Commentaire d’expert : la sécurité dès la conception dans les appareils IoT

IoT Journey : quelle importance revêt la sécurité lors de la conception de produits IoT ?

Nicolas Damour: La sécurité est primordiale dans notre processus de conception. En tant que fabricant, nous sommes persuadés que la sécurité doit être ancrée dans le matériel. La « sécurité dès la conception » n’est pas simplement un nouveau terme à la mode : il s’agit de réfléchir à la sécurité dès le début pour l’intégrer au matériel. Une sécurité 100 % logicielle ne peut exister selon nous. Par exemple, certains éléments sécurisés tels que les cartes SIM des appareils cellulaires offrent un niveau de sécurité similaire à celui des puces intelligentes dans les cartes de paiement. En ajoutant des couches de sécurité sur les appareils IoT de manière ascendante, nous sommes certains que le logiciel présent sur l’appareil est sécurisé et protégé contre d’éventuelles attaques externes.

IoTJ : quelles sont les principales menaces de sécurité pour les appareils IoT ?

ND : Les menaces de sécurité sont très variables. Au niveau le plus basique, des criminels peuvent voler les batteries ou les cartes SIM d’appareils pour les utiliser dans des téléphones. Pour contrer cela, nous associons la carte SIM au module, afin qu’elle ne puisse fonctionner qu’avec ce module spécifique. La falsification des informations gérées par l’appareil ou le vol de données sont également d’autres menaces. Elles nécessitent un chiffrement et des canaux de communication sécurisés pour garantir la confidentialité, l’intégrité et la disponibilité des données. Parfois, les criminels tentent de bloquer le transfert des données depuis l’appareil ou d’utiliser des appareils IoT pour submerger une antenne-relais. Il faut réfléchir aux menaces et à ce que les acteurs malveillants pourraient être capables de faire. Cela demande un peu d’imagination.

IoTJ : comment abordez-vous la sécurité des appareils dans différents environnements ?

ND : chaque environnement a ses propres défis en matière de sécurité. Par exemple, les routeurs utilisés pour les applications de sécurité publique, comme les services de police et d’ambulances, nécessitent un niveau de sécurité élevé en raison des données sensibles qu’ils traitent. D’un autre côté, un GPS pour animal de compagnie n’a pas nécessairement besoin d’une connexion chiffrée vers le cloud, ses exigences de sécurité sont donc moins élevées. Nos appareils sont suffisamment flexibles pour répondre aux besoins en matière de sécurité de diverses applications, tout en maintenant une sécurité de base élevée.

IoTJ : pouvez-vous donner des exemples de mesures de sécurité pour différents types d’appareils IoT ?

ND : dans les modules cellulaires, nous prévoyons des processus de démarrage sécurisé et des canaux de communication chiffrés. Il en va de même pour les routeurs industriels cellulaires, qui incluent également des fonctions supplémentaires comme les VPN. Dans les modules cellulaires et les routeurs, nous utilisons des éléments sécurisés et associons les cartes SIM à des modules spécifiques pour éviter toute utilisation non autorisée. Pour les puces LoRa, nous nous concentrons sur les protocoles de communication sécurisés et le matériel externe anti-falsification. Chaque type d’appareil est doté de mesures de sécurité sur mesure, en fonction du cas d’utilisation et de l’environnement. La sécurité consiste à trouver un bon compromis entre protection et utilisation des ressources, y compris sur le plan de la puissance de calcul et de la consommation d’énergie. C’est particulièrement vrai pour les appareils IoT, qui ont généralement peu de puissance de calcul ou de stockage.

IoTJ : pouvez-vous donner des exemples d’attaques visant le matériel IoT ?

ND : Lors de la phase de fabrication, les cybercriminels peuvent injecter du code malveillant dans le micrologiciel. Pour éviter cela, nous nous assurons que le micrologiciel est signé et vérifié avant son exécution sur l’appareil. Les criminels ciblent également les mises à jour du micrologiciel, nécessaires pour protéger l’appareil si des vulnérabilités étaient détectées, par exemple. Nous utilisons des canaux sécurisés pour mettre à jour le micrologiciel et vérifier son intégrité, afin d’éviter l’installation de fausses versions. En cas de problème, le module peut revenir à la version précédente du micrologiciel.

IoTJ : comment vérifiez-vous la sécurité du processus de fabrication ?

ND : la sécurité du processus de fabrication est cruciale. Nous produisons nos appareils dans des infrastructures sécurisées pour éviter toute injection de code malveillant. Nous veillons également à la robustesse de notre chaîne logistique pour éviter les perturbations qui compromettraient la sécurité. Par exemple, lors de la pénurie de semiconducteurs liée à la crise du COVID-19, nous avons veillé à la sécurité et à la fiabilité de la chaîne logistique.

IoTJ : quel est le rôle du Zero Trust dans la protection des appareils IoT ?

ND : les principes Zero Trust fournissent une approche flexible et évolutive de la sécurité, essentielle face à la multiplication et à la diversité des appareils IoT. Ils sont particulièrement utiles pour les appareils non surveillés, sur lesquels les mesures de sécurité traditionnelles comme l’authentification à deux facteurs sont difficiles à mettre en œuvre. Nous utilisons notamment des clés privées et des PKI pour garantir des connexions sécurisées. Ces méthodes garantissent une authentification et une communication sécurisées entre les appareils, sans intervention humaine. Les certificats stockés dans les appareils IoT doivent être gérés avec soin pour les renouveler ou les révoquer au besoin. C’est essentiel pour garantir la sécurité tout au long de la vie de l’appareil, qui peut facilement atteindre dix ans ou plus.

IoTJ : quelles menaces futures prévoyez-vous dans le domaine de la sécurité ?

ND : les menaces futures s’appuieront sur l’IA et l’informatique quantique. L’IA est utilisée à la fois par de bons et de mauvais acteurs. Elle joue un rôle majeur dans la sécurité en participant à la détection des anomalies et menaces potentielles. Elle s’accompagne cependant de nouveaux défis en matière de sécurité. L’émergence de la cryptographie quantique est également à surveiller, car les acteurs malveillants pourraient stocker des données chiffrées aujourd’hui dans le but de les déchiffrer ultérieurement à l’aide d’ordinateurs quantiques. Des algorithmes résistants aux attaques quantiques seront nécessaires pour protéger les données contre le déchiffrement par ce type d’ordinateurs.

IoTJ : quelles normes et certifications sont pertinentes dans le domaine de la sécurité IoT ?

ND : plusieurs normes et certifications sont utilisées pour la sécurité IoT, notamment celles du National Institute of Standards and Technology (NIST) et de l’Agence de l’Union européenne pour la cybersécurité (ENISA). Certaines réglementations, telles que le Cybersecurity Act et le Cyber Resilience Act européens, ont un impact croissant sur le marché B2B, sans oublier que les clients ont souvent leurs propres exigences de sécurité.

IoTJ : comment collaborez-vous avec Orange pour garantir la sécurité des appareils IoT sur le réseau ?

ND : Orange possède et met régulièrement à jour un ensemble d’exigences appelé « Orange Group Device Requirements (OGDR) ». Ces exigences couvrent divers aspects : connectivité, SIM, services de communication IP, logiciels, confidentialité et sécurité. S’ils ne sont pas conformes aux OGDR, les appareils ne peuvent pas être certifiés pour une utilisation sur le réseau d’Orange. L’ajout des exigences de sécurité aux OGDR traduit l’importance croissante de la sécurité des appareils IoT.