DES MATELAS AUX CŒURS ARTIFICIELS : POURQUOI LA SÉCURITÉ DE L'IOT EST CRUCIALE

Auteur : Liesbeth Sparks

Les appareils IoT sont partout : il y a des milliards d'appareils connectés à l'internet. Mais dans quelle mesure sont-ils sûrs ? Les risques exacts dépendent de la fonctionnalité de l'appareil. Mais dans les cas extrêmes, la sécurité de l'IoT peut être une question de vie ou de mort, affirme Jasper Nota, spécialiste principal de la sécurité chez Bureau Veritas Cybersecurity.

Nota sait que c'est vrai, car il a testé la sécurité d'un cœur artificiel. Dans cet article, il explique pourquoi la sécurité de IoT est si cruciale. Il explique également ce qui peut se produire en cas de violation des dispositifs IoT et les mesures que les fabricants et les utilisateurs de produits peuvent prendre pour sécuriser leurs dispositifs IoT.
 

LES RISQUES D'UNE MAUVAISE SÉCURITÉ DE L'IOT

La sécurité de IoT comporte toutes sortes de risques. Si un attaquant parvient à pirater un appareil intelligent, les formations peuvent être graves, explique Nota : "Bien sûr, le risque de sécurité exact dépend de l'environnement du produit et de l'utilisation qui en est faite. Les risques pour un matelas intelligent, par exemple, sont complètement différents de ceux des appareils utilisés dans une salle d'opération.

Mais même si les risques varient d'un appareil à l'autre, de nombreux appareils peuvent causer des dommages s'ils ne sont pas sécurisés, explique M. Nota : "Que se passerait-il si un pirate pouvait faire exploser la batterie d'un appareil ? Qui un pirate peut-il espionner si le produit est équipé d'une caméra ? Ce ne sont là que quelques exemples d'éléments d'un appareil intelligent qui peuvent être utilisés pour causer des dommages".

VOLER DES DONNÉES DANS UN AQUARIUM

Un exemple célèbre de préjudice causé par un appareil IoT non sécurisé est celui de l'aquarium d'un casino. En 2017, un casino américain a installé un aquarium intelligent avec des capteurs qui surveillaient la température de l'eau. Ces capteurs étaient connectés au réseau du casino. Des cybercriminels ont réussi à pénétrer le réseau par le biais de l'aquarium et ont volé 10 gigaoctets de données.

Je me rends compte que si j'ai pu trouver une faiblesse, un acteur malveillant est probablement capable de la trouver aussi. ~ Jasper Nota

INCORPORÉ DANS UN RÉSEAU DE ZOMBIES

Un autre danger réel est qu'un appareil non sécurisé peut être incorporé dans un réseau de zombies", prévient M. Nota. Un réseau de zombies est un groupe d'appareils pris en charge par une vulnérabilité ou une mauvaise configuration particulière. Cela permet à un acteur malveillant de contrôler ces appareils. À l'aide d'un réseau de zombies, un pirate peut mener toutes sortes d'attaques". Par exemple : effectuer des attaques DDoS ou voler des données sensibles sur le réseau dont l'appareil fait partie.

Un appareil non sécurisé numériquement peut nuire aux utilisateurs. Mais les dangers sont également réels pour les fabricants d'appareils. Les problèmes de sécurité des produits peuvent nuire à la réputation et faire chuter la valeur marchande de l'entreprise.

COMMENT RENDRE VOS PRODUITS IOT PLUS SÛRS

Que pouvez-vous faire pour maximiser la sécurité des produits IoT en tant que fabricant ? 'Idéalement, un fabricant fait appel à des experts en sécurité pendant la phase de conception d'un produit', explique Nota. Bien sûr, si le produit est déjà sur le marché, ce n'est pas possible.

Selon M. Nota, il existe quelques mesures de sécurité relativement faciles à mettre en œuvre avant la commercialisation d'un produit : "Assurez-vous que tous les appareils n'ont pas le même mot de passe par défaut. Assurez-vous également que le logiciel de l'appareil peut être mis à jour. Ainsi, toute faille de sécurité que vous découvrirez pourra être corrigée".

Pour les utilisateurs, il est important de s'assurer que les appareils IoT sont isolés les uns des autres et du reste du réseau.

DES ÉCOUTEURS AUX SERRURES DE PORTE

Bien sûr, une autre formation pour sécuriser les appareils IoT, est de les faire tester par des spécialistes de la sécurité comme Nota, afin que vous puissiez corriger toute vulnérabilité avant qu'un acteur malveillant ne puisse l'exploiter. Nota teste principalement la sécurité digitale des appareils électroniques grand public et des dispositifs médicaux au sein du Bureau Veritas Cybersecurity.

Au cours de ma carrière, j'ai testé un grand nombre de dispositifs uniques. Les pilules intelligentes, par exemple. Mais aussi des applications fonctionnant sur des casques de réalité mixte, un matelas intelligent, des serrures de porte intelligentes, des systèmes d'alarme, des téléviseurs, des montres intelligentes et des stimulateurs musculaires, pour n'en citer que quelques-uns. La plupart des appareils sont physiquement envoyés à notre laboratoire d'essai au bureau d'Amsterdam".

TESTER UN CŒUR ARTIFICIEL

Le produit le plus intéressant que j'ai testé jusqu'à présent était un cœur artificiel. C'était intéressant parce qu'il s'agit vraiment de la vie humaine. Je ne peux pas entrer dans les détails de la recherche elle-même. Mais nous avons découvert que la sécurité du cœur était bien conçue. Il y avait plusieurs couches de sécurité, ce que nous appelons la "défense en profondeur". Cependant, nous avons fini par découvrir plusieurs failles qui auraient pu avoir un impact catastrophique sur la vie du patient".

ADRÉNALINE ET ANXIÉTÉ

Que ressent-on lorsque l'on découvre de graves faiblesses dans des produits ? Nota : "J'éprouve des sentiments contradictoires. En tant que pirate informatique, je ressens une véritable poussée d'adrénaline lorsque je trouve des failles importantes. D'un autre côté, cela me rend parfois un peu anxieux. Un acteur malveillant a probablement plus de temps à consacrer à la recherche de faiblesses".
 

IoT | Tests et certification"Je me rends compte que si j'ai pu trouver une faiblesse, un acteur malveillant est probablement capable de la trouver aussi. Mais je suis heureux de pouvoir signaler ces problèmes dans le cadre de mon travail. Et je vois que les vulnérabilités sont atténuées. C'est donc une satisfaction".
 

NOUVEAU RÈGLEMENT DE L'UE POUR L'IOT

C'est le moment idéal pour travailler sur la sécurité de vos produits IoT, car en août 2024, un ajout à la directive européenne relative aux équipements hertziens (RED) entrera en vigueur. Nota : "Cela signifie que tout produit IoT mis sur le marché mondial devra répondre à des exigences minimales en matière de sécurité". L'UE travaille également sur une réglementation encore plus ambitieuse : la Cyber Resilience Act (CRA).

Du point de vue de la sécurité, ces nouvelles lois sont une bonne nouvelle, explique M. Nota : "Le problème auquel nous sommes actuellement confrontés est que plus un fabricant de produits investit dans la sécurité, plus le produit devient coûteux. À l'heure actuelle, cela signifie que les appareils sécurisés sont moins compétitifs en termes de prix que les appareils non sécurisés.

Comme de nombreux consommateurs ne peuvent pas faire la différence entre un produit sécurisé et un produit non sécurisé, le produit sécurisé est perdant. Ces nouvelles lois placeront la barre plus haut pour tout le monde et créeront des conditions de paiement plus équitables.

CONCLUSION

La sécurité de IoT est essentielle, tant pour les fabricants de produits que pour les utilisateurs de ces appareils. En donnant la priorité à la sécurité, les fabricants de produits peuvent s'assurer que leurs clients ne sont pas lésés et peuvent également éviter toutes sortes de dommages à leur propre entreprise.