La multiplication des objets communicants, les IoT en anglais pour Internet Of Things, est une excellente opportunité pour la cybercriminalité. Sachant qu'à chacun de ces objets correspond une adresse IP, leur diffusion rend les réseaux très perméables.

« On estime à plus 50 milliards leur nombre d'ici 2020, soit 7 objets connectés par personne sachant qu'il y aura 7,5 milliards d'habitants sur terre. Les hackers vont pouvoir profiter d'une perméabilité des systèmes d'informations jamais atteintes jusqu'à présent. Et si la sécurité était en réalité le principal enjeu de l'Internet des objets ? »

A cette question posée en introduction de son exposé lors du 8e Forum International de la Cybersécurité, Christophe Joly, le directeur sécurité de Cisco France, a bien sûr répondu par l'affirmatif en chiffrant à plus de 375 milliards de dollars le marché annuel du cybercrime qui se profile. Mais comme avec les voitures au début du vingtième siècle et avec Internet plus récemment, le législateur attendra sans doute qu'une catastrophe ait lieu avant de mettre en place des règles. En attendant, rien n'empêche de se protéger.

Sécuriser l'électronique embarquée

Pour Cisco, le leader mondial des technologies informatiques de connectivité, les moyens de le faire passent par une bonne connaissance de son infrastructure informatique et des objets qui s'y connectent. Mais cette approche ne suffit pas toujours, entre autres quand l'objet communique par radiofréquence. De plus, la sécurité des objets connectés ne porte pas uniquement sur les réseaux et les serveurs auxquels ils sont rattachés, il faut aussi sécuriser les objets et en particulier leur électronique embarquée.

Le modèle de sécurité actuel n'est plus adapté

Ce qui fait dire à Jean-Claude Tapia, président de Digital Security et ancien directeur général délégué d'Orange Cyber Défense, que le modèle de sécurité tel qu'il existe aujourd'hui n'est plus adapté à notre société telle qu'elle évolue. Adossé au groupe Econocom, Digital Security a été créée en mai 2015 par un groupe d'experts en sécurité des systèmes d'information. Venue se présenter au FIC, cette société emploie déjà une trentaine d'experts reconnus auprès des grands comptes et ayant des compétences en informatique, électronique, radiofréquence. Selon elle, seule une approche adaptative de la cybersécurité fondée sur les usages, les risques et l'implication de l'ensemble des parties prenantes aboutira à des mesures préventives efficientes qui préserveront le caractère ouvert du numérique.

CERT-Ubik pour sécuriser les écosystèmes d'objets connectés

« Nous réalisons des audits et intervenons comme conseil pour sécuriser les écosystèmes d'objets connectés en prenant en compte toute la chaine de valeur jusqu'au Datacenter. Nous avons développé le CERT-Ubik. C'est la première structure d'offre de services préventifs et réactifs dédiée à la sécurité des objets connectés ayant obtenu l'agrément de Computer Emergency Response Team. Nous avons également le label de « Prestataires d'audit de la sécurité des systèmes d'informations » (Passi) de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information », explique Jean-Claude Tapia.

Hardsploit, une boîte à outils pour vérifier la sécurité d'un objet connecté

Le CERT-UBIK est doté d'un laboratoire permettant d'adresser les technologies de radiofréquence comme le Wifi, le Bluetooth et dérivés, les protocoles spécifiques d'échanges de données et les systèmes d'exploitation spécifiques des objets connectés tels que FreeRTOS, Tizen, TinyOS et autres.

Pour vérifier, la sécurité de l'objet connecté, Opale Security, vient de lancer sur le marché une boite à outils modulaires du nom de Hardsploit. Présenté au FIC, cet outil d'aide à l'interfaçage des bus électroniques lors d'un audit de sécurité complète l'offre de service de cette société de conseil en sécurité des écosystèmes embarqués installée à Rennes.

IRT SystemX vise les smart grids, l'usine du futur, le transport connecté

Spécialisé dans l'ingénierie numérique des systèmes du futur et labellisé en 2015 dans le cadre du programme d'investissement d'avenir, l'IRT SystemX a quant à lui créé une plateforme expérimentale dans le cadre de son projet EIC (Environnement pour l'Interopérabilité et l'Intégration en Cybersécurité). Cette plateforme est destinée à évaluer le couplage de technologies de cybersécurité à travers des cas d'usage innovants dans le domaine des SmartGrids, de l'Usine du Futur, du transport connecté et les nouveaux services de l'Internet des objets. Bertin IT, filiale de Bertin Technologies dédiée à la Cybersécurité, intervient au sein de l'IRT SystemX.

« Nous allons superviser le système de supervision au niveau des serveurs à l'aide de leur solution Socle », confie Philippe Wolf, responsable projet à SystemX. La solution Socle de Bertin IT permet de neutraliser les menaces USB, sécuriser les interconnexions réseau et sécuriser les postes de travail sensibles à l'aide de modules de sécurité native, de gestion de plateforme, de virtualisation et de supervision.

Bertin IT développe des solutions pour la DGA

Rencontré au FIC, Charles Henri Mathorel, responsable commercial cybersécurité de Bertin IT, précise que ce partenariat avec l'IRT s'inscrit dans le cadre du déploiement dans le secteur civil des solutions développées sur commande par la filiale de Bertin Technologies pour le compte de la DGA et autres entités gouvernementales. C'est dire les risques que font courir à la sécurité des biens et des personnes la transformation numérique en cours avec la multiplication des objets connectés. Faire appel à un spécialiste de la sécurité des opérateurs d'importance vital (OIV) aide à construire des solutions adaptées aux enjeux.

Scop, une plateforme créée par le CITC et Thales

C'est sans doute pourquoi le CITC, le Centre d'Innovation des Technologies sans Contact implanté à EuraTechnologies, va travailler en collaboration avec Thales pour mettre au point sa future plateforme de vérification du niveau de sécurité des objets connectés. Cette plateforme a déjà un nom. Elle s'appelle Scop. Elle a été présentée comme un outil d'analyse des risques et des vulnérabilités de l'ensemble des systèmes, des solutions et des services liés à l'IoT. Le modèle économique n'a pas encore été défini, ni la forme officielle que prendra le partenariat et qui définira le rôle de chacun. Les membres d'Euratechnologies sont habitués à fonctionner comme les startups. Ils n'attendent pas que leurs outils fonctionnent et que leur organisation soit au point pour avancer. Mais pour que Scop puisse rivaliser avec les autres plateformes déjà existantes en France, il n'y a plus de temps à perdre.