image
logo

Redonner confiance dans l’Internet des objets

vendredi 15 mai 20207 min
Écouter l'article


Entretien avec Red Alert Labs, entreprise spécialisée dans la sécurité des objets connectés

Enceintes à commande vocale, sonnettes connectées, voitures connectées… aujourd’hui, de plus en plus d’objets du quotidien font appel à l’intelligence artificielle. Selon IHS, la barre des 75 milliards d’objets connectés devrait alors être dépassée en 2025. Mais qu’en est-il de la sécurité de ces objets ? Alors que l’IoT se développe de façon exponentielle, les pirates, eux aussi, regorgent d’ingéniosité pour accéder aux données des utilisateurs. Red Alert Labs, entreprise installée à Alfortville (94) s’est, à ce titre, spécialisée dans la certification de sécurité des objets connectés. Entretien.


Red Alert Labs est une entreprise française spécialisée dans la cybersécurité, les objets connectés et la certification, avec comme objectif d’instaurer de la confiance dans les objets connectés, en proposant une plateforme logicielle d’automatisation guidant l’utilisateur pour identifier les risques, de mettre en place des exigences de sécurité et de prouver le niveau de conformité et de robustesse des objets connectés à travers des processus de certifications simplifiés.

À côté des solutions logicielles développées pour répondre à ces enjeux, la société fournit des services de conseils et d’audit sécuritaires et contribue activement à la définition de schémas de certification IoT, en collaboration avec des organismes de cybersécurité aux niveaux national et européen comme EUROSMART, ACN, SYSTEMATIC, CONNECTWAVE, CEN-CENELEC, ECSO, ANSSI et ENISA.

L’expertise de Red Alert Labs a été reconnue par de nombreuses distinctions, dont le Label France Cybersecurity et le prix de la communauté French IoT en 2019. La société a également été nominée aux IoT Global Awards 2018. Red Alert Labs a cofondé l’IoT SF et est membre contributeur de l’EUROSMART, ACN, SYSTEMATIC, CONNECTWAVE, CEN-CENELEC et ECSO.


Qui sont vos principaux clients ? Quels sont leurs profils ?

Red Alert Labs cible les entreprises et organisations couvrant les marchés grand public et industriel faisant partie des trois groupes suivants : premièrement, les fabricants et développeurs des objets connectés, deuxièmement, les acheteurs et consommateurs des objets connectés, et enfin les tiers de confiance, comme les organismes de normalisation, les autorités de certification ou les assurances.


Votre société vise à sécuriser les objets dits connectés. Qu’appelle-t-on plus précisément l’Internet des objets (IoT pour Internet Of Things) ?

Un objet connecté est une passerelle communicante entre deux mondes : le monde physique et le monde numérique. Ainsi, jumelés à un smartphone et reliés à un réseau sans fil, les objets connectés proposent aux consommateurs des services à valeur ajoutée en traitant des informations collectées au moyen de capteurs ou en interagissant avec leur environnement à travers des actionneurs. Ces objets peuvent communiquer entre eux, avec leur environnement ou infrastructure mais aussi avec leur propriétaire, comme par exemple les enceintes à commande vocale, les sonnettes connectées avec caméras, les stimulateurs cardiaques connectés, les voitures connectées ou encore les capteurs industriels intelligents.


Quels secteurs d’activité sont principalement concernés aujourd’hui par l’IoT ? Lesquels le seront demain ? Avez-vous remarqué un intérêt grandissant pour la sécurité des objets connectés ?

Tous les secteurs d’activités sont concernés pour la simple raison que les objets connectés sont perçus comme des outils qui vont améliorer nos vies, et peuvent accroître la production et les bénéfices de nos entreprises. Cependant, les secteurs principaux montrant l’utilité des objets connectés aujourd’hui restent ceux de la santé, le transport, la fabrication, l’énergie et la domotique.

En effet, avec tous les bénéfices que peuvent apporter ces objets connectés, les développeurs et les consommateurs font face à d’énormes défis de cybersécurité qui deviennent de plus en plus perceptibles vu le rythme de croissance des objets connectés. En effet, les surfaces d’attaques de cybersécurité augmentent progressivement, les cyber-attaques varient et deviennent plus puissantes et plus rapides, et finalement, leur impact devient de plus en plus tangible affectant ainsi non seulement les données sensibles mais aussi la sûreté de l’être humain.


Vous testez la résilience des objets connectés contre toutes les cyber-attaques connues. Comment procédez-vous concrètement ? Et avec quels experts de sécurité et hackers éthiques travaillez-vous ? Quelles sont les failles les plus répandues ?

À travers notre suite d’outils automatisés, on se base soit sur des exigences de sécurité standardisées (e.g. ETSI EN 303 645, ISO 15408/PP, etc.) soit sur des profils de sécurité pour chaque type d’objet connecté (e.g. camera connectée, thermostat, etc.) créés en collaboration avec les porteurs de risques et les métiers. Pour des raisons d’efficacité et afin de garantir des résultats objectifs et reconnus, les procédures de tests qu’on met en place sont transparentes et peuvent couvrir la vérification de conformité, l’analyse des vulnérabilités ou des tests d’intrusion effectués par nos experts de sécurité et hackers éthiques dans notre laboratoire. Les failles les plus répandues sont liées aux faibles mécanismes d’authentification comme l’utilisation des mots de passe par défaut ou à l’absence de chiffrement ou de contrôle d’intégrité pour le stockage, les communications et les mises à jour des données sensibles.


Quelles sont les principales motivations des pirates qui s’attaquent aux objets connectés ?

Le risque qu'un pirate vous espionne avec une enceinte à commande vocale connectée ou lorsque vous sortez de la douche avec une caméra connectée est réel mais reste relativement infime. En effet, les pirates sont principalement motivés par les gains financiers ou par de l’espionnage ciblé des entreprises ou gouvernements. Ce qui ne les empêche pas d’utiliser vos objets connectés du quotidien pour lancer des attaques latérales pour ces autres motivations.


N’est-il pas difficile de s’adapter en permanence aux modes opératoires des pirates qui doivent, on l’imagine, sans cesse évoluer ?

En effet, le « risque zéro » n’existe pas dans le monde de la cybersécurité. L’approche la plus saine serait de minimiser les risques autant que possible. Ceci serait possible en adoptant des processus sécurisés de développement, de tests, de certification, de livraison, d’installation et de mise à jour des objets connectés tout en assurant des moyens efficaces de détection et réponses aux incidents. Ceci permet de compliquer suffisamment la tâche aux pirates pour les démotiver.


Afin de mieux comprendre la situation, auriez-vous des chiffres concrets sur le piratage à nous communiquer ?

Selon une étude1 réalisée en février 2020 par Extreme Networks, sept organisations sur dix auraient déjà connu des tentatives de piratage par les objets connectés. Parmi les 540 professionnels de l’informatique se basant en Amérique du Nord, Europe et Asie-Pacifique, 84 % des entreprises ont aujourd’hui des objets connectés sur leurs réseaux, et 70 % savent qu'elles ont déjà subi une tentative – réussie ou non – d’attaque informatique par ce biais.

Une autre étude2 menée par Palo Alto Networks montre que plus de la moitié des objets connectés utilisés dans le milieu professionnel sont potentiellement attaquables à distance.


Comment la législation encadre-t-elle la sécurité des objets connectés ?

Les législateurs sont en train de mettre en place des lois visant à protéger les utilisateurs des objets connectés. Aux U.S, la nouvelle loi sur l’IoT de l’État de Californie est ainsi entrée en vigueur le 1er janvier 2020. Elle a comme objectif de renforcer la protection des objets connectés. Alors qu’en Europe, la loi européenne sur la cybersécurité, l’EU Cybersecurity Act, a été publiée le 7 juin 2019 pour lutter contre la fragmentation actuelle de la certification de produits, processus et services ICT/IoT, réduire les coûts et les charges administratives pour les entreprises, et renforcer le marché unique numérique.

Parallèlement, les organismes de normalisation du monde entier et de nombreuses organisations comme l’ENISA, l’EUROSMART, l’IoTSF, GSMA, l’IoXt et ECSO, ont établi des lignes directrices et des normes sur les meilleurs pratiques de cybersécurité.

Eurosmart, la voix de l’industrie de la sécurité numérique, a ainsi développé un schéma de certification adapté aux contraintes techniques et commerciales des objets connectés, basé sur la loi européenne sur la cybersécurité. L’ETSI et la CEN-CENELEC ont par ailleurs récemment publié une norme de cybersécurité pour les objets connectés destinés au grand public, l’ETSI EN 303 645.


Enfin, quels conseils donneriez-vous en priorité aux utilisateurs d’objets connectés ?

Tout d’abord, il serait important que les fabricants et les utilisateurs des objets connectés sachent que la cybersécurité dans l’IoT est un énorme défi. Ainsi, on conseille principalement de mettre en œuvre des plans d'actions préventifs en termes de sécurité afin d'atténuer les risques. Ceux-ci doivent être définis en fonction de la gouvernance et de l'environnement spécifique de chaque entreprise sur la base d'une approche globale basée sur une analyse des risques.

Il faudrait savoir que les solutions infaillibles et ceux à « taille unique » n'existent pas, on recommande ainsi de mettre en place des cadres de sécurité et encore mieux d’utiliser des plateformes automatisées basées sur des cadres efficaces et spécifiques à l’IoT. Ceux-ci vous permettent de cibler et de traiter les problèmes de sécurité IoT d’une manière dynamique et en toute connaissance des risques associés durant tout le cycle de vie des objets connectés.

Enfin, nous vous recommandons fortement de prendre contact avec des experts spécialisés dans la cybersécurité et l’IoT afin de vous aider à couvrir les risques auxquels votre organisation est confrontée en ce moment.


Propos recueillis par Béatrice Lechevalier



1) https://investor.extremenetworks.com/news-releases/news-release-details/7-out-10-organizations-have-seen-hacking-attempts-iot?_ga=2.54063663.621246141.1582121787-1502533451.1582121787

2) https://start.paloaltonetworks.com/unit-42-iot-threat-report



Partager l'article

THÉMATIQUES ASSOCIÉES

0 Commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les plus vus

1.
Livret défense, une fausse bonne idée pour soutenir l’armement
2.
Congrès des greffiers des tribunaux de commerce : « L’intelligence artificielle peut nous permettre de détecter des schémas de fraude que l’œil humain ne verrait pas »
3.
Le port de décorations sur la robe des avocats déconseillé au barreau de Paris
4.
L’Essonne accueille une nouvelle préfète, Fabienne Balussou, la cinquième depuis 2020
5.
« En course à pied comme en audience, il est toujours important d’avoir un coup d’avance sur les échéances »

Au cœur de l'actualité !

Infos locales, analyses et enquêtes : restez informé(e) sans limite.

S'abonner

Abonnez-vous à la Newsletter !

Recevez gratuitement un concentré d’actualité chaque semaine.