Les menaces liées à l’Internet des objets

Les avancées en matière de technologie numérique permettent de produire de nouvelles applications plus rapidement. Et grâce à l’utilisation de capteurs et de communications sans fil, on peut capturer de l’information, la transmettre et la traiter pour régler des enjeux et générer des occasions dans des secteurs tels que les soins de santé, les services publics, le secteur manufacturier, l’assurance et le transport, entre autres.

Ce nouvel environnement fondé sur l’Internet des objets (IoT) transforme les organisations aussi bien que les résidences personnelles, et même les consommateurs individuels, en « centres de traitement de données » où les technologies de l’information sont utilisées à différentes fins.

Bien que les avantages de la mise sur le marché de solutions IoT soient évidents, il est tout de même important de prendre du recul et de s’attarder à la sécurité des données de ces appareils, ainsi qu’aux incidences d’une fuite involontaire ou d’une attaque.

Les enjeux des cyberattaques sont élevés pour les consommateurs lorsqu’il est question d’IoT, et il est essentiel de comprendre et de contrer les nouveaux types de conséquences. Par exemple :

• Une attaque contre un appareil médical peut induire des dommages physiques, voire la perte d’une vie.
• Le brouillage d’un capteur utilisé pour des compteurs intelligents pourrait provoquer une panne de courant et générer divers inconvénients causés par le manque d’électricité.
• Le piratage d’une voiture sans chauffeur risquerait de se traduire par une perte de contrôle du véhicule sur une autoroute bondée.
• L’exploitation des faiblesses d’un appareil IoT pourrait permettre à un individu malveillant d’accéder à des données hautement sensibles telles que des renseignements bancaires, personnels ou de santé.

Sécurité de l’Internet des objets – Principales considérations

Les fabricants d’appareils IoT devraient s’intéresser à ces menaces, mais il n’existe actuellement aucune organisation de certification pour mettre la fiabilité de ces appareils à l’essai (telles que UL, ou Underwriters Laboratories, qui assure la certification de produits en fonction des différentes normes de l’industrie). De plus, chacun des éléments de l’IoT, y compris les capteurs, les réseaux, les applications et l’hébergement, doit être évalué selon une perspective de sécurité en vue d’en assurer la protection. Il est également important de considérer l’intégration des différentes composantes.

Il faut aussi se demander si les données transmises peuvent être interceptées ou altérées par un pirate. Un appareil IoT devrait posséder un identifiant unique pour permettre les communications et la mise à jour de statut de la sécurité des applications connexes. Par exemple, les fabricants pourraient avoir recours à des fonctions physiques inclonables (PUF) en vue de générer des certificats uniques pour chaque appareil. Ainsi, même si un certificat ou un appareil est compromis dans un système IoT composé de centaines d’appareils, cette approche fait en sorte que le second appareil constitue un nouveau défi pour l’adversaire.

En plus des contrôles techniques, d’autres éléments de sécurité devraient être fournis directement aux utilisateurs IoT. Par exemple, l’utilisation prévue d’un appareil devrait être clairement définie pour le consommateur, ainsi que les risques potentiels associés à une utilisation différente. La connaissance et la compréhension de l’appareil par l’utilisateur sont des éléments importants qui sont souvent négligés.

Si les possibilités de l’IoT sont illimitées, la technologie doit être mise en œuvre à un rythme mesuré en gardant toujours la sécurité à l’esprit. Je vous invite à lire les billets de blogue de mes collègues Daina Warren (Les automobiles connectées de prochaine génération exigent une base de sécurité robuste) et Mike Corby (L’écosystème de soins de santé interconnecté exige une nouvelle approche en matière de sécurité).