/image%2F1879220%2F20151024%2Fob_a7aeea_coffee.jpg)
Nous sommes fiers et heureux de la participation d'un illustre contributeur à notre blog en la personne de Partha Panda, vice-président chez Trend Micro monde en charge de la stratégie et du business développement. Partha nous invite à nous interroger sur les changements en termes de sécurités pour l'industrie de l'Internet des Objets (IoT). Bonne lecture !
" De nombreux articles évoquent l’enjeu de la sécurité autour de l’Internet des Objets (IoT). La prolifération de tous ces dispositifs disposant d’une adresse IP, le tout connecté à un hub de données disposant d'un lot d'informations personnelles accessibles sur simple demande.
Cependant, doit-on en conclure que nous assistons à un changement de paradigme en termes de sécurité ?
Au cœur de cette nouvelle architecture qui sera composée de millions d’appareils connectés, consommant leurs propres ressources techniques et capacité de stockage et mémoire, ces objets devront se connecter à des hubs de données centralisés qui devront stocker les millions d’informations transmises et les envoyer aux dispositifs les requérant.
L’OWASP a d’ailleurs publié un top 10 des questions de sécurité à se poser avec l’IoT (découvrez la liste), et que remarquons-nous ? Finalement nombre de ces questions ont déjà été adressées depuis bien longtemps dans l’écosystème de la sécurité, tels que l’authentification, l’autorisation d’accès, les interfaces de sécurité, la robustesse du chiffrement, les vulnérabilités du réseau de transport, la confidentialité des informations. Finalement rien de neuf "sous le soleil".
Nous pourrions arguer que la multiplication des plateformes implique ce manque de sécurité, or c’est l’absence de normalisation qui rend cette sécurisation très difficile avec l’IoT. Si on ajoute à cela la tendance pour les entreprises à disposer de plusieurs plateformes, pas toujours à jour, ou supportées par les éditeurs, on comprend que la tâche sera ardue.
De mon point de vue, voici les 5 enjeux majeurs à adresser :
1 – L’échelle
C’est le changement le plus évident concernant l’IoT. Le nombre d’informations personnelles disséminées sur les différents hubs de données va considérablement augmenter. Ces mêmes données pourraient se retrouver sur différents hubs toujours plus centralisés, chacun disposant de sa propre IP. Bien que certains de ces nœuds ne communiquent pas seulement en IP entre eux (Zigbee par exemple), le nombre de ces équipements va littéralement exploser très rapidement. Le besoin, plus que jamais est de bien considérer le risque de perte ou de corruption de la donnée et il serait impensable de laisser cette responsabilité sur l’utilisateur final pour 2 raisons :
- Manque du niveau de sensibilisation des utilisateurs finaux
- Niveau de compréhension du traitement des risques
Les fabricants devront donc porter cette responsabilité en étant capable de catégoriser les informations collectées, y associer à un niveau de risque et apporter toutes les solutions de sécurité permettant de protéger cette information. Idéalement il faudrait être en mesure de ne jamais être capable d’identifier personnellement la source de la donnée.
2 – Les frontières
Avec la mobilité et le cloud, la notion de frontière a déjà été mise à mal. L’IoT vient lui porter un coup de grâce. Comment définir une quelconque frontière ? Le principe d’interconnexion des objets (au bureau et à la maison notamment) augmente le risque de propagation d’une donnée corrompue et par la même occasion augmente la surface d’attaque possible. En identifiant le maillon le plus faible de la chaîne, et grâce au principe « d’hyper interconnexion »la propagation d’un virus pourrait se répandre comme de la poudre.
3 – Faire plus avec moins
C’est sans doute le plus grand enjeu pour les industriels du secteur. Chaque dispositif disposera a priori de capacités propres (Mémoire, CPU, réseau) mais peu devraient disposer de la puissance nécessaire pour traiter des aspects de sécurité (si ceux-ci ne sont pas nativement intégrés). Les éditeurs de la sécurité devront alors être capables de proposer des solutions toujours plus puissantes avec un minimum de ressources.
L’une des clés pourrait être de compartimenter les fonctions de sorte à ne pas surcharger les dispositifs de fonctionnalités dont ils n’ont pas besoin. Pour cela une approche Information/Risque permettra de distinguer le niveau de sécurité nécessaire pour la protection de telle ou telle information. Par exemple, il n’est sans doute pas nécessaire de mettre en place un scanner de malware de type « full fledged » pour un simple firewall dont la mission est de s’assurer de l’ouverture des ports de communication. En somme, il faut choisir son combat, plus que jamais.
4 – Le Hub de données
Encore un point critique à adresser, lors de la transition entre les mainframes IBM vers l’architecture Client/Serveur, le rôle du serveur « Backend » a pris de plus en plus d’importance et est devenu le point critique de la stratégie de sécurité d’un bon nombre d’organisation. Editeurs et utilisateurs ont toujours défini ce serveur comme celui détenant l’information au sens large et l’ont donc largement sécurisé. Cependant, le nombre de ces serveurs backend (ou hubs de données) va considérablement augmenter avec l’IoT. Chaque éditeur voulant devenir le « uberhub » capable de détenir l’Information et la distribuer vers des plus petits hubs.Le rachat de Smartthings par Samsung démontre la volonté pour les acteurs de devenir la « référence » pour le stockage de l’information, mais les exemples sont encore rares sur le marché. Les équipements disposant d’un IP ou non sont presque systématiquement reliés à un hub de données (ce qui nous renvoie au point 1 concernant l’échelle).
5 – Le client
Last but not least ! Le client ! Il conduira dans tous les cas l’innovation. Par ses usages tout d’abord. Ceux-ci conduiront les organisations à s’adapter de gré ou de force. C’est la raison pour laquelle il est essentiel de garder l’utilisateur au cœur des stratégies de sécurité.
En conclusion, je ne suis absolument pas en train de dire que l’IoT ne nous invite pas à nous poser de nouvelles questions, les exemples ci-dessous démontrent le contraire. L’actualité récente nous montre les risques (voiture compromise, système de divertissement d’un avion corrompu), ce que j’indique est que l’approche de sécurité est similaire. L’échelle est quant à elle complètement différente. "
Bio Express Partha Panda – VP Strategy & Business Development chez Trend Micro Partha Panda dispose de 20 ans d'expérience dans l’industrie IT, dont 10 ans dans la sécurité et la gestion des partenaires (Channel). Chez Trend Micro il occupe le poste de vice-président des alliances et vice-président du Channel à l’échelle mondiale. Partha est considéré comme un leader d'opinion dans l'industrie de la sécurité informatique et participe activement à la stratégie produit de Trend Micro . Partha a un MBA en Stratégie et Finance de l'Université du Maryland . Disclaimer :L'article ci-dessus reflète mon opinion personnelle . Le contenu de cet article ne reflète pas l'opinion de mon employeur Trend Micro ou l'un de ses employés. En outre, Trend Micro n'a ni examiné ni approuvé le contenu cet article . Toutes les données et les informations sont fournies telles quel à des fins d'information seulement et je ne fais aucune déclaration quant à l'exactitude, la complétude, l'actualité, la pertinence ou la validité de tout écrit, et ne saurait être tenu responsable des erreurs ou omissions, ou pour des pertes, des blessures ou dommages résultant de son affichage ou de l'utilisation . Merci Partha, au plaisir d'une prochaine participation !