Sécurité des projets IoT : quelles menaces pour vos plateformes de données ?
L’IoT est un secteur en pleine croissance. De plus en plus de cas d’usages se créent, et des données de tous types sont collectées, analysées, corrélées et diffusées. Suivant les cas d’usages, les données et la valeur qu’elles procurent peuvent attirer des attaques.
Il convient donc de mener une réflexion adaptée quant aux menaces et risques de sécurité inhérents au développement des dispositifs IoT. Sans oublier que la prolifération des IoT augmente aussi la surface d’attaque possible…
Comme indiqué dans l’article précédent sur l’industrialisation des projets IoT, la réflexion sécurité doit être envisagée au plus tôt. En effet, la croissance du nombre d’objets connectés fait de l’IoT une cible potentielle de différentes attaques, d'où l'importance de s’y préparer au plus tôt.
Les plateformes de données sont un des composants de la chaîne de valeur qui présente un risque. Elles consolident et centralisent toutes les données et sont de ce fait au cœur même des analyses qui seront menées. Elles sont susceptibles d’être attaquées par différentes méthodes :
LES ATTAQUES PAR DÉNIS DE SERVICE
En 2020, plus de 10 millions d’attaques de ce type ont été enregistrées en entreprise dans le monde, selon une enquête de Netscout. La communication avec des dispositifs comme des ordinateurs et des objets connectés est bloquée et la récolte des données ou l'envoi des paramètres est retardée voire impossible. Cette attaque menace la disponibilité permanente des interfaces et des données récoltées, pourtant essentielles dans tout projet IoT.
LA CRÉATION DE PORTE DÉROBÉE À CAUSE DES API NON SÉCURISÉES
Les API permettent entre autre de connecter des services entre eux et ainsi de faire transiter les données. Elles peuvent néanmoins laisser place à des portes dérobées ou backdoor si elles sont défaillantes. A travers ce backdoor, des données peuvent être détournées, dans certains cas sans même que l’utilisateur ne le sache. La fuite de données non sensibles à cause des API non sécurisées peut paraître anodine, mais cette fuite est synonyme de prise en main de l’API par l’attaquant. Cette API, qui vous informe de la température de votre salle de réunion, peut être utilisée pour vous localiser par exemple.
RISQUES LIÉS AUX ACCÈS ET AUX IDENTIFICATIONS
Une authentification pas assez forte, un mot de passe trop simple ou des droits d'accès non adaptés sont quelques situations qui présentent l’une des vulnérabilités les plus communes. En effet, si vos collaborateurs ne sont pas formés à protéger leurs identifiants et mots de passe, ceux-ci peuvent facilement être dérobés et utilisés par des personnes malveillantes, provoquant ainsi la fuite et corruption de données voire même la configuration malintentionnée des dispositifs.
Les nombreux risques cités ci-dessus menacent les projets IoT, il est donc important d’anticiper ces menaces au plus tôt.
Assurer la confidentialité, l’intégrité et la disponibilité de tous les éléments de la chaîne de valeurs et des données qui y transitent doit être au centre de la réflexion axée sur la cybersécurité. Pour ce fait, il est important d’avoir les bons réflexes en termes de sécurisation de vos plateformes de données, comme par exemple :
s’assurer que les données transmises sont chiffrées, que les clés de chiffrement sont protégées,
former les collaborateurs à protéger leurs identifiants et mots de passe, et privilégier les authentification à deux facteurs,
choisir des plateformes de données qui respectent les dernières réglementations en termes de cybersécurité, en se fiant notamment au “cyberscore” d'après la loi du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques.
Ces recommandations ne sont pas spécifiques à l’IoT quand il s’agit de plateformes de données. Ce sont des règles de sécurité standards qui peuvent s'appliquer à des plateformes de toutes natures et auxquelles peuvent s'ajouter les nouvelles méthodes de cybersécurité telles que l’authentification à deux facteurs ou encore les systèmes de gestion des clés (Key Management Service).
Le type de données récolté et leur sensibilité sont des facteurs à prendre en compte dans le choix de votre plateforme de données et de son niveau de sécurité, le tout en s’assurant que le fonctionnement des dispositifs qui récupèrent ces données est sécurisé, sujet qui fera l’objet d’un article à part entière très bientôt..
Et vous, avez-vous réfléchi à la sécurité de vos plateformes de données pour votre projet IoT ?