La sécurité dans l'IoT - un défi

L'Internet des objets (IdO) n'est pas un nouveau paradigme - il a été défini pour la première fois par Kevin Ashton en 1999, lorsqu'il a expliqué les différentes possibilités offertes par la RFID (identification par radiofréquence) dans la gestion de la chaîne d'approvisionnement. Toutefois, le développement rapide des technologies de l'information et de la communication (TIC) ainsi que la numérisation et la mondialisation ont amené l'IdO, mutatis mutandis, à un niveau de mise en réseau sans précédent. Si hier encore l'IoT était concept technique et isolé, c'est aujourd'hui un concept complexe et sociétal, tendance intersectorielle et omniprésente sur laquelle la société s'appuie de plus en plus. Les appareils connectés à Internet ou intégrés dans le tissu social connaissent une croissance exponentielle, allant de l'IdO grand public aux systèmes industriels et aux infrastructures critiques telles que les webcams, les mémoires et modems connectés au réseau, les technologies opérationnelles, etc. comme les systèmes SCADA et les satellites.

L'IdO a déjà transformé de nombreux secteurs et domaines

Chaque secteur économique profite de l'IdO. Pour la gestion des risques, l'IdO peut faire la différence pour les raisons suivantes : Premièrement, l'IdO génère une énorme quantité de données qui peuvent être utilisées avant, pendant et après un incident afin d'envoyer des informations détaillées et fiables sur l'état des processus des infrastructures au service approprié, ce qui permet d'éviter un dysfonctionnement de l'ensemble du système. Pendant un incident, les écosystèmes IdO peuvent fournir de précieuses informations de première main aux services d'urgence au niveau tactique et opérationnel. Ces informations sur la situation actuelle créent une meilleure image de la situation et peuvent soutenir la gestion de crise pendant et après l'incident. En utilisant des analyses de données volumineuses, les écosystèmes IdO peuvent également être combinés avec des processus de cartographie de crise afin d'obtenir des informations et des scénarios ciblés et d'améliorer ainsi la préparation.

Deuxièmement, les drones, les capteurs, les actionneurs, les satellites et les appareils de déminage télécommandés ont deux choses en commun : ils peuvent être considérés comme des appareils IdO, mais aussi être déployés dans des zones inaccessibles ou peu sûres, et ainsi fournir des informations sur l'état des choses sur le terrain.

Troisièmement, les écosystèmes IdO peuvent améliorer l'automatisation des systèmes industriels et d'autres processus répétitifs dans les infrastructures critiques, réduisant ainsi les risques associés à l'erreur humaine et améliorant la sécurité tout en réduisant les coûts.

Les écosystèmes IdO entraînent une interdépendance croissante entre tous les secteurs de la société, notamment entre les secteurs industriels et les infrastructures critiques et très critiques. Selon les prévisions, le nombre total d'appareils connectés devrait atteindre 75,44 milliards d'ici 2025. L'IdO est une tendance à prendre au sérieux, car elle représente à la fois une opportunité et un risque systémiques.

D'une part, l'IdO crée une forte valeur commerciale en raison des nombreux avantages qu'il peut apporter à la société. D'autre part, l'IdO augmente la connectivité, la collecte et l'analyse des données (Big Data) ainsi que l'automatisation et le contrôle (systèmes sans personnel). Cela représente un grand potentiel d'amélioration de la gestion des risques, ce qui permet d'accroître la sécurité, de générer des revenus et de réduire les coûts.

Conflit d'objectifs entre coûts et sécurité 

Cependant, même si les effets positifs de l'Internet des objets sont étendus, ses inconvénients ne doivent pas être sous-estimés. En raison du manque de réglementation, l'industrie investit souvent dans des mesures offrant un retour direct sur investissement, tandis que les mesures de sécurité et de protection ainsi que la gestion du cycle de vie sont souvent négligées. En conséquence, le nombre d'appareils IoT mal sécurisés et non protégés utilisés dans la société a atteint un niveau alarmant. C'est ce qu'a montré l'attaque DDoS d'octobre 2016 contre le botnet Mirai IoT : L'incident, s'il avait été couronné de succès, aurait pu provoquer une panne de l'Internet à grande échelle dans toute l'Europe.

Même aujourd'hui, la réglementation, la normalisation et la certification de l'IdO sont encore embryonnaires. En effet, il n'existe pas de normes universellement reconnues. Peu de pays intègrent l'IdO dans leurs stratégies nationales de cybersécurité ou de cyberdéfense, et il n'existe aucune réglementation obligatoire ou juridiquement contraignante, ni au niveau national ni au niveau international. La Grande-Bretagne est la seule nation à avoir publié un ensemble de "codes de conduite" relatifs à l'IdO. Au niveau international, l'Enisa, l'UIT et l'OTAN ont publié quelques recommandations sur l'IdO. La réglementation juridiquement la plus contraignante en matière d'IdO est l'accord de normalisation de l'OTAN, qui ne se concentre toutefois pas exclusivement sur l'IdO. Il semble donc évident qu'une réglementation est nécessaire, notamment en ce qui concerne les systèmes industriels et les infrastructures critiques, afin de garantir la sécurité, la protection et la responsabilité des écosystèmes IdO.

Conception, processus de production et gestion du cycle de vie

Une mauvaise réglementation et le conflit d'objectifs entre les coûts et la sécurité de l'IdO ont notamment conduit à des procédures de conception et de production peu sûres et non protégées, ainsi qu'à une mauvaise gestion du cycle de vie. Cela soulève les questions suivantes : Premièrement, les écosystèmes IdO plus anciens sont-ils compatibles avec les systèmes informatiques modernes et, si oui, combien de temps faut-il pour qu'ils deviennent obsolètes ?

En raison d'une gestion insuffisante du cycle de vie, il est en effet difficile de prévoir avec précision combien de temps un appareil IdO peut être utilisé sans dysfonctionnement. Deuxièmement, si un appareil IdO doit être remplacé, qui sera responsable de son remplacement et qui supportera les coûts financiers supplémentaires ? L'appareil IdO remplacé sera-t-il aussi sûr que l'ancien ? Qu'en est-il de sa durée de vie ?

Ces questions sont particulièrement centrales en ce qui concerne les systèmes industriels et les infrastructures critiques qui utilisent de nombreux appareils IoT et qui ne peuvent se permettre de tomber en panne et doivent être opérationnels à tout moment.

Attaques de pirates informatiques 

L'attaque contre Mirai n'est que la plus connue - mais la tendance montre que les attaques IoT ont fortement augmenté depuis 2016. C'est pourquoi le gouvernement japonais a décidé en janvier 2019 de tester tous les appareils IoT présents sur le sol japonais - ceci notamment pour sécuriser les Jeux olympiques d'été de 2020 à Tokyo, qui ont été récemment reportés à 2021. En effet, les appareils IoT peuvent être détournés de différentes manières et à différentes fins : Espionnage, interférences, criminalité, hacktivisme, etc. Étant donné que les dispositifs IdO sont déjà présents dans toutes les infrastructures critiques, les écosystèmes IdO, s'ils ne sont pas correctement sécurisés, constituent potentiellement un point d'entrée pour des activités criminelles et dangereuses, et donc une vulnérabilité systémique.

Dysfonctionnements et obsolescence 

La gestion insuffisante du cycle de vie de l'IdO évoquée plus haut peut entraîner une défaillance des appareils, capteurs ou actionneurs connectés et l'envoi d'informations erronées, voire l'absence d'informations du tout. Ceci est particulièrement inacceptable dans le contexte de la protection de la population et des infrastructures critiques et peut avoir de lourdes conséquences. A titre d'illustration, quelles seraient les conséquences si le récepteur du système européen de contrôle des trains 2 (ETCS 2), également utilisé en Suisse, installé entre les rails, ne fonctionnait pas correctement et transmettait les mauvaises informations au train ?

La fiabilité de l'IoT

La fiabilité des dispositifs IdO est étroitement liée à leur conception, à la gestion de leur cycle de vie et à leur processus de production : un écosystème IdO est considéré comme fiable si lui-même et ses dispositifs sont conçus et fabriqués de manière à être "sécurisés par conception" et si la gestion de leur cycle de vie est axée sur la sécurité et la protection. Cependant, en raison de l'absence de réglementation et pour les raisons déjà mentionnées, ce cas idéal est aujourd'hui inexistant. La gestion des risques doit donc prendre en compte le fait que presque tous les dispositifs IdO utilisés sont potentiellement non fiables.

Manque de sensibilisation et de connaissances sur l'IdO 

Premièrement, le marché concurrentiel et le développement rapide des TIC obligent les industries de l'IdO à se diversifier et à innover. Le problème est que les entreprises manquent souvent de connaissances et d'expérience pour produire des dispositifs IdO sûrs. C'est notamment le cas lorsque des entreprises établies entrent pour la première fois sur le marché de l'IdO (p. ex. voitures semi-automatiques, réfrigérateurs connectés, etc.)

Deuxièmement, le manque de conscience du contexte des dispositifs IdO déployés peut entraîner des dysfonctionnements systémiques ou l'exploitation de vulnérabilités contextuelles. Le déploiement d'un réseau de dispositifs IdO dans une maison, un hôpital, une usine ou un réseau électrique national nécessite différentes considérations de sécurité.

La contextualisation est essentielle pour comprendre les menaces et les vulnérabilités spécifiques qui affectent chaque écosystème IdO. Par exemple, le canton de Bâle-Ville a décidé d'acheter de nouvelles voitures de patrouille de police et a opté pour les voitures hyperconnectées Tesla.

Cependant, Tesla a ensuite été en mesure d'accéder à presque toutes les informations des voitures de police - y compris le géo-tracking, l'état du moteur, les caméras vidéo, etc. Cette grave erreur concernant l'intégrité des données est principalement due au manque de sensibilisation et de contextualisation de la personne responsable de cet achat.

Suisse : impact sur la gestion des risques

Sa situation au centre de l'Europe occidentale signifie pour la Suisse qu'elle est un nœud central pour différents domaines critiques : transport de gaz (gazoduc Marseille-Cressier-Rotterdam), réseau électrique, transport de marchandises, etc. En raison de ces interdépendances systémiques, une panne des infrastructures critiques en Suisse pourrait éventuellement avoir un effet domino dans toute l'Europe occidentale. Pour cette raison, l'utilisation d'appareils IoT dans les infrastructures suisses ne doit pas être prise à la légère. La priorité devrait être donnée avant tout à la réglementation de l'IdO, d'autant plus qu'il n'existe à ce jour aucune norme ou réglementation dans ce domaine en Suisse. Au mieux, il existe des recommandations qui émanent de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) et de Prophylax, un programme de prévention et de sensibilisation du Service de renseignement de la Confédération. Toutefois, ces recommandations s'adressent généralement aux consommateurs et non aux fabricants, vendeurs ou prestataires de services. Afin de souligner l'urgence de réglementer le trafic Internet en Suisse, ce domaine devrait être mieux intégré dans la stratégie de cybersécurité de la Suisse. En outre, la normalisation et la réglementation soulèvent la question suivante : la Suisse doit-elle s'aligner sur la réglementation IdO quasiment inexistante et augmenter ainsi son interopérabilité avec les pays environnants ? Ou bien la Suisse devrait-elle élaborer ses propres normes et réglementations et augmenter ainsi sa souveraineté ?

Auteur

Alice Crelier, chercheuse, Cyber Defense Project, Risk and Resilience Research Team, Center for Security Studies (CSS), ETH Zurich