« Il y a beaucoup de sceptiques autour de l’IoT. Tout récemment, l’industrie de la téléphonie mobile a relayé leurs craintes. Et effectivement, si l’on relègue la sécurité au second plan, nous allons sans doute avoir de sérieux problèmes. Cela m’a incité à dresser un simple inventaire des bonnes pratique en ce domaine, » écrit Bjørn Søland, expert de l’IoT chez Nexus Group.
L’industrie de la téléphonie mobile s’est récemment réunie à Bogota, en Colombie, à l’occasion du colloque Mobile 360 d’Amérique Latine, organisé par l’association des opérateurs de téléphonie mobile, la GSMA. L’avenir était au cœur des discussions, et concernant la sécurité de l’IoT, le sentiment général était qu’il fallait s’attendre à de sérieux problèmes. Les pires prédictions ont laissé entendre que la complexité engendrée par les milliards d’objets connectés sera si difficile à gérer qu’une cyber apocalypse sera pour ainsi dire inévitable.
Rappel des bonnes pratiques
Quel est le problème, exactement ? Avez-vous oublié que le « I » d’IoT signifie « Internet », et que les objets (« Things ») en question ne sont que de simples ordinateurs ? L’Internet ne date pas précisément d’hier, et nous nous servons d’ordinateurs connectés via internet pour des choses aussi sérieuses que des transactions bancaires depuis plus de 20 ans. Tout ce que nous avons à faire est de nous rappeler les bonnes pratiques, durement apprises durant les dernières décennies ; la communauté de l’IoT n’est pas obligée de répéter les erreurs commises au cours des années 90.
Voici le bref inventaire que j’ai dressé – toutes ces bonnes pratiques sont éprouvées, et aucune n’est particulièrement difficile à implémenter :
- Attribuer une identité de confiance à chaque objet et utilisateur individuels ; si nous ne savons pas avec qui nous communiquons, nous ne pouvons nous fier à notre système.
- Gérer les identités, ainsi que les groupes, rôles et permissions.
- Produire et gérer les crédentials pour les authentifications sécurisés, à la fois pour les personnes et les objets ; les mots de passe ou « shared secret » ne sont bien évidemment pas recommandés (pour le dire sobrement).
- Empêcher les périphériques piratés de se connecter, et supprimer ceux qui ne fonctionnent pas.
- Protéger les données stockées dans les objets.
- Protéger les données en transit.
- Veiller à la sécurité des mises à jour logicielles.
Si nous appliquons l’ensemble de ces bonnes pratiques, il n’y aura pas de cyber apocalypse !
Bjørn Søland, expert de l’IoT chez Nexus Group, société spécialisée dans les identités et la sécurité.