Une intégration dès les premières étapes du projet de déploiement
Assurer la sécurité des objets connectés (également appelés IoT pour Internet of Things) est une nécessité impérieuse et doit être intégrée dès les premières étapes du projet. Pour réussir un déploiement sécurisé et respectueux des réglementations, les compétences d’un intégrateur doivent comprendre aussi bien la maitrise des infrastructures que celle de la conformité et de la cybersécurité.
Dans un article précédent, nous avons abordé le sujet de l’IoT sous l’angle des compétences nécessaires pour réussir le déploiement d’une infrastructure de collecte et d’analyse de données. Dans le présent article, nous abordons la problématique de la sécurité des objets connectés et des réseaux d’IoT.
Sans la confiance dans la sécurité des données et des appareils, les entreprises auront des réticences à adopter l’IoT. Les utilisateurs, quant à eux, se préoccupent de leur vie privée et de la sécurité des données qui sont collectées par les systèmes d’IoT. Les entreprises doivent donc assurer une double contrainte de conformité et de cybersécurité. Deux concepts qui vont de pair et doivent être intégrés dans le processus de déploiement dès les premières étapes.
L'importance d'une architecture sécurisée et adaptive
La prise en considération de la sécurité dès le départ aboutit à la mise en place d’une architecture sécurisée et adaptive. Elle aide à réduire les difficultés lors de la phase de déploiement.
Malheureusement, de nombreuses entreprises ne se préoccupent que vaguement des vulnérabilités que présente l’IoT, et se concentrent davantage sur les économies de coûts et la commodité qu’il offre. De fait, déployer des systèmes sécurisés et conformes aux réglementations est un défi, car il faut des compétences et une expertise confirmées des réseaux et de la cybersécurité. Celle-ci doit faire partie des paramètres à intégrer dès la phase d’idéation. Pour ce faire, il s’agit de mettre en place les compétences en cybersécurité nécessaires et les faire travailler en équipe avec la team infrastructure.
Implémenter une sécurité multiniveaux est un défi
Qui dit IoT dit multiplication des points terminaux connectés au réseau et par conséquent une augmentation proportionnelle des risques cyber.
Dans le processus de déploiement d’un réseau d’IoT, la sécurité doit s’intégrer à tous les niveaux, car cet écosystème est une chaîne de collecte et de traitement de l’information qui comporte plusieurs portes d’entrée possibles : des objets eux-mêmes, du réseau et des postes d’administration par exemple.
« La cybersécurité et la conformité aux réglementations, RGPD en l’occurrence, sont les deux impératifs qu’il faut tenir constamment présents à l’esprit, rappelle Jonathan Khattir, directeur technique chez Wixalia. Nous incorporons des briques de sécurité dans les systèmes d’accès au réseau et une politique de sécurité spécifique s’applique à chaque objet ».
En effet, les accès sont protégés par un processus d’authentification chiffré et aucun des objets ne peut se connecter au réseau sans être dûment authentifié. Ces garde-fous sont rendus nécessaires et renforcés par un contrat de maintenance qui comprend des mises à jour régulières afin de pallier les vulnérabilités qui peuvent apparaitre avec le temps.
Chaque objet connecté reçoit son profil de sécurité
Malheureusement, les impératifs de compétitivité sur le marché très concurrentiel de l’IoT fait que la sécurité est souvent moins prioritaire pour les fabricants que les délais de mise sur le marché.
« Les acteurs de l’IoT sont avant tout des fabricants de matériel, déclare Christophe Le Reun, directeur technique chez Wixalia. Les coûts de fabrication, tirés vers le bas par une concurrence acharnée, ne leur permettent pas de développer des OS sophistiqués. Leurs mises à jour se concentrent principalement sur la correction de bugs, et, éventuellement, quelques correctifs de sécurité. Le problème c’est que ces mises à jour ne sont pas suivies dans le temps, elles s’arrêtent généralement au bout d’un ou deux ans ».
Pour pallier ce déficit de sécurité intrinsèque, Wixalia a mis au point une parade pour sécuriser chaque objet connecté au réseau. Ils reçoivent tous individuellement un profil de sécurité spécifique, avec des règles très strictes. Par exemple, une caméra ne peut communiquer qu’avec un enregistreur vidéo spécifié. Cette précaution interdit toute redirection du flux vidéo vers un autre enregistreur.
Un guichet unique pour les clients
Comme tout projet de déploiement d’IoT, la multiplication des interlocuteurs et des intervenants peut être un frein à la réussite du projet.
« Nous faisons partie d’un groupe dans lequel nous mutualisons nos compétences, explique Jonathan Khattir. Wixalia est notamment spécialisé dans les infrastructures réseau, et nous intégrons dans nos déploiements IoT l’expertise conformité et cybersécurité des équipes de Cinalia, la division conseil stratégique, cybersécurité et ingénierie applicative de Synelience Group ».
Cinalia a développé son expertise des technologies et des processus de cybersécurité dans le marché très exigeant de la santé. « Nous proposons un guichet unique à nos clients afin d’éviter la dispersion de l’information et la complexité inhérentes à la multiplication des interlocuteurs », conclut Jonathan Khattir.
