De plus en plus, le monde est régi par des systèmes informatiques et des objets en réseau. Cet internet des objets (IoT) est présent dans la quasi-totalité des aspects de notre vie. Connectés à Internet, ces systèmes sont confrontés à un fort risque de menace. Marc-Oliver Pahl, directeur de la chaire de cybersécurité Cyber CNI à IMT Atlantique, s’exprime sur les enjeux de la sécurité de l’IoT.
En quoi la sécurisation de l’Internet des objets (IoT) est-elle essentielle ?
Marc-Oliver Pahl : Selon moi, la sécurisation de l’IoT est l’un des défis majeurs, si ce n’est le plus important, pour les systèmes informatiques à l’heure actuelle. L’IoT est omniprésent. La majorité d’entre nous interagit avec lui plusieurs fois par jour sans même s’en rendre compte : il est présent en arrière-plan. Il s’agit par exemple du système d’approvisionnement en eau qui achemine l’eau potable jusqu’à chez nous, ou encore le réseau électrique, les transports, les finances, les soins de santé, etc. La liste est longue. J’ai cité des exemples essentiels à notre société. On les appelle d’ailleurs les « infrastructures critiques ». Si l’IoT n’est pas suffisamment protégé, des événements critiques peuvent se produire, comme des coupures d’eau ou d’électricité, ou pire encore, des processus manipulés entraînant la présence de bactéries dans l’eau, des produits défectueux comme les voitures, etc., qui présentent des risques pour la sécurité.
Ce besoin urgent de sécurité, combiné au manque de sécurisation des dispositifs IoT qui sont parallèlement connectés à Internet avec son fort risque de menace, illustre l’importance du sujet. Le nombre impressionnant de dispositifs, avec 41,6 milliards de dispositifs IoT connectés attendus d’ici 2025, montre l’urgence de la situation : l’IoT a besoin des normes de sécurité les plus élevées pour protéger notre société.
Pourquoi les réseaux IoT sont-ils si vulnérables ?
MOP : Je vais me concentrer ici sur deux aspects : « Internet » et les « objets ». Comme l’indique le nom « Internet des Objets » (Internet of Things ou IoT), les dispositifs IoT sont souvent connectés à Internet. Ils sont ainsi connectés à tous les utilisateurs d’Internet, y compris les plus mal intentionnés. Grâce à Internet, les utilisateurs indésirables peuvent en toute tranquillité s’attaquer à un système IoT à l’autre bout de la planète sans avoir à quitter leur canapé. Si le système IoT attaqué n’est pas suffisamment sécurisé, les agresseurs peuvent parvenir à compromettre le système, donnant lieu à des conséquences potentiellement graves pour la sécurité, la sûreté et la confidentialité.
Le terme « objet » regroupe un large éventail d’entités et d’applications. Par conséquent, les systèmes IoT sont hétérogènes : ce sont les fournisseurs, les technologies de communication, le matériel ou les logiciels. L’IoT regroupe toutes ces choses, ce qui rend les systèmes qui en résultent complexes. La sécurisation de l’IoT est un défi majeur. Avec nos partenaires de la chaire Cyber CNI, nous contribuons chaque jour, à travers nos recherches, à rendre l’IoT plus sûr. Notre prochaine école doctorale, qui aura lieu du 5 au 7 octobre 2020 en version numérique, sera l’occasion parfaite d’obtenir plus d’informations.
Quel type de défis la sécurité de l’IoT doit-elle relever et comment y parvenir ?
MOP : Si l’on reprend les deux domaines précédents, nous veillons à ce que l’accès aux dispositifs IoT sur Internet soit strictement limité. Cela peut se faire via divers mécanismes, notamment des pares-feux pour définir et appliquer des politiques d’accès, et des réseaux définis par logiciel pour détourner les agresseurs de leurs cibles.
En ce qui concerne l’hétérogénéité, nous nous demandons comment permettre aux opérateurs humains de voir ce qu’il se passe dans les systèmes IoT ambiants, comment les aider à exprimer les propriétés de sécurité qu’ils souhaitent voir mises en œuvre, et comment établir des systèmes « sécurisés by design », afin qu’ils appliquent les politiques de sécurité. C’est d’autant plus difficile que les systèmes IoT ne sont pas statiques.
En quoi la sécurisation des systèmes IoT est-elle si difficile ?
MOP : Outre les aspects mentionnés précédemment (la connectivité à Internet et l’hétérogénéité), un troisième grand défi de l’IoT est sa dynamique : les systèmes IoT s’adaptent continuellement à leur environnement. Cela fait partie de leur fonction et de leur succès. Du point de vue de la sécurité, cette dynamique constitue un défi très exigeant. D’une part, nous souhaitons rendre les systèmes aussi restrictifs que possible, pour les protéger au maximum. D’autre part, nous devons donner aux systèmes IoT suffisamment de marge de manœuvre pour pouvoir fonctionner pleinement.
Alors, comment assurer la sécurité de ces systèmes en constante évolution ?
MOP : Tout d’abord, la sécurité by design doit être mise en œuvre correctement, ce qui nous permettra d’obtenir un système qui applique tous les mécanismes de sécurité de manière appropriée, sans possibilité de contournement. Mais comme nous l’avons vu, ce n’est pas suffisant. Il est impossible d’anticiper la totalité des changements de dynamique d’un système à l’aide de mécanismes de sécurité by design. Les défenseurs contre ces attaques doivent faire preuve de la même dynamique.
C’est pourquoi nous travaillons sur la surveillance continue des systèmes IoT, l’analyse automatisée des données de surveillance et les mécanismes de défense automatisés ou adaptatifs. L’intelligence artificielle (IA), ou plus précisément le machine learning, peut être d’une grande aide dans ce processus car elle permet le traitement significatif de données possiblement inattendues.
À lire sur I’MTech : Quèsaco l’internet des objets industriels ?
En parlant d’IA, êtes-vous en train de dire que les futurs systèmes de sécurité seront totalement autonomes ?
MOP : Bien que les algorithmes soient capables de beaucoup de choses, l’intervention humaine reste nécessaire, et ce pour de multiples raisons, notamment notre capacité à analyser, de manière plus précise que les machines, certaines situations complexes. Avec les données et l’expertise adéquates, les humains sont supérieurs aux machines. Il faut tenir compte de l’importance de l’éthique, un aspect différent mais central lors de l’établissement d’algorithmes pour les systèmes IoT autonomes.
L’intervention humaine est également nécessaire car il n’existe pas de mesure objective pour la sécurité. J’entends par là que le niveau de sécurité souhaité pour un système concret doit être défini par l’homme. Nous sommes les seuls à savoir ce dont nous avons besoin. Les systèmes informatiques peuvent ensuite prendre le relais dans leur domaine de prédilection : l’exécution extrêmement rapide de tâches complexes et faire en sorte que les objectifs de haut niveau donnés par les opérateurs humains soient mis en œuvre dans les systèmes IoT correspondants.
Du 5 au 7 octobre, l’IoT rencontre la sécurité à l’université d’été de Strasbourg
« L’IoT rencontre la sécurité » est la 3e édition de la série d’écoles doctorales de l’IoT du futur. Elle sera 100 % numérique afin de respecter les consignes sanitaires liées à l’épidémie de covid-19. L’événement a pour objectif de donner un aperçu du point de vue de l’industrie et du monde universitaire sur ce sujet au cœur de tous les débats. L’IoT du futur couvrira un large éventail de contextes, de cas d’usage, d’applications, de techniques et de philosophies de sécurité, de l’homme à la technologie de l’information (TI) en passant par la technologie opérationnelle (TO), de la recherche à l’industrie.
Les organisateurs sont issus des meilleures institutions de recherche et d’enseignement en Europe, IMT Atlantique et la Technische Universität München :
- Marc-Oliver Pahl (IMT/TUM) préside la Chaire industrielle sur la cybersécurité des infrastructures critiques en réseau (cyber-cni.fr) et le CNRS UMR LAB-STICC/IRIS. Avec son équipe, il tente de relever les défis mentionnés dans l’interview ci-dessus.
- Nicolas Montavont (IMT) dirige l’UMR IRISA/OCIF de recherche sur l’IoT. Avec son équipe, il travaille sans relâche à rendre l’IoT plus fiable et plus efficace.
En savoir plus et s’inscrire ici
2 comments
Pingback: Veille Cyber N303 – 05 octobre 2020 |
Pingback: Un protocole sécurisé pour répondre aux enjeux de l'Internet des objets