Internet des objets
02/01/24 16:18
L'Internet des objets, également nommé IoT à travers son acronyme anglo-saxon fait référence à l'interconnexion via l'Internet de dispositifs physiques qui sont intégrés avec des capteurs, des logiciels et d'autres technologies pour collecter et échanger des données. Ces objets peuvent être variés, tels que des appareils ménagers intelligents, des véhicules connectés, des dispositifs de santé, des capteurs industriels, etc. L'objectif de l'IoT est de permettre à ces objets de communiquer entre eux et avec des systèmes centraux pour automatiser des tâches, obtenir des informations en temps réel, améliorer l'efficacité et fournir de nouvelles fonctionnalités. Ces dispositifs servent notamment à élaborer des jumeaux numériques de plus en plus utilisés à des fins de simulation, prévision et modélisation des comportements. Ils servent également à collecter de grands volumes d'informations qui seront à leur tour utiliser pour alimenter des modèles de traitements big data ou pour éduquer des machines apprenantes. Il s'agit donc d'un domaine en pleine expansion dont les applications sont vastes et toujours en évolution. Lorsqu’il est question d’Internet des objets ou d’objets connectés, une des premières images qui vient à l’esprit est celle de l’industrie. Il est vrai que les industriels consomment beaucoup de ces objets connectés et qu’ils ont été parmi les premiers à les déployer. Mais ils sont loin d’être les seuls et aujourd’hui de nombreux secteurs d’activité ont recours à l’Internet des objets comme la santé, le secteur automobile, les transports au sens large, l’énergie et notamment smart grid, le bâtiment avec la GTB connecté mais aussi les bâtiments et les villes intelligents. De plus la richesse des équipements proposés, leur capacité de collecte toujours plus importante ne font qu’étendre les domaines où ils se répandent et deviennent de plus en plus indispensables.
Mais, comme souvent il y a un revers à la médaille et tout n’est pas idyllique. L'IoT présente des défis significatifs en matière de cybersécurité en raison de la nature distribuée et souvent hétérogène de ces systèmes. Par leur nombre aussi, le facteur de masse jouant en défaveur du défenseur. Mais aussi parce que souvent, le principe fondamental qui prévaut à leur conception et fabrication est la capacité d’en produire un très grand nombre à un coup le plus bas possible. Évidemment la sécurité par défaut est rarement intégrée dans un tel contexte. Même si le Cyber Resilience Act risque fort d’induire un changement dans ce domaine, c’est en tout cas un de ces objectifs, un très grand nombre a déjà été produit et il est très probable qu’il faille un temps conséquent avoir de voir un réel changement dans l’approche conceptuelle des objets connectés.
De nombreux risques associés à la cybersécurité peuvent concerner les objets connectés directement ou indirectement. Parmi ces risques il y a en premier lieu la sécurité des dispositifs eux-mêmes, en effet les appareils IoT peuvent être vulnérables aux attaques en raison de défauts de conception, de configurations par défaut non sécurisées, de l'absence de mises à jour régulières du micrologiciel ou du système d’exploitation. Un autre risque est lié au manque de normes de sécurité, les équipements connectés se caractérisent par une diversité considérable en termes de fabricants, de protocoles de communication et de technologies. L'absence de normes de sécurité universelles rend difficile la mise en œuvre de mesures de protection cohérentes. Une des raisons de l’usage de l’IoT est la capacité de générer d'énormes quantités de données, ces objets vont donc être à l’origine de flux massif de données. La collecte, le stockage et le traitement de ces données présentent des défis en termes de confidentialité et de protection contre les accès non autorisés, notamment lorsqu’il s’agit de données personnelles, ou de données de santé dans le cas des capteurs biomédicaux connectés. En tout état de cause, les données collectées par les dispositifs IoT sont souvent de nature sensible. Ces dispositifs ne se suffisent pas à eux-mêmes en général, ils sont fortement interconnectés avec d'autres systèmes et cela crée des points d'entrée potentiels pour les cyberattaques. Si un dispositif est compromis, Il peut servir de porte d'entrée pour la première compromission qui permet ensuite d’atteindre d’autre partie du système d’information. L’équation technico-économique à la base de la conception et fabrication de ces objet reste la plupart du temps la facilité de production à grande échelle et à bas coût. Dans ce contexte, certains dispositifs IoT sont limités en termes de ressource, que ce soit la puissance de calcul, la mémoire et la capacité de stockage. C’est évidemment un frein à la mise en œuvre de mesures de sécurité robustes. Pour assurer un niveau de sécurité acceptable, il est nécessaire de mettre en œuvre une gestion des identités et des accès à la hauteur. Or, le déploiement massif de ces équipements, leur grand nombre et leur diversité rend cette gestion très complexe et assurer l'authentification et l'autorisation appropriées devient un défi majeur.
Pour atténuer ces risques, il est essentiel de mettre en place des pratiques de sécurité robustes, telles que la mise à jour régulière des logiciels, la sécurisation des communications, la gestion des accès, la surveillance du réseau. De plus, la collaboration entre les industriels, les fournisseurs de solution de cybersécurité, les gouvernements et les organismes de normalisation est cruciale pour développer des normes de sécurité efficaces dans le domaine de l'IoT.
Mais, comme souvent il y a un revers à la médaille et tout n’est pas idyllique. L'IoT présente des défis significatifs en matière de cybersécurité en raison de la nature distribuée et souvent hétérogène de ces systèmes. Par leur nombre aussi, le facteur de masse jouant en défaveur du défenseur. Mais aussi parce que souvent, le principe fondamental qui prévaut à leur conception et fabrication est la capacité d’en produire un très grand nombre à un coup le plus bas possible. Évidemment la sécurité par défaut est rarement intégrée dans un tel contexte. Même si le Cyber Resilience Act risque fort d’induire un changement dans ce domaine, c’est en tout cas un de ces objectifs, un très grand nombre a déjà été produit et il est très probable qu’il faille un temps conséquent avoir de voir un réel changement dans l’approche conceptuelle des objets connectés.
De nombreux risques associés à la cybersécurité peuvent concerner les objets connectés directement ou indirectement. Parmi ces risques il y a en premier lieu la sécurité des dispositifs eux-mêmes, en effet les appareils IoT peuvent être vulnérables aux attaques en raison de défauts de conception, de configurations par défaut non sécurisées, de l'absence de mises à jour régulières du micrologiciel ou du système d’exploitation. Un autre risque est lié au manque de normes de sécurité, les équipements connectés se caractérisent par une diversité considérable en termes de fabricants, de protocoles de communication et de technologies. L'absence de normes de sécurité universelles rend difficile la mise en œuvre de mesures de protection cohérentes. Une des raisons de l’usage de l’IoT est la capacité de générer d'énormes quantités de données, ces objets vont donc être à l’origine de flux massif de données. La collecte, le stockage et le traitement de ces données présentent des défis en termes de confidentialité et de protection contre les accès non autorisés, notamment lorsqu’il s’agit de données personnelles, ou de données de santé dans le cas des capteurs biomédicaux connectés. En tout état de cause, les données collectées par les dispositifs IoT sont souvent de nature sensible. Ces dispositifs ne se suffisent pas à eux-mêmes en général, ils sont fortement interconnectés avec d'autres systèmes et cela crée des points d'entrée potentiels pour les cyberattaques. Si un dispositif est compromis, Il peut servir de porte d'entrée pour la première compromission qui permet ensuite d’atteindre d’autre partie du système d’information. L’équation technico-économique à la base de la conception et fabrication de ces objet reste la plupart du temps la facilité de production à grande échelle et à bas coût. Dans ce contexte, certains dispositifs IoT sont limités en termes de ressource, que ce soit la puissance de calcul, la mémoire et la capacité de stockage. C’est évidemment un frein à la mise en œuvre de mesures de sécurité robustes. Pour assurer un niveau de sécurité acceptable, il est nécessaire de mettre en œuvre une gestion des identités et des accès à la hauteur. Or, le déploiement massif de ces équipements, leur grand nombre et leur diversité rend cette gestion très complexe et assurer l'authentification et l'autorisation appropriées devient un défi majeur.
Pour atténuer ces risques, il est essentiel de mettre en place des pratiques de sécurité robustes, telles que la mise à jour régulière des logiciels, la sécurisation des communications, la gestion des accès, la surveillance du réseau. De plus, la collaboration entre les industriels, les fournisseurs de solution de cybersécurité, les gouvernements et les organismes de normalisation est cruciale pour développer des normes de sécurité efficaces dans le domaine de l'IoT.