L’Internet des objets (IoT) est une technologie omniprésente : montres, appareils ménagers, capteurs environnementaux, des dispositifs de santé, des équipements industriels, des véhicules et bien d’autres choses. L’IoT révolutionne notre quotidien en connectant des appareils intelligents, améliorant ainsi notre confort et notre efficacité. La technologie des objets connectés tient une place prépondérante dans notre vie personnelle (IoT analytics estimait à 14,4 milliards le nombre d’objets connectés actifs dans le monde en 2022), elle est d’autant plus délicate à gérer pour les entreprises. En effet, cette connectivité accrue expose également nos données et nos infrastructures à des cyberattaques potentielles. Face à ces menaces, il est crucial de mettre en place des mesures de cyber résilience pour protéger les utilisateurs, les entreprises et les systèmes critiques.
L’IoT, un enjeu de sûreté
De nombreuses industries ont déployé l’IoT sans pour autant tenir compte de la menace que cette intégration apporte. Le risque est toutefois réel. Les IoT sont exposés à divers risques, parmi lesquels les attaques DDoS, qui perturbent le fonctionnement des appareils et des réseaux. Les vulnérabilités de sécurité des appareils connectés peuvent aussi être exploitées par des cybercriminels pour espionner et voler des données sensibles, voire prendre le contrôle des dispositifs pour des actions malveillantes.
Prenons l’exemple d’une gare dans laquelle la technologie IoT serait utilisée pour gérer l’affichage des heures de départ et d’arrivée des trains. Il est aisé d’imaginer la panique générale si un pirate modifiait en dernières minutes les horaires et les voies annoncées sur les panneaux d’affichage.
Les cyber-risques liés à l’IoT peuvent être beaucoup plus lourds quand on sait qu’elle est utilisée pour automatiser certains protocoles dans les centrales nucléaires. Il suffirait qu’un cybercriminel s’introduise via un objet connecté mal protégé, comme une caméra de surveillance ou une imprimante, pour corrompre le système. Les conséquences pourraient être désastreuses, surtout si personne n’est sur site pour s’en apercevoir ou aucun dispositif de surveillance n’est déployé pour remonter l’alerte.
Dans un autre exemple, plus hypothétique, mais axé sur les risques de sûreté pour l’homme, pour un hôpital, des cyber-attaquants pourraient exploiter une faille de sécurité dans un système de surveillance des signes vitaux des patients, connecté à l’IoT. En accédant à ce système, les attaquants pourraient manipuler les données, provoquant de fausses alertes ou masquant des situations d’urgence réelles. Voire pire, des pirates pourraient exploiter une faille dans un système IoT de distribution automatisée de médicaments dans un hôpital. En accédant à ce système, les attaquants pourraient altérer les dosages ou les types de médicaments administrés aux patients, mettant ainsi leur vie en danger et causant des conséquences potentiellement catastrophiques pour l’hôpital et ses patients.
Bien sûr, plus on déploie l’IoT, plus on augmente le nombre potentiel de failles de sécurité. Il existe donc un véritable enjeu de prévention, à intégrer dès le choix d’un appareil IoT au sein d’une entreprise. En effet, l’élargissement de la zone d’exposition au cyber-risque peut être un frein au déploiement de cette technologie, les DSI ne souhaitant pas mettre en péril leur écosystème. D’autant plus, que nous constatons un écart important en termes de compétences pour les équipes IT et OT pour gérer correctement cette technologie. L’IoT est pourtant essentielle pour la transformation numérique des entreprises. Puisqu’aucune organisation ne peut y échapper, il faut alors que toutes pensent « cyber résilience ».
Par conséquent, la sécurisation et la résilience des IoT sont essentielles pour plusieurs raisons. Tout d’abord, elle protège la vie privée des utilisateurs en évitant la divulgation de leurs informations personnelles. Ensuite, elle prévient les pertes financières pour les entreprises, qui pourraient résulter de cyberattaques ou de pertes de confiance des consommateurs. Enfin, la sécurisation des IoT garantit le bon fonctionnement des appareils et des infrastructures critiques, tels que les systèmes de santé, de transport ou d’énergie, qui dépendent de plus en plus de la connectivité pour assurer leur mission.
Le déploiement de l’IoT ne peut se faire qu’en tenant compte de la cyber résilience
En décembre 2022, 86 % des entreprises françaises indiquaient avoir entamé une démarche IoT*. Toutefois, bien que le déploiement de composants IoT soit généralement accueilli favorablement pour stimuler l’innovation et la compétitivité des entreprises, leur mise en place actuelle, souvent opportuniste, présente de nombreuses failles de sécurité.
En mars 2021, une société américaine spécialisée dans les systèmes de vidéosurveillance basés sur le cloud, a subi une violation de données, lorsqu’un groupe de pirates informatiques a réussi à accéder aux flux vidéo en direct et aux enregistrements de milliers de caméras de surveillance appartenant à des entreprises, des hôpitaux, des écoles et d’autres organisations. Cette attaque a soulevé des inquiétudes quant à la sécurité et à la confidentialité des systèmes IoT.
Il est alors impératif d’anticiper la sécurisation de l’écosystème dans lequel sera implémentée l’IoT dès la naissance du projet. Les objectifs de sécurité dans le cadre du déploiement de l’IoT sont multiples, comprenant a minima :
- Une gestion en continu de la posture de sécurité tout en ne dérogeant pas à la conformité du SI ;
- Une mise en place d’une architecture de sécurité robuste pour minimiser le risque cyber ;
- Une détection et une atténuation des menaces avant qu’elles n’aient un impact sur les opérations.
En effet, si le composant IoT est compromis, l’ensemble du système et son écosystème le seront. C’est ici qu’intervient la notion de résilience : la question n’est plus « allons-nous nous faire attaquer », mais « comment réagir quand nous le serons ». Ce pourquoi, nous devons penser aux objectifs de résilience opérationnelle en :
- Optimisant la gestion des actifs grâce à un inventaire en temps réel des actifs IoTs ;
- Réduisant les évènements disruptifs dus à un risque opérationnel connu ;
- Renforçant le processus de gestion du changement pour garantir la sécurité, l’intégrité et la résilience des processus supportés par cette technologie.
Parmi les bonnes pratiques, il convient de tester régulièrement la résilience des actifs IoT pour assurer une continuité des services. L’anticipation est le maitre mot. Un focus doit également être fait durablement sur la surveillance et le pilotage des différents outils de sécurité afin qu’ils soient maintenus, à jour, et sans faille. Enfin, il faut analyser les données en continu et en temps réel pour s’assurer de leur cohérence et que le composant IoT ne soit pas compromis.
Pour faciliter l’implémentation de l’IoT au sein des entreprises, de nouveaux standards sont en cours de développement et d’adoption. On peut notamment citer le framework Zero Trust qui met fin à la notion de confiance implicite en introduisant un changement de paradigme : « Ne faire confiance qu’après avoir vérifié ». En vertu de la politique de sécurité, aucune personne ni aucun terminal à l’intérieur ou à l’extérieur du réseau de l’entreprise ne doit avoir accès à certains systèmes ou charges de travail informatiques, sauf en cas de besoin explicite et après une vérification rigoureuse et systémique de l’accès. Il n’existe pas de réponse unique, chaque entreprise doit être à même de définir ses propres algorithmes et politiques sur la sécurisation des accès. Les organisations doivent communiquer sur les bonnes pratiques en interne, définir le risque et évincer les vulnérabilités courantes pour réduire leur zone d’exposition au cyber-risque.
Il est important de rappeler et d’insister sur le fait que la sensibilisation à la sécurité des IoT est cruciale pour lutter contre les cyber-risques. En éduquant les utilisateurs, les développeurs et les gestionnaires d’infrastructures, on renforce les pratiques de sécurité, réduit les vulnérabilités et prévient les cyberattaques, contribuant ainsi à un environnement IoT plus sûr.
La cyber résilience n’est pas un frein, mais un outil puissant pour adopter cette technologie
Si une entreprise souhaite déployer une solution IoT, elle le fera quoi qu’il arrive. Cependant, les risques encourus post-déploiement peuvent être un frein à une adoption plus large. Des hausses des budgets IoT sont envisagées dans les deux années à venir pour 48 % des entreprises* et il serait bon que cette augmentation soit notamment investie dans la sécurisation des écosystèmes.
Particulier ou professionnel, tout le monde est désormais dépendant de l’IoT. Lors d’une panne, la frustration de l’utilisateur peut engendrer bien plus que de simples torts à l’image de marque, elle peut également avoir un coût financier important. Il faut impérativement que le composant IoT soit résilient pour assurer un minimum de service si une panne est détectée. La résilience doit donc s’imposer comme une extension naturelle de l’IoT, pour que connectivité rime avec fiabilité.
En conclusion, la sécurisation des IoT et la cyber résilience sont indispensables pour assurer la protection des utilisateurs, des entreprises et des infrastructures critiques. Il est crucial que les fabricants, les développeurs et les utilisateurs collaborent pour renforcer la sécurité des objets connectés. Le capital humain joue un rôle clé dans cette démarche, car la sensibilisation et la formation des utilisateurs contribuent grandement à la cyber résilience. Les initiatives gouvernementales et les régulations doivent aussi être encouragées pour garantir des normes de sécurité élevées. En adoptant une approche globale de la cyber résilience pour les IoT, nous pourrons pleinement profiter des avantages de cette technologie tout en minimisant les risques associés, construisant ainsi un avenir numérique sûr et fiable.
*Étude IDC pour Kyndryl, décembre 2022.
Tribune rédigée par Niamkey Ackable, Security & Resiliency Growth Leader, Kyndryl France
<<< A lire également : Ces huit technologies vont accélérer la transition verte de l’Europe >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits