L’arrivée des écosystèmes IoT au cœur du SI et des métiers des entreprises est désormais une réalité. Les contraintes liées à leurs environnements ainsi que le manque de standardisation, impactent aujourd’hui l’adoption d’une sécurité maîtrisée pour ces écosystèmes.

Face à ces enjeux, le déploiement d’une PKI (Public Key Infrastructure), technologie fiable et reconnue pour établir un socle de confiance et garantir l’identité numérique des personnes, des devices et des objets fait l’unanimité.

Mais comment l’adapter à ces nouveaux usages communicants ? Comment maîtriser les risques pour réussir cette transition vers le monde de l’IoT ? Qui pour accompagner les utilisateurs dans la mise en œuvre de leurs projets ?

Eléments de réponse avec Guillaume Richard, responsable du pôle conseil, nouvellement créé au sein d’IDnomic.

Comment pensez-vous qu’il soit possible d’apporter la sécurité à l’écosystème IoT ?

Les objets connectés relèvent, enregistrent et communiquent des données liées au monde physique. Ils établissent ainsi un lien avec le monde numérique qu’il convient de protéger. Sur ces infrastructures IoT, l’enjeu est d’autant plus important qu’une attaque peut avoir un réel impact sur le monde physique.

La cybersécurité est dès lors un des défis majeurs de tout projet IoT et se doit d’être le pilier de la confiance dans cette nouvelle phase de la transformation numérique. Pour parvenir à créer ce cercle vertueux : innovation, confiance, et coopération sont les maîtres mots. L’innovation au service de la confiance est en effet rassurante pour l’utilisateur autant que structurante pour le marché. Dans ce contexte, la PKI propose une solution éprouvée et adaptée répondant à de nombreuses problématiques allant de l’authentification des utilisateurs ou des objets à l’intégrité des données et la protection de la vie privée.

En quoi la PKI IoT peut-elle être différente d’une PKI entreprise aux besoins de confiance « plus classiques » ?

Certains de nos clients disposent déjà d’une PKI pour un usage spécifique sans pour autant envisager ses autres usages possibles. D’autres, encore en phase de réflexion, souhaitent bénéficier d’un accompagnement personnalisé pour choisir les meilleurs scénarios (fonctionnels, modalités de mise en œuvre…).

C’est là justement que l’appel à un prestataire PKI spécialisé tel qu’IDnomic prend tout son sens.

Dans le cadre d’un projet IoT, la mise en place d’une PKI a ses particularités et peut nécessiter un accompagnement puisqu’il faut notamment tenir compte des spécificités du cas d’usage, de l’intégration du point de confiance dans l’objet et de l’automatisation du cycle de vie des certificats.

IDnomic  possède une expertise forte dans ce domaine, notamment par le travail accompli depuis 4 ans dans le domaine des ITS.

Justement, qu’apporte la PKI développée, par vos soins pour les ITS (Intelligent Transport System), nos véhicules de demain ?

Dans un futur proche, tous nos véhicules communiqueront entre eux et avec les infrastructures routières avec pour objectif d’échanger des informations permettant de réguler le trafic, optimiser la sécurité routière et diminuer l’impact écologique du transport.

Identifier chaque dispositif, sécuriser les échanges de données sans porter atteinte à la vie privée des utilisateurs sont autant de défis à relever par ces systèmes de transport intelligents.

La PKI répond parfaitement aux besoins, offrant un domaine de confiance à un écosystème aux contraintes fortes (nombre d’acteurs, volumétrie des messages, respect de la vie privée…). Elle permet en effet de disposer d’un environnement flexible et sécurisé afin que n’importe quelle entité de transport intelligent soit en mesure de vérifier l’intégrité des messages reçus, de prévenir toute modification ou malveillance pendant l’échange d’information et de renforcer l’accès tout en assurant la « pseudonymisation » des données personnelles.

L’enjeu est-il le même pour l’internet des objets industriels ?

Tout à fait. L’altérées de l’intégrité des données de l’identification des objets industriels dans l’infrastructure IoT peut avoir un impact direct sur les décisions critiques à prendre.

L’IoT industriel a mûri sur les cas d’usage à valeur ajoutée comme la maintenance prédictive ou le diagnostic intelligent. Les problématiques sont bien identifiées notamment en ce qui concerne le passage à l’échelle des projets : l’agrandissement de la surface d’attaque, la mise à jour d’un parc d’objets connectés, l’impact organisationnel, etc.

Les objets connectés sont toutefois absents des modèles de sécurité industrielle traditionnels, la standardisation est relativement inexistante et certains volets technologiques comme l’authentification des objets ou la confidentialité des données de bout-en-bout sont encore en chantier. De ce fait, les entreprises ne savent pas bien de quelle manière prendre la sécurité des objets connectés.

La convergence de l’OT avec l’IT d’entreprise est indispensable. Elle permet de faire profiter aux objets des référentiels et outils toujours plus matures (sécurité des outils de mobilité, SIEM…). La PKI ne fait pas exception et sera l’une des technologies majeures de cette sécurité industrielle.

Comment peut-on améliorer la prise en compte de la cybersécurité dans les projets IoT ?

Le besoin initial des entreprises avec les objets connectés a été de confirmer la valeur qu’ils pouvaient dégager pour leurs différents métiers. Pour cela ils ont dû répondre aux questions techniques liminaires (quels objets, quelles technologies de communication) afin de remonter les premières données.

La cybersécurité a parfois été mise de côté car perçue comme dispensable au début. Ce qui est dommageable pour au moins deux raisons :

  • Il n’est pas forcément complexe d’envisager la cybersécurité en amont des projets. Impliquer une personne de l’équipe sécurité ou faire une analyse de risques macro, permet de capter les premières exigences et de faire avancer le sujet en parallèle.
  • Traiter la cybersécurité a posteriori peut relever du parcours du combattant, notamment à cause des limitations des objets et de leur infrastructure de communication (ex : capacités cryptographiques et performances de traitement, stockage de la donnée, protocole de communication).

L’approche dite « privacy by design » qui prend en compte les contraintes de cybersécurité en amont, permet d’éviter d’avoir à adapter a posteriori la solution choisie. C’est notamment le cas  pour une mise en conformité RGPD ou pour la gestion du maintien en conditions de sécurité.

Le rôle du pôle conseil d’IDnomic est justement d’aider nos clients à clarifier leurs besoins et à analyser comment la PKI peut y répondre. Celle-ci n’est évidemment pas une réponse systématique : notre analyse et une éventuelle phase de « Proof of Concept » (PoC) permettent facilement de se faire une première idée.

Nous avons ainsi vocation à travailler avec les acteurs du monde IoT : les industriels utilisateurs des objets évidemment, mais également les fabricants d’objets dont le rôle est clé pour le déploiement des solutions de sécurité. Enfin, nous souhaitons travailler en étroite collaboration avec nos partenaires intégrateurs qui interviennent dans des projets de bout-en-bout dans lesquels une PKI a été déployée.

Quelle approche suggérez-vous à un client qui souhaite s’engager dans un processus de sécurisation de son infrastructure IoT ?

Nous préconisons une approche pragmatique en choisissant un sous-ensemble de l’infrastructure IoT pour évaluer la PKI comme outil de sécurisation.

Le client peut ainsi analyser l’adéquation de la solution à son besoin IoT, appréhender la complexité d’intégration dans son environnement en vue d’une industrialisation et analyser les contraintes liées à son écosystème ainsi que l’effort à fournir pour un déploiement réussi.

Ce type d’évaluation, simple et rassurant, permet rapidement de faire les choix nécessaires à la mise en œuvre d’une sécurité à l’état de l’art pour les systèmes connectés.

C’est d’ailleurs pour cela que nous avons mis en place un programme PoC dédié aux marchés de l’IoT. Il s’adapte aux cas d’usages du domaine et adresse à la fois les fabricants d’objets connectés et les exploitants. C’est une offre exclusive et attractive qui mobilise le pôle conseil ainsi que l’équipe Projets d’IDnomic.