Sécuriser les réseaux d'objets connectés

Sécuriser les réseaux IoT, un impératif sous peine de faire courir des risques sérieux à la collectivité.

Comme pour tout système d'information, un projet visant à sécuriser son ou ses réseaux IoT n'apporte pas de service supplémentaire, il demeure invisible, sauf pour les spécialistes, et représente un coût sans bénéfices apparents. Malgré ces spécificités, il reste indispensable, voire vital, au vu des risques encourus. Ces derniers se déclinent sur plusieurs facettes. La prise de contrôle d’objets connectés par des hackers peut leur permettre de dégrader ou de stopper des équipements comme l'éclairage public ou les stations d'épuration. Des cyberattaques de ce type ont déjà eu lieu. Au-delà de l'impact direct sur les objets connectés, les cyberattaques peuvent donner accès au système d'information de la collectivité. A ce stade, plusieurs conséquences sont possibles : vols de données, cryptage des données publiques (ransomware)... Au-delà de ces dégâts, s'ajoute le risque réglementaire notamment par rapport au RGPD (règlement européen sur la protection des données) ou à NIS2 (directive européenne qui redéfinit les exigences de cybersécurité pour les organisations européennes). Enfin, l'impact négatif sur l'image de la collectivité est à prendre en compte.

Pour toutes ces raisons, sécuriser ses réseaux IoT est une démarche indispensable à mettre en place dès le début de tout projet faisant appel à ces objets.

Pour les collectivités, pourquoi sécuriser les réseaux IoT ?

Éviter ou réduire au minimum les risques de cyberattaques réussies, ou en d'autres mots, assurer une continuité de service représente l'aspect positif le plus évident pour une collectivité. Dans le cas où, malgré tout, les hackers réussiraient à entrer dans les réseaux, la mise en place de mesures de sécurité a toutes les chances de circonscrire les dégâts à un périmètre limité, et à éviter un accès au système d'information par exemple. Enfin, dans ce cas de figure, pouvoir démontrer que les réseaux IoT ont été sécurisés réduit les risques réglementaires comme en termes d'image.

Et pour les citoyens ?

Comme pour la collectivité, bénéficier d'une continuité de service, sans courir de risques, est le bénéfice le plus évident qui découle d'une cybersécurité efficace pour les habitants. En cas d'attaque réussie, si elle reste circonscrite, ces derniers sont plus à même d'accepter l'arrêt temporaire de certains services. Autre aspect, sur le plan de la perception, éviter les cyberattaques réussies passant par les réseaux IoT peut éviter une réaction de rejet de ces équipements par une partie de population qui pourrait les considérer comme dangereux. Enfin, mettre en place cette brique de cybersécurité s'insère dans une approche plus globale qui facilite l'adoption des services liés à la transformation digitale de la collectivité.

Quelles sont les étapes à suivre pour réussir la sécurisation de ses réseaux IoT ?

Étape 1 : Faire appel à des compétences internes ou souvent externes sur tous les aspects techniques (protocoles, Secure Element..) à la fois pour les IoT, les réseaux sans-fil et la cybersécurité.

Étape 2 : Bien choisir les IoT. Attention, il existe une grande variété de protocoles de communication et de systèmes d'exploitation selon les fabricants d'IoT. La sélection suppose de prendre en compte la compatibilité entre les différents équipements le cas échéant. Autre critère sur le plan sécuritaire : les spécialistes, et des organismes industriels comme l'ETSI (European Telecommunications Standards Institute (lien externe, nouvelle fenêtre)) préconisent d'installer des IoT dotés de "Secure Element". En d'autres mots, ces derniers comportent un microcontrôleur physique inviolable stockant des données confidentielles, les clés cryptographiques ou autres identifiants d'authentification. Le niveau de sécurité retenu et donc le choix de l'équipement dépend aussi de la donnée remontée par l'IoT (compteur d'eau, flux vidéo...) et des coûts.

Étape 3 : Installer les IoT et se connecter au réseau sans-fil. Cette étape doit inclure dès le départ leur sécurisation. Par exemple, n'accepter sur le réseau sans-fil que des connexions identifiées par une clé cryptographie envoyée par chaque IoT. Il s'agit aussi plus simplement de modifier les mots de passe donnés par défaut par le fabricant. Pour éviter le vol des données sur les réseaux, la sécurisation des flux sur ces derniers doit être cryptée. A ce stade, les protocoles sécurisés doivent être priorisés (TLS - Transport Layer Security, DTLS - Datagram Transport Layer Security...).

Étape 4 : Quand les réseaux d'IoT sont connectés au système d'information de la collectivité, un cas courant qui permet de centraliser l'administration, il est impératif de segmenter ces réseaux par des sous-réseaux (VLAN - Virtual Local Area Networks) pour éviter les attaques par mouvement latéral. En d'autres termes, des attaques passant par les IoT pour entrer dans les systèmes d'information (serveurs...). Enfin, la plateforme collectant les données doit aussi être sécurisée par des moyens classiques (pare-feu…).

Étape 5 : Une fois tous les équipements installés, un monitoring régulier doit être assuré pour détecter des comportements anormaux, comme par exemple l'envoi de flux captés par une caméra sur internet. Autre tâche récurrente, les systèmes d'exploitation des IoT doivent être mis à jour avec les patchs de sécurité.

Étape 6 : En dehors des aspects techniques, un plan de communication à minima doit être formalisé pour réagir rapidement en cas d'attaque réussie même partiellement. Ce, en particulier pour montrer à la population que la situation reste sous contrôle.

Quels sont les autres moyens à mettre en place pour assurer la sécurité des réseaux IoT ?

Comme les autres composantes de la cybersécurité, celles portant sur les IoT nécessitent des compétences pointues. Il importe donc dans un premier temps d'identifier les spécialistes capables de définir et de vérifier les spécificités des IoT et des réseaux nécessaires. Toujours dans le même registre, il sera nécessaire de faire appel à des compétences disponibles dans la durée pour le monitoring.

Ces étapes sont moins compliquées qu'elles peuvent le paraître parce que de nombreux fournisseurs spécialisés existent. Coordonner ou intégrer la sécurité des réseaux IoT avec celle du système d'information constitue à une autre étape nécessitant de trouver des compétences mixtes ou de faire travailler des compétences diverses ensemble.

Parallèlement aux actions techniques, mettre en place un plan de crise en cas de cyberattaque réussie : communication auprès des agents, des citoyens et des institutions (ANSSI notamment).

Comment mesurer la réussite de la sécurisation des objets connectés ?

• Identifier le nombre d'attaques qui ont échoué.
• Mesurer la durée écoulée sans attaque réussie. Éventuellement, comparer avec des collectivités similaires.
• En cas d'attaque réussie, évaluer l'impact sur les services qui aurait eu lieu sans la mise en place des mesures.