Défis Internet des objets

L’Internet des objets (IoT) et l’Operational Technology (OT) ont considérablement modifié notre paysage des risques. SWITCH-CERT dispose d’un réel savoir-faire en matière de sécurité, lui permettant d’assister ses clients.

Texte: Martin Scheu, publié le 05.10.2020

Les appareils IoT et OT font désormais partie du paysage des hautes écoles. D’un côté, un Raspberry Pi qui effectue des petites tâches; de l’autre, un oscillographe qui transmet des données à un PC via le réseau. En outre, les appareils OT sont souvent employés dans l’automatisation des bâtiments, p. ex. pour la régulation de la température et de la lumière ainsi que pour le contrôle de l’alimentation électrique des centres de calcul.

Les appareils IoT n’ont pas bonne réputation en matière de sécurité: l’implémentation des fonctions de sécurité laisse à désirer et les mises à jour sont souvent impossibles, pour ne citer que deux points.

Security by design

La Security by design a encore un long chemin à faire en IoT, et ce pour différentes raisons. Les frais de production ou d’exploitation plus élevés sont mentionnés en premier lieu. Le fait que les fabricants n’avancent que lentement est aussi dû à l’absence de dispositions légales. Celles-ci pourraient augmenter la sécurité. Il suffit d’observer la sécurité des personnes pour le remarquer: tout appareil électrique doit être construit de manière à ne présenter aucun danger lorsqu’il est correctement utilisé. Prenons l’autre exemple de l’airbag. Lors de son introduction, le législateur n’avait élaboré aucune directive. La technologie le faisait progresser. Au fil du temps, l’airbag s’est hissé à la pointe de la technologie. Amélioré en continu, il est devenu un produit de grande consommation.

Absence de standardisation

Il est également nécessaire d’agir sur les normes. L’ISO 27400.2 sur la cybersécurité IoT et la vie privée est en cours d’élaboration. L’Institut européen des normes de télécommunication (ETSI) a formulé les points principaux de la sécurité IoT dans la spécification ETSI TS 103 645, mais elle n’est pas obligatoire dans l’UE.

Responsabilité déléguée

Le grand nombre d’appareils IoT et OT impose des exigences élevées aux départements de sécurité informatique des hautes écoles. Les équipes, avec leurs ressources limitées, misent sur la responsabilité individuelle. Cela signifie que l’exploitant est responsable de la sécurité. Il doit installer les mises à jour, créer des sauvegardes et s’assurer que seuls les services nécessaires sont accessibles. Cependant, les exploitants sont rarement des experts en sécurité. De ce fait, des versions obsolètes de logiciels, des mots de passe standard ou des services inutiles restent en place.

Les services centralisés apportent une aide en proposant des serveurs Web ou des bases de données. Toutefois, ils ne fonctionnent pas toujours ni partout, comme le montre le tech/art-lab «Immersive Arts Space» à la ZHdK. Il s’agit d’une approche artistique soutenue par la technologie, mettant en scène l’immersion, la virtualité et la simulation dans le cadre de divers travaux. Les données audio et vidéo ainsi que la réalité virtuelle et les drones forment un ensemble. Les appareils coopèrent numériquement. Du point de vue de la sécurité, ni le réseau ni les serveurs de l’école ne doivent être affectés en cas d’attaque des appareils IoT.

Conclusion

L’IoT et l’OT apportent de nouvelles possibilités et de la flexibilité aux étudiants et aux chercheurs. Toutefois, ils élargissent les risques en termes de sécurité. SWITCH-CERT se penche sur cette question et accompagne ses clients.

L'auteur
Martin   Scheu

Martin Scheu

Martin Scheu travaille chez SWITCH depuis 2019. Il s’occupe de la sécurité de l’OT et des commandes industrielles et il s’engage pour une industrie sûre en Suisse.

E-mail

ntop

SWITCH-CERT s’engage dans le domaine de la surveillance des réseaux OT. Les réseaux OT sont généralement des «angles morts» sur la carte réseau car ils ne sont pas surveillés. Ceci s’explique notamment par des raisons économiques. En effet, les PME ne peuvent pas se permettre d’acheter les logiciels de surveillance disponibles sur le marché. En collaboration avec ntop, SWITCH-CERT a développé un plug-in pour le logiciel de surveillance open source «ntopng» permettant la surveillance du trafic réseau OT.

Tags
Security
Autres articles