L’Internet et les nouveaux usages du numérique révolutionnent notre quotidien et embarquent nos objets. L’extension et la représentation physique de ces usages numériques est appelé Internet des Objets, objets connectés, ou IoT (pour Internet of Things). Mais pour sécuriser ces nouveaux outils, il est nécessaire de les replacer dans leur l’écosystème.
Qu’est-ce que l’IoT ?
L’Internet des Objets (IoT) renvoie à l’interaction et au partage d’informations - souvent rattachées à un individu, entre deux objets électroniques ou machines. Ces objets dits connectés permettent le stockage et l’analyse des données pour engendrer une réaction répondant à un contexte précis. Par exemple, certaines montres connectées peuvent mesurer le rythme cardiaque d’un individu lors d’une activité physique et mémoriser un parcours grâce à une connexion GPS, puis exploiter et transférer ces informations vers des serveurs, un ordinateur ou un smartphone. Les usages de l’IoT génèrent de plus en plus de volumes de données, dont la collecte est associée au « Big Data » et à des algorithmes complexes. Ces derniers permettent de filtrer les données pour travailler entre autres sur des modèles d’aide à la décision.
Tout comme l’Internet vise à faciliter les usages et répondre à nos exigences de disponibilité de l’information, l’IoT a pour but d’améliorer le quotidien des individus ou d’interagir avec eux pour faciliter ou prévenir une situation. Dans le secteur de la santé, par exemple, de nombreux objets connectés visent maintenant à monitorer l’état de santé des patients comme les patchs connectés. Cela permet un plus grand contrôle et une meilleure réactivité à l’échelle humaine.
De la même manière, des lunettes, caméras ou réfrigérateurs peuvent être connectés pour faciliter voire assister notre quotidien.
Mais comme le rappelait Julien Patriarca, expert cybersécurité et Directeur des Services Professionnels et Support chez WALLIX lors d’une précédente interview, « toute nouvelle technologie ou concept est pensé en termes d’expérience utilisateur pour favoriser la praticité et la rapidité d’utilisation aux dépens de la sécurité ». C’est le cas de nombreux objets connectés qui n’intègrent pas ou trop peu les bonnes pratiques d’hygiène de sécurité pour protéger les données sensibles qu’ils génèrent.
Comprendre les enjeux de sécurité des objets connectés
La complexité de l’IoT pose de nombreux enjeux de sécurité. Dans une interview réalisée par ZDNet, Thomas Clausen, enseignant-chercheur à l’Ecole Polytechnique et expert IoT rappelle que pour comprendre et appréhender l’ampleur des objets connectés, il faut les replacer dans leur écosystème (Figure 1) :
« L’objet connecté s’inscrit dans une chaîne qui va du monde physique à l’électronique via des capteurs qui recueillent les informations, à la transmission des données grâce à la connexion et l’intégration des systèmes entre eux, au traitement de ces données qui sont générées dans un stockage – le Cloud, jusqu’à l’exploitation et l’analyse de ces dernières avec le Big Data ».
Figure 1 : L’écosystème de l’Internet des Objets (IoT)
L’Internet des Objets présente donc plusieurs défis de sécurité puisqu’il faut des solutions adaptées aux différentes étapes de son écosystème. La sécurité à la conception et la sensibilisation des utilisateurs finaux aux enjeux de cybersécurité des objets connectés, la sécurité des applications associées, la sécurité du Cloud ou des infrastructures qui hébergent les fournisseurs de services Cloud tels qu’Amazon ou Microsoft, et la sécurité des bases de données NoSQL (type MongoDB, Cassandra, etc.) du Big Data doivent donc être prises en compte pour sécuriser l’IoT de manière efficace.
Une chaîne de confiance pour sécuriser l’IoT
L’IoT se déploie à vive allure chez les particuliers et au sein des entreprises. En conséquence, la sécurité des objets connectés est un défi immédiat et urgent pour tous.
Les exemples de l’attaque sur les peluches CloudPets où des hackers ont volé plus de 800 000 données personnelles contenant notamment les messages vocaux d’enfants et de parents, ou de l’attaque de la société américaine Dyn en octobre dernier qui avait mis à genoux une grande partie de l’Internet mondial justifie cet état de nécessité.
D’une part, ils mettent en lumière la puissance de la portée des objets connectés et présagent l’impact qu’une nouvelle attaque potentielle pourrait avoir, tant en terme financiers, opérationnels et de réputation qu’en termes humains.
D’autre part, ils replacent les vulnérabilités liées à la sécurité des objets connectés dans leur écosystème. Dans le cas de l’attaque Dyn, un logiciel malveillant a été utilisé pour cibler directement les mots de passe des objets connectés. Cela renvoie à un problème de sécurité à la conception des objets mais aussi au manque d’éducation des utilisateurs finaux sur les bonnes pratiques nécessaires pour renforcer leur propre sécurité. Concernant le vol de données des peluches CloudPets, Le Monde rapporte que l’incident est survenu car la base de données hébergée par le fournisseur de services Cloud n’était pas sécurisée. Ici, la vulnérabilité exploitée est donc directement liée au traitement des données stockées.
Le vaste écosystème des objets connectés et l’étendue de leur utilisation font de l’IoT une proie d’autant plus facile d’accès et attractive pour les hackers. Il est donc primordial de construire une véritable chaîne de confiance composée d’un écosystème d’acteurs de cybersécurité et de solutions intégrées pour pallier efficacement aux menaces liées à l’IoT.
WALLIX, acteur dans la chaîne de confiance pour sécuriser l’IoT
WALLIX s’inscrit en tant que partenaire de confiance dans cet écosystème de solutions de cybersécurité en protégeant les datacenters et machines virtuelles hébergées par fournisseurs de services Cloud avec une technologie de gestion des accès à privilèges de type Bastion.
Les fonctionnalités de gestion des accès et des sessions à privilèges offertes par le Bastion de WALLIX sécurisent, tracent et contrôlent l’identité et les activités des administrateurs qui exploitent les données sensibles et machines virtuelles. Grâce au Bastion, les accès aux données sensibles traitées par les objets connectés sont protégés avec un système d’authentification (single sign-on ou SSO) et un coffre-fort à mots de passe. Les sessions et les activités perpétrées sur les machines virtuelles sont ensuite enregistrées et monitorées en temps réel pour alerter les commandes frauduleuses et revenir sur un incident.
Le Bastion agit comme une barrière entre le fournisseur de services et les machines administrées ce qui diminue les menaces conduites depuis l’intérieur des systèmes et protège le traitement des données des objets connectés.
Pour en savoir plus, rendez-vous sur www.wallix.com ou contactez-nous :