Dans un monde ultra numérisé, les objets connectés ont envahi notre quotidien, offrant une multitude de fonctionnalités. L’omniprésence d’Internet, la capacité croissante des connexions réseau et la diversité d’appareils rendent ces objets connectés évolutifs et adaptables. Les secteurs de l’industrie, de la finance, de la santé ou encore de l’énergie sont d’ores et déjà concernés par la révolution de l’internet des objets ou « Internet of Things » (IoT).
Cette connectivité omniprésente génère aussi son lot de risques pour la sécurité et la confidentialité des données.
Les objets connectés sont couramment intégrés dans les domaines bureautiques et font partie de la technologie essentielle qui soutient les opérations quotidiennes d’une entreprise.
Cette multiplication de dispositifs augmente de manière drastique la surface d’attaque sur laquelle des attaquants malveillants peuvent mener des opérations malveillantes,.
Ces dispositifs mis en place peuvent notamment avoir un effet sur les systèmes critiques comme l’intranet ou encore les serveurs de base de données.
Dans cette optique l’établissement d’enseignement supérieur l’Ecole de Guerre Economique (EGE) et Onepoint ont unis leurs expertises. Au travers de ce partenariat, nous analysons les défis de cybersécurité des objets connectés. L’objectif est de porter un éclairage sur les mesures nécessaires pour prévenir les attaques. Et ce, tout en garantissant la résilience et la confiance nécessaires au développement serein du numérique.
Les objets connectés (IoT) : entre expansion technologique et défis sécuritaires
Les objets connectés (IoT) sont des dispositifs physiques capables d’interagir avec leur environnement. Ces derniers sont dotés de capteurs et d’actionneurs (également appelés « actuateur »). Ils ont vocation à collecter, échanger et partager des données via Internet.
Ces technologies, telles que les capteurs intelligents, les systèmes de surveillance évolués, les badges d’accès intelligents, enrichissent le paysage opérationnel des entreprises. Elles procurent en effet des capacités nouvelles : optimisation des process, maintenance prédictive, traçabilité accrue, sécurité renforcée…
Shadow IT : une surface d’attaque plus exposée des objets connectés
Cependant, cette expansion de la connectivité s’accompagne d’un risque majeur : le phénomène du « Shadow IT ». Ce dernier, désigne dans ce contexte, l’utilisation non validée par la DSI de dispositifs IoT au sein d’une entreprise. Ils représentent par conséquent des portes d’entrée privilégiées pour les cybercriminels.
En multipliant les accès non maîtrisés, le Shadow IT accroît ainsi considérablement la surface d’attaque exposée.
Risques croissants liés à l’essor des objets connectés
En 2027, plus de 29 milliards d’objets [1]seront interconnectés, soient autant de portes d’entrées potentielles pour des attaquants sur un réseau.
Le top 10 des vulnérabilités IoT identifiées par l’OWASP [2]souligne des faiblesses cruciales, notamment dans l’authentification, l’autorisation et les protocoles de communication non sécurisés.
En 2023, le nombre d’attaques ciblant les appareils IoT ont augmenté de 41%. L’absence de mises à jour régulières ou encore des défauts dans les protocoles de sécurité ont sont la cause. Ces lacunes exposent entreprises et utilisateurs à des attaques sophistiquées, mettant en péril la confidentialité des données et l’intégrité des réseaux.
Panorama des attaques visant les dispositifs connectés
Du fait de leur connectivité permanente les objets connectés présentent des failles de sécurité régulièrement exploitées par des cybercriminels. D’après les rapports d’analyses d’attaques contre les systèmes d’information d’entreprise, des failles ont été identifiées ; elles constituent autant de points d’entrée pour des attaquants sur un système.
Parmi les incidents aux conséquences potentiellement dévastatrices on retrouve les attaques par « malware ». Dans ce contexte, des logiciels malveillants tels que des « chevaux de Troie » ou des « botnets » se propagent rapidement à travers les réseaux connectés, permettant à des cybercriminels de prendre le contrôle total des dispositifs infectés.
Les cybercriminels déploient également des attaques dites par « force brute », en multipliant les tentatives d’accès à un compte utilisateur. Ces tentatives de connexions sont orchestrées en utilisant diverses combinaisons de noms d’utilisateur et de mots de passe, exposant ainsi les vulnérabilités de l’IoT.
Les attaquants peuvent aussi mener des opérations de « packet sniffing » lors desquelles des failles des dispositifs IoT sont exploitées pour analyser les « paquets » de données. Ces fragments de messages électroniques peuvent exposer des informations opérationnelles, que les attaquants recueillent lors de phases de reconnaissance en vue de déployer des attaques plus sophistiquées.
Le type de cyberattaque le plus redouté est sans doute l’attaque par « ransomware », ou « rançongiciel » : grâce à ces logiciels malveillants redoutables, des attaquants pour cibler spécifiquement les dispositifs IoT, en chiffrant les données qui sont stockés sur ces objets connectés. Les opérateurs de ces logiciels malveillants exigent ensuite une rançon en échange de leur déblocage.
Botnets et IoT : comprendre la menace avec l’exemple de Mirai
Les Botnets sont des réseaux d’appareils électroniques infectés et contrôlés par des malwares, souvent spécifiquement conçus pour infecter des dispositifs d’appareils connectés. Pour bien comprendre du terme, botnet est un mot valise des mots « robot (bot) » et « réseau (net) ». Ces malwares sont une sorte de « réseaux de machines-zombies » contrôlé à distance par un attaquant et utilisé pour mener des activités malveillantes contre d’autres victimes ciblées. Les dispositifs connectés utilisant des mots de passe par défaut ou faibles sont ainsi compromis en vue de former un botnet. Ce « réseau de machines zombie » peut être utilisé pour mener des attaques dites par déni de service distribué (DDoS).
En 2021, Le botnet Mirai, ainsi que ses dérivés, a révélé au public l’ampleur de cette menace avec la plus importante attaque par DDoS jamais enregistrée : un acteur majeur du secteur financier avait fait face à 330 millions de requêtes d’attaque en quelques secondes.
Le trafic de l’attaque provenait de plus de 20 000 machines infectées par un botnet, dans 125 pays du monde entier. D’après les adresses IP des « bots », près de 15% de ces requêtes massives provenaient d’Indonésie, 17% venaient d’Inde et du Brésil combinés. Le botnet Mirai cible principalement les dispositifs connectés grand public tels que des caméras pilotables à distance ou des routeurs domestiques, réputés pour être très peu sécurisés.
Les botnets exploitent des failles connues pour infecter ces terminaux connectés. Les attaquants ciblent spécifiquement des vulnérabilités connues pour lesquelles des correctifs de sécurité sont disponibles mais n’ont pas encore été appliqués sur les systèmes cibles. En exploitant ces fragilités, les attaquants peuvent compromettre massivement les dispositifs connectés et les intégrer dans un botnet.
En résumé, les botnets tirent parti des vulnérabilités, souvent identifiées dans le référentiel « Common Vulnerabilities and Exposures, CVE », pour infecter et contrôler des dispositifs dans le cadre d’activités malveillantes. C’est pourquoi il est crucial de maintenir les systèmes à jour avec les correctifs de sécurité pour atténuer les risques associés aux vulnérabilités connues.
Cyber Resilience Act (CRA) : renforcement de la cybersécurité européenne de l’IoT en Europe
La prise en considération des risques liés à l’Internet des objets (IoT) par le législateur européen est une évolution récente. Elle est marquée par l’entrée en vigueur du Cyber Resilience Act (CRA) en 2024[3].
Ce règlement vise à instaurer une protection spécifique pour les objets connectés. Il couvre l’intégralité de leur cycle de vie, depuis leur conception jusqu’à leur fin de vie. Son but est d’assurer la sécurité des consommateurs et des entreprises utilisant des produits ou logiciels intégrant des composants numériques.
Cybersécurité des objets connectés et transparence pour les consommateurs
Le Cyber Resilience Act a soulevé deux problématiques principales liées à la cybersécurité des objets connectés et à la transparence envers les consommateurs.
Premièrement, le CRA a pointé le niveau insuffisant de sécurité et la qualité insuffisante des mises à jour des objets connectés. Par conséquent, ce constat a mis en lumière la nécessité d’intégrer les principes de cybersécurité sur l’ensemble du cycle de vie des appareils IoT. A cet égard, l’approche DevSecOps permet justement de répondre à ce besoin. Elle assure en effet la prise en compte continue de la sécurité durant les phases de développement, de déploiement et de maintenance.
Deuxièmement, le Cyber Resilience Act a souligné le manque de transparence envers les consommateurs concernant la sécurité des produits connectés. En effet, Les consommateurs ne disposent souvent pas des informations nécessaires pour évaluer la sécurité des produits qu’ils achètent, en particulier pour les objets connectés.
IoT : objectifs de la régulation européennes
Pour remédier à ces défis, le CRA propose une standardisation des exigences en matière de cybersécurité, couvrant l’ensemble du processus, de la conception à la commercialisation des produits.
Quatre objectifs spécifiques émergent de cette régulation[4]:
- Veiller à ce que les fabricants améliorent la sécurité des produits.
- Garantir un cadre (à l’échelle européenne) cohérent en matière de cybersécurité, en facilitant le respect des règles par les producteurs de matériel et de logiciels ;
- Améliorer la transparence des propriétés de sécurité des produits comportant des éléments numériques.
- Et permettre aux entreprises et aux consommateurs d’utiliser des produits comportant des éléments numériques en toute sécurité.
Le RGPD : protection des données liée à l’Internet des objets en Europe
Au-delà de cette récente avancée législative, l’Union européenne s’est engagée à réguler de manière substantielle l’Internet des Objets (IoT).
Le Règlement général sur la protection des données (RGPD) est entré en vigueur en 2018. Ce dernier impose dorénavant des obligations spécifiques aux entreprises et organisations opérant dans le domaine des objets connectés.
Le RGPD s’applique de manière universelle. Il contraint toutes les entités, qu’elles soient grandes entreprises ou start-ups, qui collectent ou traitent des données à caractère personnel.
L’ampleur de la collecte de données par les objets connectés nécessite une transparence accrue de la part des entreprises, qui doivent informer de manière claire les utilisateurs sur la nature et l’étendue de la collecte de leurs données.
À l’échelle mondiale, la nécessité de réguler l’Internet des objets (IoT) se renforce. En dehors de l’Union européenne, plusieurs pays, dont les États-Unis (DIGIT Act, DNT Act, FBT Act) et la Chine, s’engagent à renforcer la protection des utilisateurs. Cette tendance souligne l’importance croissante de réglementer l’IoT pour assurer la sécurité des utilisateurs dans un contexte d’évolution rapide de cette technologie.
IoT : le Cyber Resilience Act et le RGPD posent les bases d’une protection renforcée
« Security by design » : la sécurité dès la phase de conception
Dans le contexte complexe de l’Internet des objets, la sécurité n’est plus simplement nécessaire, elle devient maintenant un principe fondamental connu sous le nom de « security by design[5]».
Cette approche exige que la sécurisation des appareils IoT soit inscrite dans leurs gènes. Et ce, dès la phase initiale de conception. En faisant de la prévention la pierre angulaire de la protection, le security by design anticipe les menaces potentielles, érigeant des remparts numériques avant même que les objets connectés ne prennent vie.
Ce paradigme, bien que technique, constitue la clé de voûte d’une connectivité intelligente. Il élimine les vulnérabilités à la source. En outre, il garantit en que chaque dispositif évolue dans un environnement numérique immunisé.
Security by design : mécanismes pour protéger l’écosystème IoT.
Explorons maintenant quelques mécanismes de sécurité qui, s’ajoutant au « security by design » , forment une ligne de défense sophistiquée pour les objets connectés. Ces directives spécifiques, autant pour les entreprises que les utilisateurs, peuvent consolider la résilience et la sécurité de l’écosystème IoT.
Ces mesures sont basées sur les normes et référentiels établis par des organisations reconnues telles que l’OWASP (Open Web Application Security Project), l’ISO/IEC 30141 (Organisation internationale de normalisation et la Commission électrotechnique internationale) ou encore l’ETSI EN 303 645 (Institut européen des normes de télécommunications).
Gestion des mots de passe
- Encourager l’utilisation de mots de passe forts et uniques pour chaque compte d’objets connectés.
- Mettre en place des méthodes d’authentification forte ou multi-facteurs lorsque possible pour accéder aux dispositifs IoT.
Sécurisation des services réseau
- Identifier, désactiver et sécuriser les services réseau non essentiels des dispositifs IoT pour limiter les vecteurs d’attaque.
- Mettre en œuvre des protocoles de chiffrement robustes pour sécuriser les communications entre les dispositifs IoT et les serveurs.
Sécurisation des interfaces d’écosystème
- Implémenter des contrôles d’authentification et d’autorisation solides pour les interfaces web, mobiles et cloud des dispositifs IoT.
- Utiliser des mécanismes de cryptage forts pour protéger les données échangées entre les dispositifs et les plateformes IoT.
Mécanisme de mise à jour sécurisé
- Établir un processus de mise à jour sécurisé pour les dispositifs IoT, incluant la validation du firmware et la livraison cryptée des mises à jour.
- Veiller à ce que les dispositifs IoT disposent de mécanismes de mise à jour automatisés et sécurisés pour corriger les vulnérabilités.
Gestion des composants obsolètes
- Surveiller et gérer activement les composants logiciels et matériels des dispositifs IoT pour identifier et remplacer les versions obsolètes ou vulnérables.
- Utiliser des composants IoT provenant de sources fiables et évaluer régulièrement leur sécurité.
Protection de la vie privée
- Mettre en place des mesures de protection des données personnelles conformes aux réglementations en vigueur, en particulier pour les données collectées et traitées par les dispositifs IoT.
- Garantir la confidentialité des communications et la sécurité des données personnelles stockées ou transmises par les dispositifs IoT.
Sensibilisation à la sécurité
- Sensibiliser les utilisateurs finaux et les développeurs sur les bonnes pratiques de sécurité spécifiques aux objets connectés.
- Informer sur les risques de sécurité associés à l’utilisation des dispositifs IoT et sur les mesures de protection à prendre pour les réduire.
Cybersécurité des objets connectés : à l’épreuve du futur
Dans le contexte de la prolifération exponentielle des objets connectés, la complexité des défis de cybersécurité s’accroît de manière significative. Alors que nous contemplons les avancées technologiques à l’horizon, la gestion proactive des vulnérabilités se positionne au cœur des préoccupations. L’expansion des surfaces d’attaque et la sophistication croissante des menaces interrogent notre capacité à garantir l’intégrité, la confidentialité et la disponibilité des données.
Cybersécurité des objets connectés : IA et blockchain en tendance de fond
Une tendance émergente en matière de cybersécurité des objets connectés inclut l’utilisation croissante de l’intelligence artificielle et plus particulièrement de l’apprentissage automatique (machine learning) pour détecter et prévenir les menaces. Ces technologies avancées offrent des capacités de détection plus rapides et précises, renforçant ainsi la résilience des systèmes IoT.
De plus, on observe une orientation vers l’utilisation de technologies de blockchain pour garantir l’intégrité des données échangées entre les objets connectés. La blockchain offre une méthode sécurisée et transparente pour enregistrer et vérifier les transactions, renforçant la confiance dans les échanges d’informations entre les dispositifs connectés.
Cybersécurité : adopter une vision prédictive de la sécurité
L’avenir de la cybersécurité des objets connectés se dessine à travers le prisme de l’innovation, mais également à travers le filtre d’une vigilance accrue.
Quelle trajectoire empruntera la sécurité des objets connectés dans le prochain chapitre de notre évolution technologique ? Comment élaborer des architectures de sécurité robustes pour faire face aux menaces persistantes et émergentes ?
Ces questions éminemment techniques guideront le développement et l’adoption de solutions de sécurité avancées. Les esprits visionnaires de la cybersécurité sont appelés à repenser les architectures, à développer des mécanismes de détection avancés, et à établir des normes rigoureuses.
En anticipant les besoins de demain, nous forgerons une cyberdéfense proactive, ancrée dans une compréhension approfondie des risques, et assurerons ainsi la pérennité d’une connectivité intelligente et sécurisée.
