"N’oubliez pas : le maillon faible de la chaîne cyber définit la robustesse de tout le système IoT…!"
A l'occasion de cette édition 2024, une huitième récompense vient d’être créée et sera remise pour la première fois : le « Cybersecurity IoT Awards ». Elle complète la famille des trophées - Innovant, Ambitieux, High-tech, Compliant, IoT Lab award, Green IoT Award et Prix du jury.
Expert en cybersécurité des IoT, animateur du Comité de Travail Cyber et sécurité des objets & systèmes connectés du think-tank GR-IoT (*), Patrizio Piasentin nous aide ici à replacer ce trophée dans un contexte très concerné par cette thématique et donne conseils aux candidats-prétendants à ce prix.
IoT Awards Academy (IAA) : Quelle est selon vous le « niveau » de cybersécurité des systèmes à base d’IoT déployés et exploités aujourd’hui ; quid de leur robustesse face à des attaques potentielles ? Plus globalement, qu’en est-il ?
Patrizio Piasentin : Les systèmes d’IoT en opération actuellement sont issus des 1ère et 2ème générations technologiques – loin du « secure-by-design », notre Graal actuel. Cela explique que les attaques sur les objets connectés sont en augmentation. Une étude, mesurant le nombre moyen de cyberattaques hebdomadaires de systèmes à base d’IoT place hélas, et avec 70 cas chaque semaine, l‘Europe en tête (contre 65 pour l’Asie et moins de 40 pour l’Amérique du Nord).
Concernant les systèmes OT (systèmes opérationnels : fabrication industrielle, distribution d'énergie, services médicaux, gestion des bâtiments et d'autres secteurs…) quelque 1 703 vulnérabilités ont été découvertes en leur sein en 2021, … plus du double relativement à 2020 ; 35 % d’entre elles pouvant entraîner à la fois une perte de vue et une perte de contrôle de tout ou partie des systèmes – selon l’éditeur de plate-forme Dragos.
Au plan mondial, ces attaques auraient eu « un coût annuel estimé à 5,5 milliards de dollars en 2021 » (source Wikipedia).
(IAA) : Où sont et quels sont à vos yeux les « maillons faibles » des IoT tels qu’en cours de conception ou de déploiement en France ?
Patrizio Piasentin : D’un point de vue général, la sécurité est encore vue comme un coût, une contrainte et non pas comme une opportunité (qualité, robustesse, différenciateur de valeurs). Cette faible sensibilisation aux enjeux de la cybersécurité conduit les donneurs d’ordres à ne pas en faire une condition sine qua non dans leur cahier des charges. Du côté de leurs prestataires, des « makers », ceux-ci ne mettent pas à sa juste valeur une conception tenant compte de la sécurité car – à tort – ils craignent d’importants surcoûts, réhaussés d’une cascade de contraintes technico-technologiques (consommation énergétique, choix des composants, connectivité, etc) pouvant remettre en cause délais et rentabilité des projets.
Du reste, ne nous étonnons donc pas de la « frilosité » des assureurs à l’égard de ces systèmes : ils ne parviennent pas, à une ou deux exceptions près, à couvrir les risques inhérents aux systèmes connectés ; leur modèle économique traditionnel montrant ses limites… Sur le plan analytique, sécuriser un système à base d’IoT c’est avant tout avoir les moyens de l’authentifier, s’assurer d’une communication intègre de bout en bout et en toute confidentialité. Pour ce faire, la mise en œuvre d’algorithmes de cryptage est toujours basée sur des clés ou des certificats. La robustesse du système repose donc sur la qualité de protection de l’emplacement physique de stockage de ces clés appelé « Secure Element ». Ceci n’est pas mentionné pour la plupart des produits, ni des cahiers des charges des systèmes à base d’objets connectés. Le principal « maillon faible » se situe là.
(IAA) : Y a-t-il tout de même une prise de conscience de ces problématiques chez les « makers » et dans les BE/ les DSI des entreprises utilisatrices/clientes des systèmes à base d’IoT ?
Patrizio Piasentin : Encore bien peu de projets demandent explicitement la certification des capteurs ou tout du moins l’utilisation de « Secure Element » dont on a vu l’utilité. Si la clé est sous le paillasson la porte blindée ne sera pas bien utile ! De plus en plus de fabricants de semiconducteurs ont intégré dans leurs composants ces coffres-forts permettant de stocker les clés.
Mais peu de « makers » les utilisent. Ainsi non seulement ces objets ne pourront pas passer les certifications, mais ils ne pourront recevoir de mises à jour sécurisées, comme c’est le cas sur unPC ou un téléphone portable.
Quant aux DSI, elles ont bien compris le risque (de propagation) pour leur infrastructure générale : elles optent au plus simple, pour ne pas connecter les objets au reste de leur système d’Information. Une solution de pis-aller qui sera de plus en plus difficilement tenable dans le futur si l’on souhaite exploiter en temps réel les informations afin de faire des optimisations sous contraintes (exemple, l’efficacité énergétique industrielle, un jumeau numérique dans le smart building).
(IAA) : Que disent de cette situation les normes, directives et règlementations européennes en vigueur et surtout celles annoncées pour les prochains semestres (CRA, REDII, etc…) ? Que doivent faire les directeurs de projets/les DSI ou DSSI pour – plutôt que de les subir - les anticiper ?
Patrizio Piasentin : L'ETSI EN 303 645 a été développé pour jeter les bases de l'assurance IoT dans le cadre de la loi de l'UE sur la cybersécurité. La Cyber Resilience Act (CRA), une fois adoptée, les fabricants disposeront de deux ans pour s'adapter aux nouvelles exigences et un an pour la mettre en œuvre. Le non-respect des obligations pourrait entraîner des amendes pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel total de l'auteur de l'infraction pour l'exercice précédent. Par la règlementation européenne, les exigences cyber vont s’imposer à tous : les DSI ou les RSSI qui protègent leurs infrastructures en isolant OT de l’IT seront rendus comptables de la sécurisation des capteurs connectées avec leurs unités de traitement IT. Dès lors, autant anticiper plutôt que subir.
(IAA) : Finalement, quel rôle voyez-vous ce nouveau trophée « Cybersecurity IoT Award » jouer dans la grande communauté des objets et systèmes connectés ?
Patrizio Piasentin : Ce « Cybersecurity IoT Award » arrive à point nommé. Il permettra une mise en lumière de la sécurité des systèmes connectés, et dans un axe « by-design » : c’est-à-dire de la conception et tout au long du cycle de vie du projet.
(IAA) : Vous avez déjà fait partie du jury des IoT Awards lors d’une précédente édition : quels conseils donneriez-vous à celles et ceux qui souhaitent candidater à cette récompense ?
Patrizio Piasentin : Portez un regard « cyber » sur votre projet notamment lors du descriptif que vous en ferez au jury. Exposez les points essentiels : comment sont sécurisés mes clés, mes certificats dans les objets connectés ? Comment j’informe mes clients d’une faille de sécurité ? Comment se ferait une mise à jour sécurisée ? Comment se sécurisent tous les maillons de la chaine les liens OT / IT, les liens avec le cloud… N’oubliez pas que c’est le maillon faible de la chaîne cyber qui définit la robustesse de tout le système… Et même si vous ne gagnez pas ce beau trophée « Cybersecurity IoT Award », rien que le fait d’y participer montrera l’importance que vous témoignez à vos clients pour la sécurité de leurs objets connectés. Voilà déjà un indéniable avantage concurrentiel !
(*) Think-tank Groupe de Réflexion IoT : www.gr-iot.org