les entreprises doivent se tourner vers les fournisseurs de solutions de sécurité ayant développé des gammes spécialement conçues pour l’ IoT avec des technologies de connectivité adaptées et sécurisées.
Le défi consiste à trouver la bonne sécurité pour chaque cas d’utilisation.

L’une des règles de base est néanmoins de segmenter son réseau. La mise en place de plusieurs zones tampons autour des systèmes de contrôle industriels permet de limiter l’impact d’une infiltration ou d’une attaque de type ransomware.
Votre priorité doit néanmoins être de mettre en place une équipe de sécurité transverse, dont les membres appartiendront à plusieurs services : sécurité IT, ingénierie, opérations, et jusqu’au fournisseur du système de contrôle. Les automaticiens et les informaticiens doivent travailler ensemble.

Cette cohabitation est indispensable. Applicable en mai 2018, le nouveau Règlement européen sur la protection des données à caractère personnel (RGPD, ou GDPR en anglais) va obliger les entreprises (mais aussi les fabricants d’ IoT) à intégrer, dès l’ébauche d’un projet, les aspects juridiques, techniques et organisationnels. Des améliorations sont donc à espérer.

Pour en savoir plus : www.sage.fr

Sur le même sujet :

Partager sur :

Réagissez Abonnez-vous à la newsletter

Nous vous conseillons de lire également ces articles