Banques, hôpitaux, hôtels …, les bâtiments deviennent de plus en plus « intelligents ». Les installations modernes entrent dans une nouvelle dimension de la connectivité, de l’efficacité technologique, de l’amélioration de la productivité du personnel et de l’économie d'énergie. Nous entrons dans l’air de l’optimisation et chaque installation doit trouver des moyens d’augmenter son efficacité énergétique au niveau du chauffage, de la climatisation, de l’éclairage et d’autres systèmes plus spécifiques encore. Cette évolution passe par l’utilisation de plus en plus importante de systèmes automatisés et digitalisés.

Vincent Dély, Technical Sales Engineering Director chez Nozomi Networks

Il s’agit d’une transformation numérique profonde, qui entraîne l’abandon progressif des anciens systèmes propriétaires et leur remplacement par de nouveaux systèmes connectés, standardisés et pilotables en local comme depuis le Cloud. Ce développement est soutenu par l'installation de capteurs économiquement abordables, avec ou sans fil, qui permettent de collecter un éventail toujours plus large de données. Néanmoins bien que cela semble devenir la norme, de nombreux bâtiments disposent encore d'une infrastructure traditionnelle : des applications, des appareils et des réseaux qui doivent être gérés, entretenus et progressivement mis à niveau. Cette convergence des environnements IT, IoT et OT place les gestionnaires d’infrastructure dans une situation délicate. En effet, bien que cette évolution apporte de nombreux avantages d’un point de vue opérationnels. Elle induit également un accroissement du risque cyber.

La ville dite « intelligente » est aujourd’hui une cible prisée des cyberattaquants. On peut la considérer comme un système de systèmes IT, IoT et OT. Si l’on considère ses infrastructures critiques (énergie, eau, transport, sécurité) ou encore les services critiques qui la composent, comme la santé, l’éducation, les infrastructures publiques, on se rend compte de la surface d’attaque potentielle. La récente attaque contre le système de transport de la ville Polonaise d’Olsztyn ayant entraîné l’interruption des services, illustre parfaitement la vulnérabilité de ces systèmes critiques. La frontière entre les systèmes opérationnels et leur pendant IT étant devenue très mince, ils deviennent à leur tour sensibles aux différentes menaces cyber. D’autres attaques récentes, parfois peu complexes, posent la question de la sécurité des appareils IoT et des données qu’ils contiennent, notamment dans les infrastructures critiques.

La complexité de la sécurité des appareils IoT

Les nouveaux équipements dits IoT sont conçus pour simplifier le déploiement et l’exploitation. Cela les rend utilisables par le plus grand nombre. Mais implique un risque plus important après le déploiement initial, car ils ne sont pas nécessairement maintenus à jour ou ni même conçus pour être sécurisés. Leur objectif premier restant la collecte d’information la plus simple possible. De ce fait, ces appareils restent vulnérables à des attaques qui peuvent facilement être évitées pour d'autres types d'appareils.

À titre d’exemple, l'utilisation de mots de passe par défaut et l'absence de procédures d'authentification fortes sont fréquentes sur de nombreux capteurs IoT. Pour des questions de simplicité de mise en œuvre, ces appareils sont souvent connectés à l’écosystème existant. Écosystème qui comprend des applications professionnelles, des datacenters, des infrastructures IT. Les attaquants peuvent profiter des défauts de sécurité des appareils IoT pour pénétrer dans le reste du réseau. La vulnérabilité des réseaux de caméra de vidéosurveillance et l’existence de malwares ciblés comme Miraï en est la parfaite illustration.

Comment y faire face ?

Ces risques ne doivent toutefois pas être un frein à l’innovation. La création par le National Institute of Standards and Technology (NIST) du NIST Cybersecurity for IoT a pour but de renforcer la confiance dans l’IoT afin de favoriser l’innovation. Le programme détermine notamment un cadre qui aide les organisations à gérer leurs infrastructures et leurs données ainsi que des lignes directrices à suivre en cas d’attaques.
1. Identifier les types de données collectées par chaque appareil afin de déterminer les potentiels risques d’un incident de cybersécurité.
2. Mettre en place des contrôles de sécurité pour protéger le réseau. Il peut s’agir d’un pare-feu capable de supprimer les connexions liées à des logiciels malveillants, d’une segmentation du réseau ou encore du chiffrement des données.
3. Établir des mécanismes de surveillance et de détection pour identifier les menaces et les potentielles vulnérabilités.
4. Mettre en œuvre un plan de réponse aux incidents de cybersécurité avec notamment l’isolation des dispositifs et des systèmes affectés ou encore la communication autour de l’incident aux parties concernées.
5. Élaborer des stratégies de continuité d’activité en cas d’attaque, que ce soit via un système de sauvegarde et restauration des systèmes.

Pour s’engager efficacement dans la mise en œuvre de ces bonnes pratiques, il essentiel pour une organisation de ne pas rester seule, mais de collaborer avec des partenaires industriels, des agences gouvernementales, de partager des informations sur les menaces les de cybersécurité sur les dispositifs IoT, les nouveaux modes d’action des attaquants, les innovations en cyberdéfense. En collaborant, il est possible de faire évoluer ses protocoles de cybersécurité en inspirant de bonnes pratiques déjà mises en œuvre par d’autres. Les villes qui cherchent à développer les services publics du quotidien, pour les rendre plus accessibles et plus simples pour les administrés ; sont en première ligne dans l’adoption des technologies émergentes et de leurs risques associés. Chaque projet devrait inclure des composants et des procédures de sécurité pour assurer la pérennité d’un système dans un contexte de menace grandissant.