Le marché de l'Internet des objets (IoT) connaît une croissance soutenue, avec une augmentation d'environ 22% en 2021 selon les données fournies par IoT Analytics. Cette croissance se manifeste de manière significative au sein des entreprises, générant ainsi des répercussions forte sur la sécurité des objets connectés et leur influence sur la sécurité globale au sein de ces entreprises.
Avant de se pencher sur cette question de la sécurité il convient de se poser quelques questions préalables:
Alors, qu'est-ce que l'IoT exactement ? Comment les entreprises tirent-elles parti de l'utilisation de ces dispositifs ? Quels sont les défis à relever en matière de cybersécurité ? Analysons ces questions et comprenons pourquoi l'IoT fait indéniablement partie de notre avenir.
Qu'est-ce que l'IoT ?
Le terme d’Internet of Things (IoT) apparait pour la première fois dans un discours de Peter T.Lewis au Congrès américain à Washington. Cependant la notion peut trouver ses racines avant. (mention spéciale au distributeur connecté Coca Cola de 1982).
Si la date de création de cette notion n’est pas très clairement définie, sa définition est, elle, plutôt claire.
Elle désigne un réseau d'appareils et d'objets physiques interconnectés capables de communiquer et d'échanger des données entre eux par le biais d'Internet. Concrètement, cela signifie intégrer nos "objets" à Internet, de manière à pouvoir les contrôler à distance à l'aide de notre smartphone, de notre tablette ou de notre ordinateur.
Ces dispositifs intelligents ne sont pas seulement présents dans notre vie quotidienne, mais également dans le fonctionnement des entreprises.
Voici comment ces avancées technologiques façonnent notre monde :
- Évolution des Appareils Domestiques: Les appareils domestiques tels que les téléviseurs intelligents, les caméras de sécurité, les climatiseurs, les serrures de porte, les aspirateurs etc.
- L'Avènement des Dispositifs Portables: Les dispositifs portables tels que les montres intelligentes, les trackers de fitness, les casques de réalité augmentée etc.
- Technologie Automobile: Dans le monde de l'automobile, le suivi des performances, le GPS, la conduite autonome, améliorent l'expérience de conduite et la sécurité des utilisateurs.
- Révolution dans la Fabrication: L'automatisation et la communication machine à machine (M2M) sont à l'ordre du jour dans le secteur de la fabrication. Des innovations telles que la maintenance prédictive, la gestion logistique, les capteurs d'incendie et de radiation contribuent à accroître la productivité et à réduire les risques.
- Transformation du Secteur de la Santé: La technologie révolutionne également le domaine de la santé. (surveillance à distance des patients, la maintenance et la localisation d'équipements médicaux etc.)
- Innovation dans le Commerce de Détail: Le secteur du commerce de détail profite de caisses automatiques, de la gestion des stocks, de l'analyse du comportement des clients etc.
- Technologie au Service de l'Agriculture: En agriculture, la surveillance des sols, des conditions météorologiques et des cultures, les dispositifs alimentés par l'énergie solaire, et l'irrigation autonome contribuent à la mise en place de pratiques plus durables et à l'obtention de récoltes plus rentables.
Les principaux avantages de l'IoT pour les entreprises
L’apport de l’IoT pour les entreprises prend plusieurs formes.
- Plus d'Efficacité et d'Innovation
Les dispositifs IoT tirent parti des technologies de pointe telles que l'intelligence artificielle (IA), l'apprentissage automatique (ML), le cloud computing et l'analyse de données. Toutes ces technologies peuvent aider les entreprises à repousser les limites, à produire à plus grande échelle, plus rapidement et avec moins de risques, ce qui leur confère un avantage concurrentiel ; - Amélioration de l'Expérience Client
L'IoT permet aux entreprises de relever des défis cruciaux liés à l'expérience client. En collectant et en analysant des données de manière approfondie, il devient possible de comprendre le comportement des clients, de personnaliser leur parcours, d'accroître leur engagement et leur fidélité.
- Réduction des Coûts Opérationnels
En prévenant et en gérant les problèmes avant qu'ils n'affectent l'entreprise, en optimisant les flux de travail et en fournissant des données en temps réel sur les conditions du marché et les clients, l'IoT permet de réaliser d'importantes économies sur les coûts opérationnels. - Exploration de Nouvelles Perspectives et Modèles d'Entreprise
Les informations recueillies grâce à la technologie IoT fournissent aux entreprises les connaissances et la confiance nécessaires pour développer et lancer de nouveaux produits, services, voire des modèles d'entreprise innovants tels que les abonnements. - Amélioration de la Sécurité
La surveillance en temps réel des lieux de travail et de l'équipement, à l'aide de capteurs et de caméras, confère à l'IoT un rôle essentiel dans la sécurité des employés, des données et de l'équipement.
Il n'est donc pas étonnant de constater que les entreprises investissent de plus en plus dans la technologie IoT. Selon les prévisions, d'ici 2030, le nombre total de dispositifs IoT en entreprise atteindra 18 milliards. D'après l'International Data Corporation (IDC), les secteurs qui investissent le plus dans l'IdO actuellement incluent la fabrication, les services professionnels, les services publics et le commerce de détail. Cette tendance promet de révolutionner la manière dont les entreprises fonctionnent et prospèrent dans un monde de plus en plus connecté.
Cette augmentation des objets connectés entraine donc une augmentation de la surface exposée des entreprises.
Il convient donc de se pencher sur le défi que représente la cybersécurité de ces nouveaux environnements/usages.
La cybersécurité au coeur de l'IoT
L'un des défis majeurs que pose la technologie IoT est lié à la cybersécurité. En réalité, chacun de ces dispositifs complexes constitue un point d'entrée pour les cyberattaquants, de sorte que le nombre de menaces et de cyberattaques augmente proportionnellement au nombre d'IoT en circulation. Selon Statista, rien qu'en 2022, il y a eu plus de 112 millions de cyberattaques liées à l'IoT dans le monde, un chiffre considérable comparé aux 60 millions enregistrés en 2021 et aux 32 millions de 2018.
De plus, compte tenu du fait qu'environ 10 millions de nouveaux dispositifs IoT sont ajoutés au réseau chaque jour, et que 57 % des objets connectés des entreprises sont vulnérables aux attaques, il est essentiel pour les entreprises d'investir dans une stratégie solide de cybersécurité IoT.
Menaces et défis
Tout d'abord, quelles sont les principales menaces et défis en matière de cybersécurité associés aux dispositifs IoT ? L'équipe cybersécurité d'Alter Solutions identifie les éléments suivants :
- Ressources limitées
De nombreux appareils IoT disposent de ressources informatiques limitées, , ce qui les empêche de prendre en charge des protocoles de chiffrement avancés et des mesures de sécurité, les rendant ainsi plus vulnérables. - Paramètres par défaut non sécurisés
De nombreux appareils sont livrés avec des identifiants par défaut tels que "admin/admin", que les utilisateurs ont tendance à ne pas modifier. Cela rend ces dispositifs facilement accessibles aux acteurs malveillants. - Absence de mises à jour
Certains fabricants d'IoT ne proposent pas la possibilité de mettre à jour le micrologiciel ou le logiciel du dispositif, les laissant indéfiniment vulnérables aux menaces telles que les logiciels malveillants ou les ransomwares. Même lorsque des mises à jour sont disponibles, les utilisateurs peuvent ne pas en être informés ou négliger de les installer ;
- Stockage et transmission de données non sécurisés
Certains appareils IoT peuvent transférer des données sans chiffrement ou stocker des données de manière non sécurisée, exposant ainsi des informations sensibles. Par exemple, il y a eu des cas où des caméras de sécurité domestique connectées ont transmis des flux vidéo non chiffrés transmettent auxquels d'autres personnes pouvaient accéder ;
- Menaces de sécurité physique
Étant donné que de nombreux dispositifs IoT interagissent avec le monde physique (par exemple, serrures intelligentes ou thermostats intelligents), toute perturbation peut avoir des conséquences physiques directes. Un pirate informatique pourrait potentiellement déverrouiller une serrure intelligente à distance, obtenant ainsi un accès physique à une propriété ; - Augmentation de la surface d'attaque
À mesure que de plus en plus de dispositifs sont connectés à Internet, le nombre de points d'entrée potentiels pour les cyberattaques augmente. Une vulnérabilité dans un dispositif pourrait potentiellement ouvrir une porte dérobée vers un réseau ou un système connecté ; - Service dénié de manière permanente (PDoS)
Dans de telles attaques, le micrologiciel du dispositif est corrompu au point que le dispositif ne peut plus fonctionner. Par exemple, le logiciel malveillant BrickerBot visait à désactiver de manière permanente les dispositifs IoT non sécurisés. - Manque de sensibilisation et de connaissance
La population en général n'est pas forcément consciente des risques associés aux dispositifs connectés. Cela peut entraîner des pratiques de sécurité laxistes, comme ne pas changer les mots de passe par défaut ou ne pas sécuriser correctement les dispositifs.
Meilleures pratiques pour les entreprises
Maintenant, passons à la partie intéressante : que peuvent faire les entreprises pour s'assurer que leurs dispositifs IoT et leur sécurité globale sont bien couverts ? Voici les recommandations de notre équipe de cybersécurité :
- Modifier les identifiants par défaut
Toujours changer les noms d'utilisateur et les mots de passe par défaut avant de déployer des dispositifs. Encouragez les utilisateurs à modifier les identifiants par défaut lors de la première utilisation.
- Mises à jour régulières et correctifs
Assurez-vous que les dispositifs peuvent recevoir régulièrement des mises à jour du micrologiciel et du logiciel. Automatisez ce processus si possible et informez toujours les utilisateurs des mises à jour critiques.
- Sécurisation de la transmission des données *
Utilisez le chiffrement de bout en bout pour les données en transit entre le dispositif et les serveurs ou d'autres dispositifs.
- Sécurisation du stockage des données
Stockez les données de manière sécurisée en utilisant le chiffrement, à la fois sur le dispositif et sur tout serveur cloud. Assurez-vous de disposer de contrôles d'accès robustes.
- Segmentation du réseau
Maintenez les dispositifs IoT sur des réseaux ou VLAN séparés pour vous assurer que si un dispositif est compromis, l'intrus ne peut pas facilement accéder à l'ensemble du réseau.
- Authentification des dispositifs
Assurez-vous que les dispositifs peuvent s'authentifier avant de se connecter à un réseau ou à un autre dispositif. Cela peut être réalisé à l'aide de méthodes cryptographiques.
- Cycle de développement sécurisé
Intégrez la sécurité dès le début de la phase de développement du dispositif. Cela comprend des pratiques de codage sécurisé, des audits de sécurité réguliers et des tests de pénétration.
En parlant de tests de pénétration (ou pentesting), il s'agit de l'une des offres de cybersécurité les plus importantes proposées par Alter Solutions pour protéger vos appareils IoT. L'un de nos experts en cybersécurité explique comment cela fonctionne : "Dans les tests de pénétration IoT, nous simulons des attaques réelles sur le dispositif, ses protocoles de communication, les services en arrière-plan et toutes les applications associées. Les attaquants peuvent tenter d'intercepter des transmissions de données, de manipuler les fonctionnalités du dispositif ou de violer son réseau associé", précise-t-il. L'objectif est d'identifier les vulnérabilités qui doivent être corrigées.
Notre expert en cybersécurité garantit également que l'équipe de tests de pénétration utilise les dernières technologies et techniques pour effectuer ce service. "Nous disposons des outils les plus récents, tels que Proxmark, Hack RF, BusPirate et autres postes de soudure, et nous menons divers projets de recherche et développement pour identifier des vulnérabilités et les signaler. Nous contribuons également activement au référentiel l Proxmark RRG, afin de rester à jour en matière de sécurité RFID, garantissant ainsi que les techniques de tests de pénétration que nous utilisons sont à la pointe. De plus, ces contributions peuvent améliorer les capacités de l'outil, au bénéfice de la communauté élargie de la cybersécurité."
Progrès et défis de l'IoT : le point de vue d'un développeur
Le nombre d'appareils IoT ne cesse de croître, mais ce qui est encore plus remarquable, c'est l'amélioration constante de leur niveau de qualité. Selon Vítor Santos, expert en développement de logiciels chez Alter Solutions, cette évolution s'accompagne de "l'amélioration des microprocesseurs et du développement de nouveaux processeurs plus rapides". "De plus", ajoute-t-il, "il existe de nouveaux ordinateurs monocartes (SBC) avec des processeurs et des composants qui permettent de faire progresser les projets de collecte de données, l'intégration de capteurs et l'amélioration de la connectivité".
Selon Vítor, les avantages de l'IoT pour les entreprises sont indéniables. "Grâce à la mise en œuvre de l'IoT, il est possible d'évaluer et d'analyser des processus spécifiques liés à la performance de la production à différents moments", explique-t-il. "Un bon exemple de cela est l'application de l'IoT dans l'industrie agricole pour évaluer la qualité du sol, la qualité de l'eau, entre autres facteurs. Son utilisation est si vaste qu'elle peut être employée dans des domaines tels que la sécurité, en tant que moyen de surveillance et de suivi".
Cependant, selon notre développeur, l'un des plus grands défis actuels liés aux dispositifs IoT réside dans le manque de compréhension de leurs avantages. "Il y a un manque d'informations sur les avantages que l'IoT peut apporter aux entreprises, car beaucoup d'entre elles ne connaissent pas cet outil", affirme Vítor, ajoutant quelques autres défis à la liste : "Il y a également le besoin d'experts spécialisés (qui ne sont pas faciles à trouver), le fait que de nombreux projets nécessitent des prototypes, et des problèmes de connectivité dans les zones éloignées, ce qui rend le processus de développement considérablement plus long en raison de toute la planification initiale nécessaire".
Etapes vers l'IoT dans votre entreprise
Maintenant que vous en savez beaucoup plus sur l'IoT, vous vous demandez probablement quelles étapes suivre pour vous lancer dans l'aventure. Voici nos conseils :
- Déterminez quelle technologie IoT convient le mieux à vos besoins et objectifs commerciaux.
- Lorsque vous prenez cette décision, assurez-vous que la technologie peut être facilement intégrée à votre réseau et à votre système actuels, et vérifiez également qu'elle est évolutive (nous pouvons vous aider à cet égard).
- Mettez-nous au défi d'élaborer un plan de projet pour vous et de constituer une équipe de développement hautement qualifiée.
- N'oubliez pas d'investir dans une stratégie de cybersécurité fiable.
- Une fois que tout est en place, vous pouvez commencer à récolter les avantages.