Guides Essentiels

IoT et sécurité : les clés pour comprendre l’évolution des pratiques

Introduction

Dès 2016, les botnets Mirai et ses variantes (Satori, Reaper, entre autres) ont permis de mettre le doigt sur les problématiques de sécurité IoT. Cet épisode particulièrement médiatisé – et qui pourtant n’a jamais pris réellement fin – avait entraîné un début de prise de conscience des industriels, en premier lieu les fabricants des appareils et gateways infectés par de tels réseaux zombies.

Pour autant, de par les particularités de l’internet des objets, assurer la sécurité des parcs d’appareils s’avère complexe. Et si la part des équipements connectés a augmenté dans le grand public ou dans les bureaux, depuis l’industrie s’est emparée du sujet. Il suffit d’observer les efforts des énergéticiens tels EDF ou Suez, mais également des industriels de la défense en la matière pour se rendre compte que la sécurité de l’IoT est devenue un enjeu critique. Or, là où l’intégration des objets connectés les plus courants peut s’apparenter à une problématique purement IT, l’IIoT implique un pont entre IT et OT.

Aussi, dans une usine des équipements et machines de différentes générations cohabitent : il faut prendre en compte les spécificités de plusieurs technologies de communication. Cela veut dire également qu’il n’est pas forcément possible de les mettre à jour une fois déployés. De plus, leurs capacités techniques limitées peuvent empêcher d’y exécuter des microprogrammes de sécurité ou des systèmes de chiffrement. Sans oublier les menaces purement physiques : certains équipements peuvent être installés sur des terrains distants et sont exposés à des risques de manipulation par des attaquants bien réels.

« Il est illusoire de vouloir proposer une lecture unique de la sécurité des objets connectés du fait de la diversité des situations rencontrées », écrivent les spécialistes de l’ANSSI dans un guide intitulé « Recommandations relatives à la sécurité des (systèmes d’) objets connectés ». Le document liste des conseils quant aux architectures matérielles et logicielles à mettre en place, l’instrumentalisation de la cryptologie et de l’authentification dans un tel contexte, la manipulation des données sensibles, la sécurité logicielle et matérielle, la protection des réseaux et la gestion du cycle de vie des dispositifs connectés. Mais comme le précise l’ANSSI, tout commence par une analyse des risques de laquelle découle l’application de ces diverses mesures plus ou moins strictes.

Or les entreprises se frottent à l’apparition de nouveaux concepts de sécurité qui, dans la bouche des éditeurs et fournisseurs, sont censés remplacer les anciens. Pourtant, en réalité, des solutions existantes en matière de gestion d’identité et de surveillance du réseau ont toute leur place dans une démarche de sécurisation de l’IoT. D’autres paradigmes, comme la supervision des logiciels, s’étendent désormais aux firmwares des objets connectés, même s’ils concernent en majorité des déploiements greenfield. C’est justement tout l’objet de ce guide essentiel qui vise à explorer les évolutions de ces trois volets – la gestion des identités, la surveillance du réseau et la supervision des vulnérabilités – au regard des pratiques des entreprises les plus conscientes de ces enjeux.

1Identité-

Les infrastructures PKI, toujours debout

Conseils IT

Les avantages et inconvénients de l’IoT pour les entreprises

Bien que l’utilisation de l’IoT dans les entreprises soit de plus en plus populaire en raison des indicateurs que l’on peut en tirer, la technologie comporte ses propres risques et défis. Lire la suite

Actualités

IoT : comment la PKI s’est imposée pour l’identité des objets connectés

Malgré des interrogations – il y a quelques années –, des défis, voire des divergences persistantes, les infrastructures à clé publique (PKI) se sont imposées dans le monde des objets connectés. Lire la suite

Actualités

La FIDO Alliance veut sécuriser les déploiements IoT

Après FIDO2, la FIDO Alliance s’intéresse à l’IoT avec sa spécification FIDO Device Onboarding. Son objectif ? Populariser une solution pour sécuriser le provisionnement sécurisé d’équipements connectés sur le terrain. Retour sur un projet lancé en 2019. Lire la suite

Actualités

FIDO Device Onboarding : forces et faiblesses d’un standard IoT

La FIDO Alliance compte bien convaincre les fabricants avec son standard sécurisé de déploiement IoT, FIDO Device Onboarding. Dans cet article, LeMagIT revient en détail sur le fonctionnement de ce protocole, ses limites et sur les différences avec une architecture PKI, plus classique. Lire la suite

Conseils IT

Comment gérer les identités des machines

Les entreprises doivent vérifier que les machines, applications et appareils disposent bien d’une identité propre et des droits d’accès appropriés pour leurs communications en tâche de fond. Lire la suite

2Réseaux-

Les méandres de la supervision IoT

Opinions

Pour EDF, la cybersécurité des SI industriels a besoin de coopération

Olivier Ligneul, le directeur cybersécurité d’EDF, en est convaincu : la protection des systèmes industriels passe nécessairement par une coopération au sein de l’écosystème. Les entreprises d’une même supply chain doivent en outre accepter de partager des données. Lire la suite

Conseils IT

Zero-trust : quatre étapes pour adapter le modèle à l’IoT

Le modèle zero-trust appliqué à l’IoT promet de renforcer l’identité des équipements et l’isolation des menaces à l’échelle, à condition de trouver un équilibre avec les périmètres de sécurité existants. Lire la suite

Conseils IT

Sécurité : quand la segmentation des réseaux IoT s’impose

À l’ère de l’IoT, les administrateurs IT doivent isoler les appareils, tels que les capteurs de température ou les caméras de surveillance, des autres applications et serveurs pour préserver la sécurité de leur réseau. Lire la suite

Projets IT

Industrie 4.0 : Fives CortX déploie Wallix Bastion sur ses gateways

Filiale dédiée au Big Data et à l’IoT du groupe Fives, Fives CortX a fait le choix de la solution Bastion de Wallix pour accroître le niveau de sécurité de sa solution d’analyse des données industrielles. Lire la suite

3Vulnérabilités-

Les nouvelles pratiques de sécurisation des firmwares

Actualités

Microsoft rachète ReFirm Labs pour chasser les vulnérabilités dans les firmwares IoT

Microsoft a annoncé le rachat la société de cybersécurité ReFirm Labs pour améliorer sa capacité à analyser la sécurité des microprogrammes (firmware) IoT. Lire la suite

Actualités

IoT et sécurité : avec Microvisor, Twilio parie sur l’avenir

Twilio prend son temps pour développer Microvisor. Cet hyperviseur sera au cœur de la plateforme de gestion de flottes IoT de l’éditeur américain, misant clairement sur la sécurité fournie par les microcontrôleurs de nouvelles générations. Lire la suite

Projets IT

Pour Parrot, la cybersécurité est un devoir et un atout concurrentiel

Le fabricant de drones Parrot adopte une approche security by design et privacy by design pour ses développements logiciels. Outre des audits, Parrot renforce la sécurité de ses produits via le recours à un programme de bug bounty. Lire la suite

Actualités

IoT : Ubuntu Core 20 s’aligne sur les exigences sécuritaires des industriels

Canonical a annoncé la disponibilité d’Ubuntu Core 20, une version allégée d’Ubuntu 20.04 LTS dédiée à l’IoT. L’éditeur entend multiplier les solutions de sécurité pour répondre aux exigences des spécialistes du développement embarqué. Lire la suite

Close