Séminaire CAP’TRONIC : « Cybersécurité – IoT et systèmes embarqués »

co-écrit par Laetitia

Jeudi 9 juin 2016, se tenait le séminaire organisé par CAP’TRONIC sur le thème : « Cybersécurité – IoT et systèmes embarqués » au sein de l’école ESME Sudria à Ivry sur Seine. Lors de ce séminaire, plusieurs intervenants  venant de divers secteurs tels que l’industrie, les télécoms, l’assurance, l’économie et bien d’autres se sont succédés pour nous faire part de leur point de vue et état de réflexion sur ce sujet.

Pourquoi le marché de l’IoT a-t-il du mal à rencontrer son public ?

La 1ère explication est que l’IoT arrive dans un marché déjà congestionné avec les téléphones, les télévisions, les ordinateurs, les tablettes,… Il est ainsi très difficile pour une technologie émergente de se faire une place dans ce milieu déjà très concurrentiel.

La 2ème explication est qu’à l’heure actuelle les objets connectés sont vulnérables d’un point de vue sécurité. Beaucoup d’industriels ne pensent pas à intégrer la dimension sécurité dans la phase de conception de l’objet. Ce qui entraine inévitablement une méfiance de la part des consommateurs. Depuis ces dernières années, nombres d’objets ont été pointés du doigt quant aux failles de sécurité les concernant. Cela va du simple bracelet connecté (e.g.FitBit, Jawbone) en passant par les équipements de la maison, thermostats intelligent (e.g. NEST de Google), réfrigérateurs, compteurs électrique,… jusqu’aux objets médicaux comme les pompes à insuline (e.g. Medtronic). En effet, très peu de professionnels ont, à ce jour, la maitrise de l’écosystème entier de l’IoT. Cet écosystème comprend le device dans son ensemble (processeur, sensors, batterie,…), les réseaux, les applications, les data bases, l’infrastructure,… tout ce qui permet de capter l’information, de l’acheminer jusqu’à destination et de la traiter.

Mr Olivier Ezratty (conseiller en stratégies de l’innovation), affirme que les objets connectés respectent 2 lois :

  •   Loi dite « de la brosse à dent» : les industriels doivent investir dans des startups si l’objet est utilisable quotidiennement et touche le plus de monde possible.
  •      Loi dite « de la yaourtière» : l’objet est nouveau, à la mode, mais les utilisateurs ne vont s’en servir qu’une seule fois comme la yaourtière.

Quels défis sécurité pour l’IoT ?

Peu importe le réseau utilisé (LoRa, Sigfox, Wi-Fi, Bluetooth…) pour faire communiquer les objets, les défis liés à la sécurité sont les mêmes :

  • L’intrusion dans les systèmes,
  • le vol de données,
  • l’usurpation d’identité,
  • la cybercriminalité.

On l’a vu, le problème à l’heure actuelle est que l’IoT évolue dans un écosystème hétérogène et complexe. Il n’y a donc pas de bonne pratique universelle applicable à toute la chaine IoT afin de la protéger.  Lors de cette conférence, beaucoup d’intervenants ont partagé leur expérience sur le sujet et ont initié des solutions afin de répondre à cette grande problématique qu’est « la sécurité pour l’IoT ». A ce jour deux pistes sont envisageables :

  •    En amont de la création de l’objet, il faudrait intégrer l’aspect sécurité dès la conception de l’objet  (Security by design)et penser également à la sécurité tout au long du cycle de vie de l’objet.
  • Après création de l’objet, l’utilisation d’un Secure Element(plateforme inviolable capable de fournir un environnement sécurisé et de chiffrer des données) pourrait être un moyen de se prémunir des risques. L’ajout après création reste cependant coûteux.

Malheureusement le constat est là, la sécurisation dans le domaine de l’IoT n’est pas encore une priorité pour les entreprises, « Seules 38% se focalisent sur la sécurité dès le début de la phase de développement du produit » commente la société Opale Security sur ses propres retours d’expérience dans le domaine. Or prendre en compte l’aspect sécurité dès la conception confère à l’objet une plus grande fiabilité. Entrainant donc une économie de temps et d’argent !

Tout le monde s’accorde à dire que l’IoT reste une technologie complexe à contrôler. Réflexion et maturité sont encore nécessaires avant d’arriver à l’explosion de l’IoT telle que prévue par Gartner ou Cisco.