5 raisons pour lesquelles la sécurité de l'IoT est difficile

La sécurité de l'Internet des objets, ou IoT (Internet of Things) n'est plus une considération secondaire

L'IoT – smartphones, imprimantes multifonctions, maisons connectées, voitures autonomes, etc – est partout. C'est une bonne nouvelle. La mauvaise nouvelle, c'est que : Les pirates informatiques et les cyber-voleurs savent comment attaquer ces appareils pour accéder à vos données ou à vos systèmes de contrôle industriels.

Pire encore, de nombreux capteurs, actionneurs, contrôleurs et dispositifs informatiques sont connectés à la plupart des infrastructures essentielles dans le monde. La plupart de ces appareils ont été conçus bien avant que les pirates informatiques et les intrusions électroniques ne pénètrent dans nos consciences. Cela signifie que les réseaux électriques intelligents, les centrales nucléaires, les centres de commandement militaires, les installations intelligentes des villes et les systèmes de transport – pour ne citer que quelques exemples – représentent des cibles importantes pour les pirates et les autres mauvais acteurs.

C'est pourquoi les concepteurs, les opérateurs, les fournisseurs et les utilisateurs des systèmes IoT actuels n'ont plus le luxe de privilégier la flexibilité et l'interopérabilité dans leurs conceptions de l'IoT. Désormais, la sécurité et la confidentialité de l’Internet des objets doivent être au centre des préoccupations.

Les chercheurs de PARC, une entreprise de Xerox, l'ont remarqué. De ce fait, l'une des missions de PARC consiste à développer des solutions de sécurité innovantes qui empêchent les attaques sur les flottes de périphériques cyber-physiques faisant partie du monde plus vaste de l'Internet des objets.

Ersin Uzun et Shantanu Rane, chercheurs à PARC, définissent le problème :

Les contrôles industriels : À l'origine limités à leur environnement physique, ces appareils sont désormais connectés à des réseaux informatiques. Un appareil peut devenir une passerelle vers votre réseau si un attaquant présente les bonnes informations d'identification ou trouve un moyen de contourner ces informations.

Une surface d'attaque riche : Les avancées en matière de calcul et de connectivité ont engendré des solutions qui automatisent, améliorent et simplifient les tâches clés telles que la collecte des lectures de capteurs sur une ligne de production, la mise en œuvre de chaînes d'approvisionnement intelligentes, qui vérifient la fraîcheur d'une expédition alimentaire, en programmant des coupes et des formes précises que les machines CNC exécutent sur un bloc de métal. Malheureusement, elles présentent également une surface d'attaque exposée, qui peut être exploitée par des pirates informatiques.

La sécurité dès la conception est difficile : En effet, le concepteur du système doit comprendre l’attaquant potentiel et les innombrables moyens créatifs dont il dispose pour compromettre un système donné.

Des solutions complexes : Les solutions de cybersécurité peuvent être trop complexes pour les capteurs peu coûteux et peu gourmands en énergie dont certaines applications industrielles et d'entreprise ont besoin. Il est nécessaire de développer des solutions de sécurité qui fonctionnent sur un large éventail de fonctionnalités.

La résilience : Un système IoT peut être compromis de deux manières : Infecter un composant qui interagit avec d'autres composants ; ou compromettre l'appareil en usurpant une lecture ou en modifiant un facteur critique dans l'environnement externe de l'appareil, tel que la température de la pièce dans laquelle il est placé. Il est important de noter que nous ne pouvons pas compter sur les solutions cryptographiques pour répondre à toutes les attaques possibles.

Qu'allons-nous faire maintenant ?

Au-delà des approches cryptographiques classiques, les solutions de sécurité doivent englober l'utilisation de modèles mathématiques pour comprendre le comportement du système qu'elles protègent. Un écart par rapport au modèle implique qu'une attaque peut être imminente ou en cours. À ce stade, les opérateurs humains peuvent isoler l'attaque. Par exemple, les composants affectés peuvent être déconnectés du réseau, ou bien un ensemble de clés compromises peut être rejeté.

La cybersécurité traditionnelle est un point de départ nécessaire, mais insuffisant pour sécuriser les systèmes IoT. C'est l'une des raisons pour lesquelles PARC axe ses recherches sur les solutions de sécurité dans trois programmes :

  1. Plateforme de communication selon le principe de sécurisation par conception pour les systèmes IoT.
  2. Interactions sécurisées entre les humains et les systèmes cyber-physiques.
  3. Sécurité basée sur la modélisation hybride de systèmes cyber-physiques.

La sécurité est essentielle pour chaque entreprise. Des systèmes IoT sécurisés, résilients et adaptatifs nécessitent de bons partenariats. Parlez-nous de la manière dont nous pouvons vous aider à protéger vos informations commerciales précieuses.

En savoir plus