L’Internet des objets oblige aujourd’hui tous les acteurs de l’économie à repenser les écosystèmes dans leur globalité face aux notions de cyber sécurité. L’industrie est le premier secteur concerné. Il doit désormais prévoir dans son ingénierie et dans l’évolution de sa production l’intégration de nouvelles contraintes, subtiles et surtout ignorées pour garantir la fiabilité et la disponibilité des outils. 

Si auparavant le hacking se limitait à une attaque provenant de l’Internet ou d’une clé USB, désormais c’est l’ampoule, la caméra et l’agrafeuse que la gouvernance de sûreté doit ingérer. Mais une mauvaise nouvelle s’accompagne toujours d’une bonne : l’IoT est une opportunité exceptionnelle pour permettre aux industries de se renouveler, de se repenser et d’innover pour qu’à leurs tours, elles deviennent la locomotive de l’ère 4.0.

La convergence des SCALA vers l’IP va générer des nouveaux produits, faire naître des nouveaux services et bien entendu entraîner des nouvelles opportunités d’affaires.

Frein ou moteur de l’innovation ? Comme en débattait le CEFCYS lors de sa conférence annuelle 2016, l’IoT est bien entendue une chance pour la compétitivité industrielle à condition que la cyber sécurité soit de la partie.

Ce qui doit être protégé et maintenu au sein de l’entreprise

Gouvernance, design, procédures, formations et bien entendu technologie sont les nouveaux outils qu’il faut désormais rendre agile et compatible avec cette innovation. 

Pour éviter de freiner l’organisation, l'enjeu est de poser LA bonne question. Et cette question consiste à savoir ce qui doit être protégé et maintenu au sein de l’entreprise versus ce qui finalement n’a ni valeur ni enjeux. La donnée devient un asset à part entière, pourvue d’un statut changeant en fonction de son âge, de sa rareté et de ses enjeux.

Pouvoir identifier et distinguer ce qui est sensible de ce qu’il ne l’est pas est déterminant pour mesurer la difficulté, le coût et les chances de succès. Et cette question devra être posée de façon claire et audible pour tous les acteurs partis prenante, c’est-à-dire la totalité des salariés y compris le corps ouvrier dès lors qu’il possède un équipement connecté à commencer par son badge intelligent.

Considérer la sécurité dès la conception et le design de l’IoT

Chaque actif de l’entreprise, connecté ou non doit rentrer dans une procédure de sûreté. Car ce qui n’est pas connecté aujourd’hui le sera demain. Cela implique de considérer la sécurité des IoT dès la conception, l’installation et la mise en service. C’est une réalité nécessaire mais pas encore accessible. À ce jour, les IoT ont un niveau de défaillance sécuritaire extrêmement fort.

Cela s’explique par la précipitation des industrielles à innover et mettre sur ce marché émergeant à des vitesses record des offres aussi brillantes que farfelues dans le but d’y être le premier. Mais au prix d’un design sécuritaire absent ou quasi nul.

Ce design s’appelle le Smart Fuzzing. Il identifie en mode “Boîte Noire “les failles type Zero Day sur les protocoles de communication de l’objet. Les grands acteurs du marché comme Beyond Security qui offre une certification ADSA 2.0 pour assurer une homologation US avec sa base Securiteam.com assurent aujourd’hui une conception durcie des équipements. 

Ces solutions connues des grands acteurs de l’industrie connectée sont encore ignorées des PME/ETI en raison de leur coût mais aussi d’une réglementation absente et d’un législateur européen déjà dépassé.

Le second axe, plus agile, plus pragmatique et plus efficace consiste à élaborer en interne une politique de sûreté qui distingue une partie des assets. Ce type de politique à l’avantage d’engendrer moins de changement interne, plus de simplicité dans la mise en œuvre et identifier ce que l’on a vraiment besoin de protéger. Il est plus simple de protéger une poche qu’un costume ! Reste à savoir quelle poche ?

Le facteur humain, un enjeu majeur

L’Exécutif doit engager cette réflexion interne pour garantir l’intégration des bonnes pratiques dans l’ADN de l’organisation. Les entreprises peuvent par exemple reconsidérer l’organigramme et initier une nouvelle fonction comme un COSIoT (Chief Officer Security Internet of Things, chef de la sécurité des objets connectés, en français) pour compenser ce que le RSSI ne pourra absorber. 

Car il ne faut pas se mentir, l’IoT dans l’industrie, ce n’est pas simplement une convergence ou une évolution technique :

C’est un nouveau monde qui s’ouvre. Un nouveau monde de génie et de risque. Le facteur humain est l'enjeu majeur, de très loin, et aux mêmes niveaux que dans le risque aéronautique. C’est dire combien le management doit davantage sacrifier son temps à l’accompagnement des hommes qu’au budget d’équipements souvent bien suffisant et déjà en place.

La cyber sécurité est avant tout une histoire humaine. C’est son maillon faible. La cyber sécurité des IoT a pour maillon faible sa conception ouverte et sans architecture certifiée.

Désormais, avant d’installer une ampoule connectée dans une salle de réunion, demandez-vous comment votre gouvernance IT va digérer ce composant ? Vous verrez qu’elle ne le pourra pas. Elle n’est pas prête. Et pour cause, elle ne sait pas encore ce qu’elle doit absorber et protéger.

Par Frans Imbert Vier, PDG d’Ubcom