L’introduction de l’IoT dans nos vies a apporté de nombreux avantages dans plusieurs domaines, tels que la santé, le transport, la sécurité et les affaires. D’un autre côté, cette introduction d’objets dans les processus de contrôle de systèmes complexes rend la sécurité de l’IoT très difficile à gérer. L’interaction des personnes avec l’écosystème technologique nécessite la protection de leur vie privée, tandis que l’interaction avec les processus de contrôle nécessite la garantie de leur sécurité.
Il est désormais possible pour les objets, les services et les applications de prendre des décisions et de réagir en fonction d'une situation donnée dans leur environnement. C'est pourquoi les processus doivent garantir leur fiabilité et réaliser les objectifs pour lesquels ils sont conçus.
Une approche systémique et cognitive pour la sécurité de l'IoT
L'IoT traite d'un grand nombre d'objets et de leurs données associées, ce qui implique de relever de nombreux défis en matière de sécurité. Cela est particulièrement vrai lorsque des objets doivent interagir les uns avec les autres au sein d'un autre ensemble d'objets, via de nombreuses techniques de sécurité et selon différentes exigences de politique.
De nombreuses attaques peuvent survenir, de la modification de messages à l'analyse du trafic, en passant par le déni de service, l'écoute clandestine, les attaques par canal auxiliaire et bien d'autres encore. Face à ces risques et en raison du grand nombre d'interactions entre les objets, une approche systématique et cognitive semble être le bon choix pour la sécurité de l'IoT.
Selon une étude intéressante réalisée par l'Institut national de recherche en sciences et technologies du numérique ( Inria ), l'approche systémique et cognitive de la sécurité de l'IoT est composée de quatre nœuds :
- personne
- personnes
- technologie
- objet intelligent
Pour garantir la conformité dans la conception et la mise en œuvre des applications sécurisées, tous ces nœuds doivent coopérer. Ces connexions entre nœuds sont appelées tensions. Il existe sept tensions entre les nœuds : l'identification, la confiance, la confidentialité, la fiabilité, la responsabilité, la sécurité et l'immunité.
Nœuds en détail
1. Personne
Les préoccupations en matière de sécurité dépendent des intérêts des personnes et de leur comportement intentionnel ou non. Les humains doivent accomplir les tâches liées à la gestion de la sécurité qui consistent à :
- Aborder les pratiques et les règles de sécurité pour développer une documentation de politique de sécurité efficace.
- Audit de l'efficacité des pratiques et des règles de sécurité, y compris du personnel, de la documentation et des procédures de contrôle technique.
- Mettre en œuvre des pratiques et des règles en mode opérationnel.
2. Processus
Le processus doit être conforme aux politiques de sécurité efficaces pour garantir un niveau de sécurité suffisant aux différentes couches de l'architecture IoT. Le Conseil d'examen des institutions financières fédérales a défini un ensemble de domaines standard à prendre en compte lors de l'exécution d'un processus sécurisé :
- Évaluation des risques liés à la sécurité de l'information
- Stratégie de sécurité de l'information
- Mise en œuvre des contrôles de sécurité
- Surveillance de sécurité
- Surveillance et mise à jour des processus de sécurité.
Un processus sécurisé doit largement répondre aux exigences des politiques, des normes, des stratégies, des procédures et d’autres documents ou réglementations spécifiques.
3. Technologie
Ce nœud concerne les alternatives technologiques adoptées pour garantir un niveau de sécurité IoT acceptable. Il existe cinq catégories d'éléments de sécurité de l'information :
- Conception et configuration de la sécurité
- Identification et autorisation
- Enclave interne
- Limite de l'enclave
- Physique et environnemental.
4. Objet intelligent
Ce nœud fait référence à un objet tel qu'un nœud de détection (caméra, machine à rayons X) et un lecteur ou une étiquette RFID (détectant la présence d'une personne, d'un animal ou d'un objet) impliqués dans une application donnée.
Tensions
1. Confidentialité
La confidentialité fait référence à la tension induite par l’interaction entre une personne et l’écosystème technologique. Les données protégées sont liées aux humains, leur confidentialité est donc un objectif obligatoire de l’IoT. La confidentialité peut être divisée en plusieurs domaines :
- Confidentialité dans la collecte de données
- Confidentialité dans le partage des données
- Confidentialité dans le partage et la gestion des données
- Problèmes de sécurité des données.
2. Confiance
La confiance lie l'objet intelligent à l'écosystème technologique. Dans le contexte de l'IoT, les contraintes de ressources sont sévères et les choix technologiques difficiles. Une attention particulière doit être accordée à la définition et aux opérations de gestion de la confiance, notamment l'établissement, la mise à jour et la révocation des identifiants, des clés et des certificats.
3. Identification
L'identification d'un objet donné est un sujet fondamental qui concerne le fonctionnement général du système, notamment l'architecture, les composants, les droits d'accès, etc.
4. Fiabilité
Cette tension peut être prise en compte lors de la manipulation d'adresses d'entités uniques et fiables, de la gestion de données sur le réseau ou en cas d'utilisation efficace d'un ou plusieurs appareils pour des applications spécifiques.
5. Sécurité
L'utilisation généralisée des systèmes autonomes a suscité de nouvelles inquiétudes quant à leur logiciel de contrôle, qui peut avoir un comportement aléatoire ou imprévisible. Une telle situation doit être contrôlée pour éviter des conséquences désastreuses pour le système et l'environnement dans son ensemble. Les gens peuvent également refuser leur participation pour des raisons de confidentialité ou de sécurité ; la sécurité est donc de la plus haute importance.
6. Responsabilité
La responsabilité est étroitement liée aux droits d'accès ou aux privilèges d'autorisation. Par exemple, si un objet IoT est configuré par une entité, il doit être capable de gérer les connexions d'autres objets et de distinguer leurs différents droits d'accès.
7. Auto-immunité
Les nœuds sont souvent utilisés dans des zones éloignées et hostiles. Ils deviennent alors non protégés et exposés aux attaques physiques en raison des contraintes du site. Il faut donc mettre en place des mécanismes de défense.
Si vous souhaitez en savoir plus sur la sécurité de l'IoT, contactez des experts spécialisés .