IoT : Comment sécuriser vos dispositifs ?

Un capteur d’humidité ou un détecteur de présence qui peut paraître anodin, risque d’être la cible d’attaques extérieures pouvant compromettre le réseau en entier. Une fois que l’objet connecté est compromis, ce terminal crée un porte dérobée, laissant passer d’éventuelles menaces dans le réseau entier. Sécuriser les objets connectés est l’étape la plus complexe. En effet, non seulement peu de solutions existent, mais en plus, il y a de nombreuses contraintes techniques à respecter en termes de capacité de la batterie, de CPU, de mémoire qui limitent d’autant les options de sécurisation.

 
 

1. LES RISQUES DE SÉCURITÉ

  • Les risques en rapport avec le micrologiciel présent dans le dispositif, qui peut dans certains cas être facilement reprogrammable, ou non maintenu à jour, ce qui engendre des failles de sécurité plus ou moins importantes

  • Les risques engendrés par le constructeur du dispositif, qui ne prévoit pass la sécurisation des dispositifs (solutions de prévention de menaces, capacité matérielle du dispositif….) 

  • Les risques de présence de dispositifs compromis, ou d’informations acheminées, faussées ou dangereuses. Par exemple, des puces RFID, qui est la technologie de radio-identification communément utilisée dans les télépéages ou encore le paiement sans contact qui seraient compromises et qui permettrait de véhiculer de fausses informations

  • Les risques d'inattention, par exemple en omettant de protéger les ports USB d'un dispositif, permettant à n'importe quel individu de connecter une clé USB qui pourrait contenir un logiciel malveillant

2. LES MOYENS DE PRÉVENTION

  • Mettre en place un système de surveillance et de gestion des différents dispositifs. Ce système permet de superviser leur fonctionnement, de lister les dispositifs utilisés ou hors ligne, etc. 

  • Vérifier en continu via une interface de gestion (génération d’alertes possibles) que le micrologiciel de tous les dispositifs est mis à jour, et s'assurer que le déploiement des mises à jour est sécurisé

  • Garantir une authentification sécurisée pour avoir accès au dispositif. En effet, dans le cas où des configurations doivent être faites au niveau du dispositif, il est important de distinguer les différents types d'utilisateurs ("Root", "Admin" et "User" par exemple), pour accorder à ces utilisateurs des droits spécifiques selon leur statut  

  • Implémenter une protection contre les appareils ou les supports de mémoire inconnu, tel que les clés USB ou les cartes mémoire, en bloquant la lecture

  • Étudier la possibilité d'intégrer des solutions de protection contre les logiciels malveillants sur les dispositifs, en prenant en compte les capacités en CPU et en mémoire. Si ces capacités ne le permettent pas, il convient de s'intéresser à des solutions cloud, offrant plus de fonctionnalités, car elles ne sont pas bloquées par des contraintes de capacité des dispositifs.

3. LES DIFFÉRENTS TYPES DE SOLUTIONS SUR LE MARCHÉ

 Il existe différentes façons d'implémenter et d'installer des solutions de sécurisation de dispositifs IoT, chacune ayant ses avantages et ses inconvénients :

  • Localement sur le terminal. Ces solutions se voient très limitées par les capacités des dispositifs. En effet, un dispositif comprend généralement un CPU et une mémoire très limités pour une consommation minimale d’énergie. Elles doivent donc être optimisées, ce qui peut compromettre leur capacité de protection

  • Sur un Cloud. Cette façon de faire est purement orientée vers l'analyse des données avec les différentes intelligences qui existent dans les solutions de protection. Ainsi, il est possible de prédire le comportement d'un dispositif grâce aux informations contenues dans les transmissions (nature et contenu des paquets, fréquences, etc.)

  • En mode hybride, en installant un module (par exemple : ) sur le dispositif en plus de l'intelligence principale qui se trouve sur le Cloud. Cette méthode permet de couvrir un maximum d'aspects de protection en permettant d'installer une protection minimale sur le dispositif et d'exploiter au mieux les capacités des solutions cloud. Ainsi, combiner les solutions locales et sur le Cloud permettent de protéger un maximum les dispositifs IoT.


Pour conclure, il est primordial de réfléchir à la sécurité des dispositifs IoT dès la phase d’idéation du projet IoT, de bien cartographier les risques et de mettre en place des contre-mesures (solutions cloud, locale ou hybride). A noter que la certification permet de garantir un niveau minimal de sécurité (exemples de certification : ). Enfin, il convient de s’intéresser à la sécurité des autres éléments de la chaîne de valeur telle que la connectivité, sujet qui sera traité dans un prochain article.

Et vous, avez-vous songé à la sécurité de vos dispositifs IoT ? 

IoTImane Ait ElourfNavigacom, IT, Endpoint, cybersécurité