Sécurité IoT : N'ignorez pas les bases
L’Internet des objets (IoT) est certainement un sujet de discussion très animé, même si pour beaucoup, il reste une mode orientée vers le consommateur qui n’a pas encore eu d’impact réel sur l’entreprise.
À moins, bien sûr, que vous soyez une entreprise qui profite de certaines choses dans le cadre de sa stratégie commerciale.
Nous oublions parfois qu’au-delà des gadgets grand public qui font la une des journaux, il existe tout un monde de capteurs, d’appareils, de systèmes de contrôle et même de jouets qui font déjà partie de l’Internet des objets.
Et cela signifie qu’il existe déjà des problèmes de sécurité.
Un numéro récent concerne un ours en peluche connecté à Internet de Fisher Price. Le problème de sécurité ? Une application Web avec laquelle l'ours en peluche communiquait contenait apparemment une vulnérabilité qui laissait l'identité des enfants exposée. Cette annonce intervient après la découverte de multiples failles permettant à la poupée Hello Barbie connectée à Internet d'être potentiellement transformée en dispositif de surveillance .
Vous n'avez pas d'enfants ? Essayez de lire les tests de sécurité de Princeton sur le commutateur Belkin WeMo, le thermostat Nest, une enceinte intelligente Ubi, une caméra de sécurité Sharx, un cadre photo numérique PixStar et un hub SmartThings. Selon le rapport, « Ubi a utilisé des méthodes de communication non cryptées qui révélaient des informations sensibles, comme si l'utilisateur était chez lui ou s'il y avait des mouvements à l'intérieur de la maison. » Sharx et PixStar ont tous deux transféré des données non cryptées .
Peut-être que nous nous concentrons un peu trop sur le côté « objet » parce que c’est nouveau et que chaque nouvel élément qui se connecte à un réseau finit par entraîner une multitude de nouveaux risques de sécurité qui doivent être traités et, bon sang, c’est nouveau et passionnant. Mais la réalité est que lorsque vous envisagez d’intégrer des « choses » dans votre modèle économique – que ce soit pour l’efficacité opérationnelle ou pour ouvrir de nouveaux marchés – il nous incombe de revenir à l’essentiel et de nous assurer que nous couvrons également cet aspect de l’équation.
C'est une chose simple de crypter le trafic. Internet regorge de plus de 15 années de leçons parfois difficiles à apprendre sur l’importance d’une gestion appropriée des clés et des certificats. Et pourtant, des millions d’appareils réutilisent des certificats et partagent des clés . Et sécuriser les applications Web ? Nous répétons ce message depuis que le commerce électronique a obtenu son « e » et est devenu un outil à exploiter.
Les choses arrivent, n'en doutez pas. Beaucoup sont déjà là, et certains d’entre eux semblent, comme le dirait Douglas Adams, « pour la plupart inoffensifs ». Mais ce n’est pas seulement une question d’objets. Il s’agit également des applications et des systèmes avec lesquels ces objets communiquent presque toujours, que ce soit pour s’enregistrer, s’activer, obtenir du nouveau contenu, partager des données ou être gérés.
Même si l'application fournissant des fonctions back-end pour votre produit n'est pas promue comme étant accessible au public, elle doit être, par définition, accessible au public pour que les éléments existants puissent y accéder via Internet. Cela signifie que vous devez insister sur les tests de sécurité pour chaque application à laquelle accédera l'élément que vous avez créé. Qu'il soit dans le cloud ou dans le centre de données, il doit être testé et protégé.
L'Internet des objets est le business des applications . Et cela signifie que la sécurité de l’Internet des objets concerne autant la sécurisation des objets que la sécurisation de l’écosystème applicatif qui les prend en charge.