La cybersécurité, le défi émergent de l’Internet des objets


Publié le: 18 avril 2018 par Charles Piron

En permettant de rattacher le monde physique à la sphère de l’information, l’Internet des objets (IoT) ouvre la voie au développement d’innombrables services tant à l’intérieur de l’entreprise qu’à destination de ses clients. Mais cette interconnexion globale des personnes, des processus et du contexte – ce qu’on appelle l’Internet of Everything (IoE) – ne tiendra toutes ses promesses que si cette infrastructure sous-jacente offre des garanties élevées de sûreté et de fiabilité. C’est pourquoi la cybersécurité apparaît désormais comme un enjeu fondamental.

Cette prise de conscience s’accompagne souvent du constat d’un manque de maîtrise, ce qui freine nombre de projets. Les questions de sécurité sont en effet encore mal appréhendées, d’une part parce qu’elles se partagent entre différents acteurs au sein de l’entreprise, et, d’autre part, en raison du peu d’interlocuteurs disposant de l’ensemble des compétences nécessaires et capables d’apporter une réponse globale et intégrée.

La sécurité de l’IoT repose en effet sur quatre piliers :

  • la sécurisation des capteurs et de leur fonctionnement
  • la confidentialité et l’intégrité des données en transit
  • la sécurisation des données stockées
  • la sécurisation des accès à l’information.

Tandis que le premier aspect relève du monde de la sûreté physique et des systèmes critiques, les deux derniers, plus classiquement, de la sécurité des systèmes d’information et du big data, la problématique des données en transit est véritablement spécifique à l’IoT.

Recueillie, acheminée, éventuellement traitée et stockée, la donnée passe de mains en mains jusqu’à son exploitation. Il faut donc s’assurer de son intégrité et de sa confidentialité tout au long de son parcours au sein de cet écosystème, jusqu’à l’utilisateur final, qui doit pouvoir s’appuyer dessus en toute confiance.

Pour cela, il est indispensable de mettre en œuvre une stratégie de sécurité adaptée aux technologies propres à l’IoT, que ce soient les protocoles à faible consommation longue portée (LoRa, Sigfox…), adaptés aux systèmes de capteurs disséminés sur des objets dépourvus d’alimentation, ou les protocoles à plus faible portée (Wi-Fi, ZigBee, Bluetooth Low Power…), qui peuvent s’intégrer à des appareils électriques et/ou bénéficier du relai d’une passerelle.

Le cas du Low Power présente la contrainte la plus forte et la plus spécifique : il faut garantir un haut niveau de sécurité à moindre coût et en consommant un minimum d’énergie. Les messages étant limités à quelques octets, nous nous appuyons sur des algorithmes simples, standardisés, qui seront intégrés à la puce elle-même. Par exemple, l’algorithme de chiffrement AES (Advanced Encryption Standard), très sûr et qui ne consomme qu’une infime quantité d’énergie. Mais cela signifie donc qu’il faut aborder la question de sécurité dès la conception, et intégrer les fabricants de composants à l’écosystème.

Cette couche physique est la première d’une sécurité qui prend des airs de poupées russes, avec des éléments qui viennent s’ajouter à chaque étape du transit. Ainsi, lorsque le signal atteint une passerelle, on peut intégrer des sécurités supplémentaires (SSL, VPN…), et lorsque le client final récupère l’information, il n’a plus qu’à ouvrir les boîtes successives pour obtenir la donnée. Ensuite, elle entre dans le système d’information, souvent un système de big data, et ce sont alors les dispositifs de sécurité traditionnels qui s’appliquent.

La sécurité de l’IoT et donc de l’IoE repose sur une série de cadenas et de clés associés garantissant la confidentialité des données et l’indépendance des acteurs. Pour l’heure, aucun modèle ne se dégage pour savoir qui en sera le gérant et le garant. Objenious, la filiale dédiée de Bouygues Télécom aux IoT, a pour sa part choisi de confier globalement le sujet à Atos, qui dispose des compétences indispensables sur la totalité des maillons de la chaîne. De cette façon, il est possible de bâtir une solution sécurisée de bout en bout, intégrant l’ensemble des partenaires de l’écosystème et offrant un socle de confiance aux services de l’Internet of Everything (IoE).

Partager


Qui est Charles Piron

IoT Security Business & Solutions Manager Big Data & Security
Charles est le fer de lance de la vision d'Atos pour sécuriser les objets connectés en IoT. Il rejoint Bull, devenu marque technologique d'Atos, en 2008 pour travailler sur les cartes à puce et les composants sécurisés en tant que consultant. Ayant démontré une expertise dans les cartes à puce et la cryptographie, il se concentre aujourd'hui sur la sécurisation de l'IoT et du consortium Blockchain avec les identités numériques proposées par Bull Horus. L'interconnexion mondiale des personnes, des processus et du contexte dans l'écosystème IoT ne tiendra toutes ses promesses que si l'infrastructure sous-jacente offre des garanties accrues de sécurité et de fiabilité. Pour ce faire, il a participé au grand projet Edison de sécurisation du réseau LoRaTM IoT de Bouygues Telecom, l'un des principaux opérateurs télécoms français. C'est pourquoi la cybersécurité est devenue un problème fondamental.

Suivre ou contacter Charles