Vol de données, menaces sur les infrastructures sensibles: les enjeux de la cybersecurité pour l'IoT aujourd'hui

Faire appel à des sociétés expertes, maîtrisant à la fois le risque cyber et les enjeux liés à l’usage de l’IoT, devient donc une nécessité pour analyser la sécurité des produits IoT et de leurs systèmes associés, avant de vérifier que les mesures adéquates ont été prises. C’est la proposition unique de Bureau Veritas, associant ses nouveaux savoir-faire en cybersécurité avec les compétences reconnues de ses laboratoires de test IoT et de ses auditeurs en risques industriels.

« Les cyberattaques profitant de la vulnérabilité des objets connectés restaient assez marginales jusqu’en 2016. Depuis 2016 les principaux observateurs de la cybersécurité rapportent une multiplication de ces attaques d’un facteur 3 à 7 en fonction des sources de mesure utilisées, avec encore +50% d’augmentation en 2019 par rapport à 2018 », lance d’emblée Jean-Baptiste Gillet (Directeur en charge de la stratégie cybersécurité  chez Bureau Veritas), à la tête de la « task force » de Bureau Veritas dédiée à la cybersécurité. Le ton est donné : il y a urgence.

De fait, avec l’explosion du nombre d’objets connectés à Internet – en 2025, ils devraient avoisiner les 40 milliards – la « surface exposée » (comprendre : vulnérable aux attaques) augmente mécaniquement. Au point que 25 % des cyberattaques pourraient à terme passer par ces objets, plutôt que par les ordinateurs. De la prise de contrôle de voitures connectées en cassant la clé Wifi aux diagnostics de vulnérabilités de serrures connectées ou la démonstration de l’attaque du système Zigbee de commandes, les exemples sont nombreux. Les hackers s’appuient également de plus en plus sur les failles des objets connectés pour créer par exemple un Botnet (réseau de bots informatiques) menant à des attaques de grande ampleur. Ce fut le cas du Botnet Mirai en 2016 qui a infesté plusieurs sites et services en passant par des caméras de surveillance vulnérables.

Qu’un hacker prenne le contrôle d’une brosse à dent connectée semble relativement bénin. Qu’une équipe de cyber attaquants bien organisée réussisse à accéder au système de contrôle-commande d’une usine chimique ouvre des risques autrement préoccupants. Et que se passerait-il si des cyber attaquants parvenaient à prendre le contrôle du système de conduite d’une voiture autonome ?

La cybersécurité est-elle à la hauteur de ces nouveaux défis ?

« Pour répondre à cette question, il est utile d’abord de distinguer deux grandes familles d’objets connectés », rappelle Philippe Sissoko (Directeur des Opérations, LCIE Bureau Veritas). La première est celle des appareils à courte portée, qui fonctionnent avec les technologies WiFi, Bluetooth, LoRa, ZigBee, etc largement diffusée dans le « grand public » et une partie de l’industrie. Ce sont par exemple les enceintes connectées, les « wearables » ou les dispositifs de « smart home ». C’est en particulier sur cette famille que les attaques se multiplient, car leurs fabricants ne sont pas habitués à prendre en compte la cybersécurité durant les phases de développement, puis ces objets se diffusent très rapidement, auprès de consommateurs rarement conscients des risques de piratage. Selon une étude récente, plus de 40% des foyers SmartHome seraient ainsi équipés d’au moins un objet connecté vulnérable. L’autre grande famille est celle des appareils à longue portée, utilisant des technologies cellulaires, comme les smartphones, historiquement assez bien protégés grâce notamment aux cartes SIM mieux sécurisées.

 «Il faut aussi distinguer les types d’usage, complète Philippe Sissoko, ainsi au-delà des usages « grand public » de l’IoT, l’IoT industriel (IIoT) est une technologie clé pour mettre en œuvre l’industrie 4.0 et son usine ultra-connectée. Les entreprises manufacturières devront surmonter plusieurs défis dont celui de la cybersécurité face à l’étendue des dizaines de milliers de capteurs connectés utilisés à des fins de surveillance, de maintenance ou d’opération à distance. »

Vu l’importance de ces risques industriels, l’IIoT qui relève notamment des "opérateurs à importance vitale (OIV) " [tels les fournisseurs d’énergie, d’eau, les gestionnaires d’infrastructures et de transport, ndlr], fait l’objet de protocoles de protection réglementés très exigeants, issus des lois de programmation militaire  et maintenant harmonisés sous la directive « Network and Information System Security (NIS) » adopté par le Parlement Européen en 2016. Cela inclut des préconisations précises, des exigences en termes de niveau de sécurité en s’appuyant sur les capacités nationales des Etats membres en matière de cybersécurité.

« De manière plus générale, depuis 2019 en Europe, nous disposons désormais d’un cadre réglementaire à travers le « Cybersecurity Act », qui prévoit trois niveaux de cybersécurité avec des exigences de test et certification adaptées : "Elevé" – pour les établissements financiers, les infrastructures vitales...et tout ce que les Etats-membres jugeront bon d’y intégrer -, "Substantiel"- pour les grands industriels et "Basique" pour le reste et notamment l’IoT « grand public ». Il est clair qu’en réalité, aujourd’hui, ce sont toutes les filières industrielles qui doivent se mobiliser, chacune à leur niveau de risque, pour garantir la cybersécurité de l’IoT », complète Jean-Baptiste Gillet.

Renforcer la mobilisation

En pratique, ce sont pour les niveaux « Substantiel » et « Basique » que la mobilisation reste largement à structurer et renforcer. A tire illustratif, les experts recommandent en moyenne d’investir 3% du chiffre d’affaire en cybersécurité – combien d’entreprises ne dépensent même pas ce montant pour leur département IT dans leur ensemble ?

Chez de nombreux industriels fabriquant des objets connectés grand public, l’effort consenti en matière de cybersécurité se porte donc en priorité sur les équipements et processus informatiques internes. « Si de plus en plus d’entreprises se dotent d’un Chief Information Security Officer (CISO), le rôle de ce CISO se focalise souvent sur les processus informatiques de l’entreprise, et non sur ses produits, gérés par la R&D », observe Jean-Baptiste Gillet.

D’une entreprise à l’autre, d’un type d’objet connecté à un autre, les niveaux de conscience des enjeux, de préparation et de mise en œuvre de démarches de cybersécurité sont très hétérogènes. « Il faut comprendre que bien souvent les objets connectés pour le marché de masse intègrent des composants connectés dont les vulnérabilités ne sont pas forcément identifiées, encore moins prises en compte. Or un luminaire connecté peut, indirectement, donner accès à un réseau wifi domestique – nous avons déjà été témoins de ce type de piratage », relate Philippe Sissoko.

 Au final, on identifie en général quatre types de risques liés à une attaque cyber : altération des fonctions de l’équipement, prise de contrôle à distance, accès aux données voire vol d’informations confidentielles (y compris les données de propriété intellectuelles) et enfin utilisation de l’objet connecté comme point d’entrée du réseau internet. Et si le risque n’est pas contrôlé, la responsabilité du fabricant est désormais directement mise en cause.

Conséquence : les entreprises ont plus que jamais besoin d’un accompagnement de confiance pour les aider à maîtriser la cybersécurité de l’IoT au cœur de leurs processus. « En pratique, nous aidons nos clients industriels à identifier les menaces et les risques associés ; puis nous les aidons à concevoir des plans d’action pour réduire les menaces et assurer l’intégrité des données ; nous les accompagnons ensuite pour vérifier la bonne mise en œuvre de ces plans, et leur proposons plusieurs solutions de certification, pour valoriser leur maîtrise et leurs efforts en matière de cybersécurité IoT », explique Jean-Baptiste Gillet.

Et les résultats sont là renchérit Philippe Sissoko : « à un industriel, après avoir indiqué que le wifi auquel était connecté son disjoncteur électrique n’était pas protégé, nous lui avons recommandé d’inhiber par défaut la connexion wifi, afin d’éviter qu’un hacker ne prenne le contrôle du disjoncteur et ne désactive ainsi tous les dispositifs de sécurité physique».

Cet accompagnement s’appuie sur des référentiels et schémas d’évaluation adaptés qui permettent aux entreprises de prendre de l’avance sur la réglementation Européenne. Les spécifications proposées par Bureau Veritas s’appuient en effet non seulement sur des normes et spécifications techniques publiées et reconnues (par exemple l’IEC 62443 pour la sécurité des systèmes industriels) – aptes à mettre en œuvre les exigences du Cybersecurity Act – mais aussi avec les innovations issues du groupe de travail Eurosmart, auquel contribue Bureau Veritas.

L’enjeu étant de mettre à disposition des vérifications intelligentes, accessibles, tout en garantissant un certain niveau de sécurité adapté à la fonctionnalité du produit. « Certaines évaluations, prévues par le schéma de certification basés sur les « Critères Communs », peuvent prendre de 50 à 200 jours, c’est inconcevable pour la majorité de nos client » complète Philippe Sissoko ; « il s’agit de trouver des moyens d’adapter les exigences et les techniques d’évaluation afin d’accélérer, et de maîtriser les coûts de la certification. C’est pourquoi nous avons mis au point, par exemple, avec le CEA-LETI, un système automatisé de détection des vulnérabilités connues, pour certaines interfaces d’objets connectés. Avec cet outil, nous pouvons donc tester un premier niveau de cybersécurité d’un objet connecté, en même temps que nous effectuons nos tests traditionnels d’interopérabilité ou de rayonnement électromagnétique ». De quoi accélérer la construction d’un environnement de confiance pour accueillir la déferlante des objets connectés !