L'IdO, un défi pour la sécurité
Une stratégie pour l'Internet des objets (IoT) est indispensable pour les entreprises. En effet, l'IdO compte parmi les menaces de cybersécurité les plus sous-estimées et les plus négligées. L'utilisation des technologies numériques offre un immense potentiel - mais comporte également des risques considérables. Les points faibles des appareils sont (malheureusement) omniprésents et le nombre de logiciels malveillants ne cesse d'augmenter. Des approches globales et une procédure systématique sont nécessaires pour établir la cybersécurité dans l'IdO en pleine croissance.
La mobilité croissante et l'utilisation d'appareils connectés ont pour conséquence l'omniprésence des points d'accès. On estime que d'ici 2019, environ 85% des entreprises suisses utiliseront des composants IoT. La connectivité pénètre ainsi dans des domaines commerciaux qui étaient jusqu'à présent indépendants. La production industrielle est également transformée par la numérisation croissante. L'utilisation accrue des technologies numériques entraînera un grand changement dans le monde du travail au cours des prochaines années. Les ordinateurs, les robots, les appareils intelligents, etc. exécutent des tâches de plus en plus exigeantes et communiquent non seulement avec les hommes, mais aussi entre eux et avec les produits fabriqués. Cette étroite imbrication d'éléments d'intelligence artificielle, de machines et de collaborateurs donne naissance à une nouvelle main-d'œuvre en réseau dans l'industrie de production. Par rapport aux appareils traditionnels isolés, ceux dotés de la technologie IoT présentent de nombreux avantages, notamment une efficacité et une automatisation accrues.
Le risque de sécurité augmente avec la mise en réseau
Les entreprises deviennent donc de plus en plus dépendantes de la mise en réseau, de la communication, de l'IoT et de l'industrie 4.0, ce qui augmente également le risque que ces systèmes soient manipulés ou perturbés. Le potentiel augmente de manière équivalente aux possibilités : Vol, fraude, chantage et manipulation sont des conséquences possibles. L'utilisation de cryptomonnaies comme Ethereum, Bitcoin ou Litecoin (liste non exhaustive) comme système de micro-paiement augmente encore le risque d'attaque - sans que l'utilisateur ne soit directement impliqué. Les attaques contre les systèmes de climatisation, de ventilation et de contrôle d'un discounter américain, l'attaque "WannaCry" contre le National Health Service britannique ou les botnets IoT l'ont montré très clairement. En fait, c'est tragique, car des études indiquent en permanence d'innombrables points faibles. Parallèlement, des principes de sécurité fondamentaux, considérés depuis des années comme des pratiques d'excellence, ne sont souvent pas intégrés dans le cycle de développement des composants IoT. La sécurité est - une fois de plus - le point noir. Les politiques l'ont également remarqué. C'est pourquoi le Conseil national a approuvé un postulat 17.4295 lors de la séance de clôture de la session de printemps. Le Conseil fédéral doit maintenant montrer comment augmenter la sécurité des appareils IoT et rendre plus difficile leur utilisation à des fins de cybercriminalité.
Agir au lieu de réagir
La cybersécurité devrait figurer en bonne place sur l'agenda de chacun - et pas seulement lorsque quelque chose a mal tourné. Quiconque s'occupe de l'IoT et de l'industrie 4.0 doit impérativement se pencher sur le thème de la sécurité. Il est recommandé de miser sur une approche systématique et d'accorder l'importance nécessaire à la sécurité. Les normes internationales (par exemple la famille ISO/IEC 270xx ou le cadre de cybersécurité du NIST ; des normes de sécurité plus spécifiques à l'IoT sont en cours d'élaboration) offrent des modèles reconnus pour la mise en place, la mise en œuvre, la vérification et l'amélioration continue sur la base d'un système de gestion de la sécurité de l'information (ISMS).
Sur le plan technologique, la clé de la sécurité réside dans une architecture et un zonage appropriés pour les réseaux IoT et Industrie 4.0. L'un des aspects les plus importants est l'authentification et la protection des données, ainsi que la segmentation optimale des environnements, des flux de données, des processus d'exploitation et la surveillance des transitions de zones et des flux de données ainsi créés. Il s'agit ainsi de mettre en place différentes lignes de défense (Lines of Defense). Chaque zone et chaque transition de zone doit être dotée de mesures de sécurité appropriées. Il convient ici de s'inspirer des approches éprouvées en matière de bonnes pratiques. En outre, il ne faut pas oublier la gestion régulière des mises à jour et des correctifs des appareils IoT. La sécurité de l'IdO, partie intégrante de la cybersécurité La sécurité de l'IdO n'est pas une affaire unique, car la situation en matière de risques évolue constamment. Les entreprises doivent observer en permanence la situation actuelle en matière de menaces et optimiser et améliorer constamment leur dispositif de sécurité en tenant compte des nouvelles menaces et des points faibles. Les éléments importants d'une gouvernance de la sécurité comprennent donc des évaluations des risques, des audits organisationnels, des tests de sécurité des systèmes, des tests d'intrusion et des analyses de vulnérabilité, etc. Les entreprises devraient être en mesure de détecter à tout moment les incidents de sécurité, d'y réagir et d'en réduire l'impact au minimum. La sécurité ne doit pas être un sujet que l'on aborde à un moment donné - peut-être seulement après qu'un incident s'est produit. Si l'on s'intéresse à l'IoT et à l'industrie 4.0, il faut aussi s'intéresser à la cyberdéfense.
Markus Limacher, responsable du conseil en sécurité, InfoGuard AG, Baar
