IoT et cybersécurité : les bases que chaque décideur doit maîtriser

En 2024, 40 % d’entre eux déclaraient en posséder au moins un, qu’il s’agisse d’équipements de santé, de sécurité, de domotique ou d’électroménager, témoignant de la structuration d’un marché en voie de démocratisation avancée.

Matthieu Le Bayon, Head of IoT Partnerships chez Wireless Logic partage son analyse du sujet IoT & Cybersécurité.

Une dynamique qui devrait s’accélérer dans les prochaines années s’accompagnant aussi d’une augmentation des risques de cybersécurité.

En effet, l’intégration de l’Internet des Objets (IoT) dans des infrastructures critiques, telles que les réseaux intelligents, les systèmes de transport, les dispositifs médicaux et les solutions énergétiques plus propres, nécessite des mesures de défense proactives de la part des gouvernements et des entreprises. Les perturbations dues à une attaque pourraient être considérables et menacer le bon fonctionnement de ces services essentiels. Il est donc crucial que les appareils puissent être authentifiés et que les connexions soient sécurisées au fur et à mesure du déploiement des solutions.

Régulation européenne : un nouveau standard pour l’IoT

Compte tenu des enjeux, les pouvoirs publics et les organisations internationales alertent sur les menaces qui pèsent sur l’IoT. En France, la stratégie nationale pour la sécurité du numérique, portée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), considère les objets connectés comme un domaine prioritaire de vigilance, depuis plusieurs années.

Sur le plan réglementaire, la France applique le cadre fixé par le droit européen, en particulier avec le Règlement (UE) sur la cybersécurité des produits comportant des éléments numériques (Cyber Resilience Act). Ce texte impose aux fabricants et distributeurs d’objets connectés des exigences de sécurité tout au long du cycle de vie des produits, notamment en matière de gestion des vulnérabilités, de mots de passe par défaut, de durée de support logiciel et de notification des failles de sécurité.

Toutes les organisations impliquées dans la conception, la fabrication ou la mise sur le marché de produits connectés doivent désormais intégrer ces obligations réglementaires et adopter une démarche de sécurité dès la conception (security by design). Cette adaptation peut se révéler complexe, notamment pour les acteurs opérant à l’international, en raison des divergences entre cadres juridiques.

Pour accompagner ces efforts, les normes techniques européennes et internationales telles que l’EN 303 645 de l’ETSI, ainsi que les IEC 62443-4-2 et ISO/SAE 21434, fournissent des référentiels de bonnes pratiques reconnus, utilisés comme base pour la conception, l’évaluation et la certification de la sécurité des solutions IoT sur le territoire français et européen.

Matthieu Le Bayon, Head of IoT Partnerships chez Wireless Logic

Sécurité IoT : par où commencer ?

L’ensemble des lois et des organismes de normalisation met en évidence une série de bonnes pratiques allant d’approches de bon sens comme préserver la confidentialité des identifiants à des mesures technologiques plus sophistiquées mais rentables. Mais, il est essentiel de rappeler que la mise en place de ces pratiques ne devrait pas dépendre exclusivement de la législation : les risques IoT exigent une démarche proactive, même en l’absence de contrainte réglementaire. Les attaques de cybersécurité peuvent causer des dommages importants, tant sur le plan opérationnel, financier que sur la réputation.

Concrètement, plusieurs bonnes pratiques constituent aujourd’hui un socle indispensable : sécurisation des identifiants et des interfaces, segmentation réseau, mises à jour régulières des firmwares, chiffrement des communications, contrôle strict des accès ou encore gestion rigoureuse des vulnérabilités. Construire une stratégie de défense, de détection et de réaction constitue le cœur d’une approche de sécurité robuste, qui va bien au-delà de la simple conformité.

De la prévention à la détection : sécuriser l’IoT en continu

Les écosystèmes IoT reposent sur des chaînes techniques longues, mêlant matériel, connectivité, plateformes cloud et applications métier. Il est donc primordial d’assurer une sécurité et une défense bout en bout et non de manière isolée. Matériel et logiciels, mais aussi processus, formation et niveaux de compétences des employés doivent être évalués. Les cybermenaces exploitent tous les maillons faibles de la chaîne et peuvent s’introduire n’importe où et à tout moment.

La défense commence par la gestion de toutes les surfaces d’attaque afin d’empêcher tout accès non autorisé à l’infrastructure, aux équipements et aux données. Les entreprises déployant des dispositifs connectés peuvent s’appuyer sur IoT SAFE, la norme SIM interopérable, pour identifier de manière unique chaque terminal et permettre une authentification mutuelle entre les dispositifs et les applications.

Il ne s’agit là que d’un élément parmi une stratégie de défense multidimensionnelle qui devrait également inclure une communication sécurisée, une résilience face aux pannes, des mises à jour logicielles et des politiques claires en matière de sécurité des données. La conformité réglementaire constitue elle aussi un volet essentiel de cette stratégie, ce qui implique pour les entreprises de disposer d’un dispositif d’évaluation et d’audits internes réguliers pour rester à jour avec l’ensemble des exigences.

Cependant, la sécurité ne s’arrête pas à la mise en place de mesures de défense. Même les environnements les plus protégés doivent faire l’objet d’une surveillance continue afin de repérer toute activité inhabituelle ou signe de compromission. Pour cela, les entreprises doivent connaître précisément le fonctionnement « normal » de leurs dispositifs et de leurs flux réseau, afin d’identifier rapidement tout écart susceptible de révéler un incident. Face à cette complexité, les organisations s’appuient de plus en plus sur des mécanismes automatisés de détection, capables d’analyser en continu les données, d’identifier les comportements anormaux et d’alerter les équipes opérationnelles avant que la situation ne s’aggrave. Cette capacité à détecter les anomalies en amont constitue le cœur d’une approche véritablement préventive, par opposition à une approche réactive aux failles de sécurité.

Réagir vite : la clé d’une stratégie IoT résiliente

La préparation est essentielle pour limiter l’impact d’un incident de cybersécurité. Les organisations qui élaborent des stratégies, testent et répètent leur plan de réaction agiront plus rapidement en cas de problème. Les mesures peuvent inclure l’isolement d’une menace et éventuellement la mise en quarantaine et le nettoyage des équipements concernés.

Ces mesures peuvent s’appuyer sur des outils de simulation de scénarios de sécurité. Cela inclut notamment des « jumeaux numériques », des représentations virtuelles permettant de modéliser les menaces, ainsi que des ateliers prospectifs basés sur des scénarios hypothétiques. Ces approches renforcent la capacité d’une organisation à réagir efficacement en cas de cyberattaque réelle.

La sécurité IoT s’inscrit dans une démarche continue. Les entreprises doivent régulièrement évaluer, affiner, réévaluer et répéter leurs mesures de sécurité pour atténuer les risques pesant sur leur infrastructure et leurs solutions IoT.  Et dans un contexte d’accélération des usages et de renforcement des obligations réglementaires, la cybersécurité IoT n’est plus un enjeu technique mais un impératif stratégique. Seules les organisations capables de combiner défense, détection et réaction pourront garantir la résilience de leurs services connectés.