Livre blanc : La sécurité de l'Internet des Objets. Digital Security

Mis en ligne par : MAURANGES-DALMAYRAC Isabelle

vendredi 21 avril 2017

Apparus avec les premiers smartphones, les objets connectés se sont progressivement démocratisés : il y aura ainsi en 2020 entre 50 et 80 milliards d’objets connectés en circulation dans le monde, générant une valeur ajoutée totale de 8900 milliards de dollars, soit plus de 10% du produit mondial brut. Cette course frénétique à l’innovation est accueillie avec grand enthousiasme par tous ceux qui, particuliers, états ou entreprises, aspirent à tout mesurer, connecter et automatiser afin de créer ou améliorer de façon substantielle les services associés. Mais dans cet emballement, il apparaît que les fournisseurs ont souvent négligé la sécurité des dispositifs connectés et de leurs infrastructures au profit de l’insatiable besoin d’innovation. En effet, si les objets connectés ont des similarités avec les ordinateurs que nous utilisons au quotidien, ils partagent également la même prépondérance à exposer un grand nombre de vulnérabilités. La prise de contrôle très médiatisée d’un véhicule par le biais de ce qu’il convenait hier d’appeler son autoradio connecté a mis en avant les risques de sûreté liés aux solutions connectées. Mais la récente démonstration de piratage d’un thermostat connecté lors de la DEF CON 2016 est un exemple des nouvelles typologies de menaces qui vont inexorablement se développer. En effet, les chercheurs ont réussi à compromettre le thermostat à distance et à bloquer son fonctionnement, dans une situation qui contraindrait les propriétaires à s’acquitter d’une rançon pour en récupérer le contrôle. Ce scénario de cyberattaque contre un objet connecté pourrait avoir lieu à court terme, quand on sait qu’en France, en 2015, près de 400 000 attaques avaient pour finalité la mise en place de rançongiciels, nouvelle « eldorado » des cybercriminels. Il n’est donc désormais plus seulement question de constater les risques et les menaces de sécurité : le temps de la réflexion, de la définition et de l’implémentation d’une approche holistique de sécurité pour les solutions connectées est bel et bien démarré. Ces derniers mois, de nombreuses initiatives proposant des modèles, des guides et des politiques de sécurité pour l’Internet des Objets (IoT) ont vu le jour : livres blancs de la GSMA, de l’ENISA, de l’ARCEP, guides IoT de l’OWASP, etc. Comme dans tout domaine naissant, émergera avec le temps une bonne pratique couramment acceptée et permettant de définir un socle commun de sécurité pour les objets connectés et leurs infrastructures, comme cela est le cas avec la sécurité des Systèmes d’Information traditionnels, dont l’IoT est devenue une extension. Réunissant des témoignages d’experts sur la sécurité des objets connectés, le livre blanc de Digital Security se veut ambitieux : il a pour vocation d’apporter un éclairage précis sur la sécurité globale des objets connectés. Après avoir défini et présenté l’écosystème de l’IoT et dressé l’état de l’art sur sa sécurité, plusieurs scénarios prospectifs d’attaques visant à sensibiliser les acteurs du marché ont été établis. Une liste des principales recommandations techniques à mettre en place pour améliorer la sécurité de l’Internet des objets est également proposée. En parallèle de cette nécessaire sensibilisation, Digital Security s’est engagé dans l’élaboration d’un programme de labellisation de la sécurité des solutions connectées, afin d’apporter un repère indispensable pour favoriser le développement en toute confiance du marché de l’IoT. Thomas Gayet, Directeur du CERT-UBIK

Télécharger : 2017-DigitalSecurity ...