BFM Business

Combiner sécurité hard et soft, un nouveau défi pour l'internet des objets

-

- - -

En permettant de rattacher le monde physique à la sphère de l’information, l’Internet des objets (IoT) ouvre la voie au développement d’innombrables services tant à l’intérieur de l’entreprise qu’à destination de ses clients. Mais cette interconnexion globale des personnes, des processus et du contexte – ce que l’on appelle l’Internet of Everything (IoE) – ne tiendra ses promesses que si l’infrastructure offre toutes les garanties de sûreté et de fiabilité. Ce qui fait de la cybersécurité un enjeu fondamental de l’IoT.

La prise de conscience de l’importance de la dimension sécuritaire s’accompagne souvent du constat d’un manque de maîtrise, ce qui freine nombre de projets. Les questions de sécurité souffrent en effet d’être partagées entre différents acteurs au sein de l’entreprise et d’un déficit d’interlocuteurs réunissant l’ensemble des compétences nécessaires et capables d’apporter une réponse globale et intégrée.

La sécurité de l'IoT repose en effet sur six piliers :

  • la sécurisation des capteurs et de leur fonctionnement
  • la confidentialité et l’intégrité des données en transit
  • la sécurisation des données stockées
  • la sécurisation des accès à l’information
  • une approche « chip to cloud » de la sécurité
  • une stratégie de normalisation appropriée.

Le transit des données au coeur des enjeux de l'IoT

Aux deux extrémités de la chaîne, les questions de sécurité sont bien connues et appréhendées. Les capteurs, d’une part, et les systèmes de traitement, d’autre part, mettent respectivement en œuvre les dispositifs de sécurité usuels des systèmes embarqués et d’information. En revanche, ce sont tous les enjeux liés au transit des données qui constituent la spécificité de l’IoT.

Recueillie, acheminée, traitée, stockée, la donnée passe de mains en mains jusqu’à son exploitation. Il faut donc s’assurer de son intégrité et de sa confidentialité tout au long de son parcours jusqu’à l’utilisateur final. Pour cela, se développent des approches globales de la sécurité des services connecté, dites "chip to cloud", qui visent à maintenir l’intégrité de la chaîne grâce à l’identification des objets qui s’y connectent.

Par ailleurs, pour garantir l’évolutivité et la flexibilité des écosystèmes complexes de l’IoT et de l’IoE, la normalisation est incontournable. Plutôt que d’ajouter de nouvelles normes, la GSM Association, qui regroupe les principaux opérateurs télécoms mondiaux, suggère d’utiliser des standards existants. Les recommandations qu’elle a publiées début 2016 pour sécuriser objets, réseaux et services s’appuient sur des technologies éprouvées en matière de cryptographie, d’API, de signatures logicielles…

Des stratégies de sécurité à géométrie variable

La stratégie de sécurité doit toutefois tenir compte des spécificités de l’IoT, que ce soient les protocoles à faible consommation longue portée (LoRa, Sigfox…), adaptés aux systèmes de capteurs disséminés sur des objets dépourvus d’alimentation, ou les protocoles à plus faible portée (Wi-Fi, ZigBee, Bluetooth Low Energy…), qui peuvent s’intégrer à des appareils électriques et/ou bénéficier du relai d’une passerelle.

Le cas du Low Power présente la contrainte la plus forte : il faut garantir un haut niveau de sécurité en minimisant les coûts et la consommation d’énergie.

Les messages étant limités à quelques octets, cela nécessite d’intégrer des algorithmes simples et standardisés à la puce elle-même. Par exemple, en s’appuyant sur les propriétés intrinsèques du silicium, on peut créer une signature unique pour chaque objet (Physically Unclonable Function, ou PUF), ce qui permettra de déployer de nouvelles méthodes de sécurité et de cryptographie bien adaptées aux contraintes de l’IoT.

Mais cela signifie qu’il faut aborder la question de sécurité dès la conception et intégrer les fabricants de composants à l’écosystème.

Cette couche physique est la première d’une sécurité qui prend ensuite des airs de poupées russes, des sécurités supplémentaires venant s’ajouter à chaque étape, par exemple lorsque le signal atteint une passerelle (SSL, VPN…). Quand le client final récupère l’information, il n’a plus qu’à "ouvrir" les boîtes successives pour obtenir la donnée. Elle entre alors dans le système d’information, souvent un système de big data, et les dispositifs de sécurité traditionnels s’appliquent. 

La sécurité de l’IoT, et donc de l’IoE, repose ainsi sur une série de cadenas et de clés associés, garantissant à la fois la confidentialité des données et l’indépendance des acteurs.

Pour l’heure, aucun modèle ne se dégage pour savoir qui sera le gérant et le garant du système. Objenious, la filiale de Bouygues Télécom dédiée à l’IoT, a pour sa part choisi de confier globalement le sujet à Atos, qui dispose des compétences indispensables sur la totalité des maillons de la chaîne. De cette façon, il est possible de bâtir une solution sécurisée de bout en bout, intégrant l’ensemble des partenaires de l’écosystème et offrant un socle de confiance aux services de l’Internet of Everything (IoE).

par notre partenaire Atos