La Cloud Security Alliance, une ONG spécialisée dans la cybersécurité au niveau du Cloud Computing a publié un guide de précaution à l'intention des concepteurs œuvrant dans l'IoT. Le rapport fait 75 pages et explique clairement que la menace provient de l'infection des objets jusqu'aux données.
La Cloud Security Alliance n'est pas forcément connue du grand public. Cette organisation à but non lucratif américaine a pour but d'observer les activités de la cybersécurité dans le cadre du Cloud Computing. Fort de ses 48 000 membres répartis dans le monde, le CSA (Oui, c'est perturbant pour nous français) travaille main dans la main avec les autorités américaines, la commission européenne et le gouvernement de Singapour, entre autres.
Organisée en groupe de travail, La Cloud Security Alliance a produit un rapport détaillé le 7 octobre dernier, un guide de 75 pages sur la sécurité des objets connectés. Intitulé « Futur Proofing the connected world : 13 steps to developing IoT products », (rendre à l'épreuve du futur le monde connecté : 13 étapes pour développer des produits IoT sécurisés en français), le livre met en exergue le fait qu'il faut penser la protection de ses créations dès le début de la conception. Le risque majeur, comme cela s'est produit pour l'hébergeur OVH, ce sont les attaques pirates à base d'objets connectés infectant le Cloud.
Cloud Security Alliance : les mêmes valeurs que l'ANSSI
« Que l'on parle d'assistants contrôlés par la voix ou de Barbies qui parlent, tous ceux-là interagissent avec des services contenus dans le Cloud » affirme Brian Russel président du groupe de travail IoT en réponse du média américain eWeek. Il explique également que les normes de sécurité pour le Cloud sont d'ores et déjà définies, mais que les produits IoT peuvent compromettre certains écosystèmes.
Comme Benjamin Morin, chef de laboratoire pour l'ANSSI, Russel rappelle que les objets connectés peuvent faire partie « de systèmes de systèmes ». C'est-à-dire que les composants de ce secteur grandissant peuvent se trouver au cœur d'un produit bien plus large. L'exemple le plus facile à comprendre reste le véhicule connecté, qui non seulement reprend des attributs classiques, mais aussi intègre de nombreux capteurs : détection des obstacles, caméras intégrées, capteurs thermiques, etc. tous connectés au Cloud.
La sécurité de bout en bout comme credo
Si un de ses composants n'est pas fiable, tout le système s'en retrouve compromis. Pour éviter ce genre de scénario, La Cloud Alliance Security développe dans son guide 13 étapes pour au moins régler les problèmes basiques de conception que l'on retrouve dans les objets connectés. Concrètement, la conception de ce programme passe par une sécurité de bout en bout. Chaque étape représente les moments de conception et d'installation d'un élément IoT. De la sécurité des composants au test de la plateforme Cloud choisit, tout y passe.
Ces points lèvent des questions simples. Existe-t-il des composants éprouvés pour une application donnée ? L'objet en question peut-il être dangereux si il est détourné de sa fonction principale ? Peut-il avoir une incidence physique une fois qu'il est piraté ? Si un attaquant désactive la sécurité intégrée, que se passe-t-il ? Comme l'ANSSI le préconise, il ne s'agit pas d'arrêter net une attaque, mais de l'endiguer, de la retarder au maximum afin que les professionnels agissent pour régler le problème.
Le guide bien construit est accessible librement en langue anglaise. En plus des conseils prodigués, il inclut un profil du type d'attaque possible selon le secteur du produit : grand public, industrie et santé. Le tout s'inspire de cas concret en cours d'application dans le secteur. Une bonne lecture pour les entrepreneurs, avant qu'ils se penchent sur les diverses réglementations en place ou en cours de validation.
- Partager l'article :