Objets connectés : risques et parades

Alors que des botnets – ces larges réseaux d’ordinateurs infectés par un même virus – ont ciblé des objets connectés afin de mener des cyberattaques à grande échelle, comment contrer le risque de piratage et assurer leur sécurité ? La réponse avec Aymerick Dumas, en charge de la définition et la mise en œuvre de la stratégie sécurité dans l’IoT et les environnements industriels pour Orange Cyberdefense, l’entité d’Orange Business Services qui assure la sécurité des systèmes et la protection des entreprises.

L’Internet des Objets (IoT) est-il un monde sûr ?

Aymerick Dumas : L’internet des objets est aussi « sûr » que l’internet des PC : il existe des risques, connus, et des parades, maîtrisées. Toutefois l’IoT présente au moins quatre particularités. Premièrement, l’immense quantité d’objets connectés attendus dans les prochaines années rend leur recensement, leur gestion et contrôle plus complexes. Deuxièmement, nous sommes aux prémices de l’IoT. Et lorsqu’une technologie apparaît, la sécurité n’est pas un enjeu prioritaire pour les fabricants qui s’attachent surtout à explorer les usages, à faire évoluer les équipements. Troisièmement, les objets connectés sont des équipements exposés par nature, de par leur dissémination géographique et leur accessibilité, mais aussi de par leur capacités mémoires & logicielles limitées. Enfin, les impacts en cas de compromissions peuvent être importants et vitaux. C’est pour cela que les législations évoluent et vont permettre au marché de s’attacher à la sécurisation (Loi de Programmation Militaire, Règlement Général sur la Protection des Données - RGPD notamment). Toutefois, les objets connectés ne sont pas toujours porteurs de forts enjeux de sécurité : certains projets ne sont liés à aucun risque majeur.

La première prestation proposée par Orange Cyberdefense est une mission de conseil afin d’évaluer les risques du projet IoT
Aymerick Dumas

Comment assurez-vous la sécurité des projets IoT et accompagnez-vous les entreprises chez Orange Cyberdefense ?

A.D. : Un projet IoT est avant tout un projet métier, avec des ambitions de réduction des coûts, d’amélioration de la productivité…avant d’être un projet informatique. Ce qui implique des risques nouveaux, auxquels l’entreprise ne pense pas toujours ! Aussi, la première prestation proposée par Orange Cyberdefense est une mission de conseil afin d’évaluer les risques du projet IoT. Cette mission est essentielle pour plusieurs raisons. D’une part, parce que les risques ne sont pas toujours où l’entreprise les imagine. Il ne s’agit pas uniquement de sécuriser les données ou le système d’information : les objets connectés interagissent avec le monde physique augmentant ainsi les impacts potentiels. Par exemple, un projet « d’asset tracking » peut parfois être dénué d’enjeux de sécurité au-delà du vol de données informatiques. Néanmoins, certains projets paraissant anodins en termes de sécurité peuvent s’avérer dangereux avec des risques sur les personnes. D’autre part, parce que le recensement des risques doit être réalisé le plus en amont possible du projet. Plus la prise en compte des risques éventuels est tardive, plus l’effort à fournir pour sécuriser la solution est important. Enfin, il n’y a pas de secteur « zéro risque ». On peut penser que des objets connectés du monde agricole, qui manipulent des données anodines, ne présentent aucun risque. C’est oublier qu’ils peuvent devenir une porte d’entrée sur l’ordinateur de l’exploitant, et entraîner un risque si le PC auquel ils sont connectés sert aussi à la comptabilité ou stocke des données personnelles ! Chaque projet doit être étudié, au cas par cas.

Une fois le projet lancé, comment envisager sa sécurité ?

A.D. : Notre mission initiale de conseil recense les risques spécifiques à prendre en compte dans la conception du projet. Ensuite, son volet informatique – la communication entre les objets et le système d’information, la collecte et le stockage des données, leur traitement... – est traité par Orange Cyberdefense comme pour tout autre projet informatique. Il bénéficie des mêmes expertises, des mêmes moyens et infrastructures de détection d’intrusion, de malware, etc. (voir encadré). Les technologies utilisées peuvent changer, avec de nouveaux acteurs sur le marché, et des acteurs traitant des cas d’usages métiers spécifiques (l’industrie 4.0 par exemple), mais les méthodes et principes restent les mêmes.

Détecter, évaluer et parer les risques IoT : l’expertise d’Orange Cyberdefense en chiffres

  • 1 200 collaborateurs experts des métiers de la sécurité,
  • 21 milliards d’événements corrélés/jour,
  • 1 laboratoire d’épidémiologie et de Signal Intelligence qui effectue une veille constante sur les logiciels malveillants. Aujourd’hui, plus de 300 000 malwares, dont 50 000 environ dans le secteur bancaire, sont ainsi analysés quotidiennement par nos systèmes,
  • 7 Security Operation Centers (SoC) dans le monde surveillant et réagissant aux événements 24h/24, 7j/7 et 365 j/an,
  • 2 CyberSOC en France et en Inde qui concentrent l’expertise en analyse de la menace,
  • 1 Computer Emergency Response Team (CERT) en France avec des relais à Montréal et à Singapour pour assurer un suivi permanent,
  • 3 DDoS Scrubbing Centers en France et aux États-Unis et des datacenters spécialisés dans le nettoyage du trafic.

Les fabricants sont-ils plus attentifs à la sécurité de leurs objets après les cyberattaques des derniers mois ?

A.D. : Effectivement. Le marché est jeune mais aujourd’hui déjà, les concepteurs d’objets connectés ont à leur disposition de chipsets* intégrant des fonctionnalités de sécurisation. Le marché mûrit, stimulé par la demande des entreprises, mais aussi par la législation – et en particulier le RGPD qui entrera en application au niveau européen en mai 2018 afin de protéger les données personnelles. De nouvelles solutions émergent aussi des laboratoires de recherches d’Orange autour des l’analyse des données grâce à l’intelligence artificielle, permettant de superviser un grand nombre de données et d’évènements, mais aussi autour de la sécurisation de l’ensemble d’un environnement IoT au travers des Blockchains. Toutes ces nouvelles technologies paraissent très prometteuses pour la sécurisation de l’IoT.

Quelle est la position des entreprises quant à la sécurisation de leurs projets relatifs à l’IoT ?

A.D. : Il existe une forte prise de conscience des enjeux de sécurité au sein des entreprises. Ainsi, le responsable de la sécurité n’est plus un rôle secondaire : il reporte de plus en plus souvent à la direction générale et siège au comité exécutif (COMEX). Autre exemple ? Nous sommes davantage sollicités chez Orange Cyberdefense pour des missions de conseil. Entreprises et collectivités multiplient en effet les projets liés à l’IoT – même si peu se concrétisent pour l’instant. Les décideurs sont souvent dans une posture d’observation du marché. On retrouve une situation similaire aux débuts de la convergence téléphonie-informatique : à l’époque, tous les responsables télécom observaient les choix des entreprises pionnières avant de se lancer ! Aujourd’hui, responsables métiers et DSI suivent de près les initiatives de leurs confrères et concurrents en matière d’IoT.

* chipset – en français jeu de composants ou jeu de circuits – est un circuit électronique chargé de coordonner les échanges de données entre les divers composants de l'ordinateur (processeur, mémoire...).