Le SidO à la Cité Internationale de Lyon bat son plein. Parmi les exposants et les conférenciers, de nombreux spécialistes de la sécurité IoT s'expriment.
En effet, les événements de fin septembre 2016 ont marqué l'ensemble des membres de l'écosystème IoT. Pour rappel, des hackers avaient pris le contrôle d'un réseau de 150 000 caméras connectées en Chine et aux États-Unis afin d'opérer une attaque massive de déni de service contre OVH, puis contre le fournisseur de DNS Dyn. Cette problématique ne pouvait pas échapper aux conférenciers du SidO.
La sécurité IoT souffre-t-elle d'un manque d'experts ?
L'avènement du véhicule connecté autonome et de l'usine 4.0 entraîne forcément ce type de questionnement. Nous avons discuté avec Ignace Paraiso, responsable commercial pour Escrypt. Cette entreprise fondée en 1994 est devenue une filiale à 100 % de l'équipementier automobile Bosch. Escrypt a pour charge de sécuriser les composants embarqués dans les véhicules produits par les clients. « Notre objectif est d'éviter à nos clients les cyberattaques que certains constructeurs américains ont connues il y a quelques mois. « , explique Ignace Paraiso.
Escrypt s'occupe du chiffrement des données contenues dans le véhicule, que ce soit celles des constructeurs ou celles des utilisateurs. La filiale propose notamment de renforcer le système de double authentification pour accéder au véhicule ou encore sécuriser les mises à jour logicielles dite « Over The Air », c'est-à-dire à distance.
Escrypt rappelle son succès dans le respect des lois européennes et sur le marché allemand. L'entreprise s'installe maintenant en France afin de proposer ses solutions aux constructeurs français. Pour Ignace Paraiso, le problème n'est pas d'assurer la qualité de la sécurité embarquée des systèmes Escrypt, mais « de recruter des experts en cybersécurité« . « Nous avons besoin de développeurs seniors et juniors pour répondre à la demande de ce marché en pleine croissance« , affirme-t-il.
La plateforme IoT, un cerveau des données à sécuriser
Au-delà des problèmes de ressources humaines, il faut pouvoir connecter les objets, les capteurs et les systèmes complexes (des véhicules par exemple) ensemble. Cela pose la question de l'interopérabilité, mais surtout de la sécurité des dispositifs « raccordés ». Lors de la table ronde « Comment choisir sa plateforme sure et interopérable ? », les quatre intervenants souhaitaient définir les cinq critères pour choisir une plateforme IoT capable de connecter, de gérer des objets connectés.
Andrea Barbaro, Directeur Régional Europe de l'Ouest du groupe Eurotech, Claude Perrin, Tech Sales Engineer IBM Watson IoT, Patrice Slupowski Vice-Président de l'innovation digitale chez Orange, et Jean Lancrenon Senior Security pour Itrust Consulting ont placé la sécurité en haut de leur liste. S'ils n'ont pas eu le temps de la terminer, ce point culminant est placé avant l'interopérabilité et le device management.
Selon Andrea Barbaro, s'assurer de la cybersécurité des capteurs, des produits à connecter est un premier réflexe. Il évoque trois critères que les objets et la plateforme IoT doivent absolument respecter : la vie privée, l'intégrité du système et l'identité. C'est-à-dire que tout objet connecté doit disposer d'un identifiant propre qui le différencie d'un autre afin d'éviter de reproduire les cyberattaques de septembre dernier. Une entreprise ou un particulier doit alors faire confiance aux fabricants des produits.
Cependant, comment faire quand le dispositif en question est déjà compromis avant même sa sortie de l'usine ? La réponse à la question d'un auditeur dans la salle est abrupte. Jean Lancrenon déclare : « Choisissez un fournisseur de capteurs auquel vous avez entièrement confiance et priez pour que cela n'arrive pas « .
De son côté, Patrice Slupowski rappelle l'urgence pour les fournisseurs de plateformes IoT et les entreprises à adopter le règlement général de la protection des données européen (ou GDPR pour les intimes). Cet ensemble législatif encore trop peu connu rentrera en application en mai 2018. Il pousse les acteurs du secteur à renforcer la protection des données personnelles et leur portabilité d'une plateforme à une autre.
Des enjeux et des risques dans la vie réelle
La cybersécurité n'a pas seulement un impact sur l'intégrité d'un réseau d'objets connectés. Si elle est faible, elle peut avoir des conséquences physiques.
Dans l'ère de l'industrie 4.0 et du transport à haute vitesse des entreprises comme la SNCF, Hyperloop TT et IBM multiplie les initiatives qu'elles présentent au SIdO. Encore une fois, la sécurité, cette fois-ci physique, est au cœur des priorités.
Julie Haillet, CEO d'Itnovem-SNCF explique l'orientation du groupe ferroviaire dans ce secteur. L'objectif est d'améliorer la maintenance prédictive « afin de faciliter la tâche des agents sur le terrain« . « L'IoT permet d'ajouter des éléments de sécurité supplémentaires » rappelle la CEO, sans pour autant supprimer les processus de vérification habituels.
De son côté, Bebop Gabriele Greta, cofondateur d'Hyperloop TT a évoqué les avancées du projet de transport par tube à haute vitesse, maintenant installé à Toulouse. Là encore, l'entrepreneur tient à rappeler la priorité de son projet : la sécurité des passagers.
Cependant, dans cet univers connecté, de « disruption » massive, il faudra d'abord renforcer la sécurité IoT. Dans un premier temps, Jean Lancrenon, le Senior Security d'Istrust Consulting invite les visiteurs à faire une chose simple : «Un conseil ? Changez les mots de passe de votre réseau WiFi et de vos objets connectés ». Les bonnes pratiques commencent souvent par de petits gestes.
- Partager l'article :