“La cybersécurité dans l’IoT, une tendance lourde en 2023”

[TRIBUNE de Chris Dobrec, ARMIS] 2023 sera l’année de l’Internet des objets (IoT) industriel, compte tenu des très nombreux projets engagés pour son accélération dans les entreprises. Elle devrait aussi être celle du renforcement des mesures de protection contre les cyberattaques et dans ce contexte, quelques tendances fortes de la cybersécurité de l’IoT sont à suivre avec attention en ce début d’année. Eclairage de Chris Dobrec, vice-président Product & Industry Solutions de la société spécialiste de la cybersécurité Armis.

Les solutions IoT ont toujours promis d'offrir aux entreprises de toutes tailles des avantages significatifs : meilleure productivité, opérations rentables, plus d'efficacité, meilleure expérience client, avantage concurrentiel, etc. Mais s'il y a une tendance notable qui donne le ton pour 2023, c'est l’augmentation des projets IoT. D'après une enquête de Eseye, 96% des 500 décideurs seniors interrogés confirment que les budgets affectés aux projets IoT vont continuer d'augmenter dans les deux à trois ans à venir, d’où l’obligation pour les entreprises de s’atteler à la mise en place de solutions de maîtrise de la cybersécurité durable. Pour illustrer la poursuite de cette croissance dans les quelques années à venir, IDC estime que 41,6 milliards de périphériques IoT connectés généreront 79,4 zettaoctets (79,4 milliards de téraoctets) de données d'ici à 2025.

Malheureusement, chaque “objet” connecté au réseau représente aussi un point d'entrée potentiel dans l'entreprise. Afin de mieux protéger cette surface d'attaque de plus en plus étendue, les gouvernements et les entreprises privées travaillent de concert pour lutter contre les problèmes de sécurité IoT. Ainsi, en France, le gouvernement promet de renforcer les moyens financiers mis à la disposition des établissements de santé. François Braun, ministre de la Santé et de la Prévention, annonçait par exemple en août 2022 (suite à l’attaque de l’hôpital de Corbeille-Essonnes) l’attribution d’une aide supplémentaire de 20 millions d’euros pour renforcer un plan de sécurisation des établissements d’importance vitale ou critique.

Aux Etats-Unis, le gouvernement prend une série de mesures pour "booster" la cybersécurité de son territoire en général, mais aussi pour moderniser les déploiements IoT, surtout dans les infrastructures critiques. Enfin, en Europe, des consignes similaires ont notamment été publiées par l'Enisa (Agence de l'Union européenne pour la cybersécurité), ciblant spécifiquement les opérateurs IoT et les infrastructures critiques.

Dans ce paysage, outre les problèmes de sécurité, de nombreuses entreprises ne possèdent ni le personnel ni les ressources nécessaires pour pleinement déployer et gérer des systèmes IoT. D'après une étude menée par Inmarsat auprès de 450 professionnels, 20% seulement des entreprises possèdent les compétences nécessaires pour intégrer avec succès l'IoT dans leurs opérations. Et seuls 32% des professionnels interrogés affirment disposer au niveau des hauts responsables de toutes les compétences nécessaires pour entièrement intégrer l'IoT dans leurs stratégies métier globales. Or, sans ces compétences, les entreprises vont continuer d'avoir du mal à intégrer les projets IoT dans l'entreprise, et vont devoir faire appel, si nécessaire, à des partenaires externes pour obtenir l'aide et l'expertise de spécialistes.

La 5G privée et l’IoT dans le médical : des domaines sensibles

Les premières entreprises à adopter la 5G dans la fabrication, la sécurité publique et la gestion de la supply chain commencent à déployer cette technologie de communication cellulaire pour prendre en charge des cas d'utilisation dans les usines intelligentes, avec un usage accru des capteurs IoT. Et ce en raison d'une couverture étendue, d'une capacité accrue et d'une faible latence. Bien qu'il soit peu probable que la 5G privée remplace le Wi-Fi à court terme, elle pourrait permettre des cas d'utilisation capables de gérer le temps réel, avec un niveau de contrôle très élevé. Parallèlement, la 5G privée permet aussi d’atteindre une réponse plus rapide aux problèmes de sécurité et de qualité de la couverture posés par l’IoT. Reste que les efforts à fournir pour obtenir un système de production entièrement intégré qui répond à ces cas d'utilisation sont très élevés, même si d’ores et déjà certains fournisseurs commencent à proposer la 5G privée en tant que service géré (points d'accès, cartes SIM, intégration dans un système global…).

De son côté, le domaine médical est sans doute l'un des plus malmenés à l’heure actuelle vis-à-vis de la cybersécurité. Les hôpitaux ont été et resteront une cible de choix pour les cybercriminels en 2023. Pourquoi ? Pendant la pandémie de Covid, les défenses des établissements de santé ont été réduites, car ils se sont concentrés sur le défi consistant à assurer les soins pendant cette période difficile. Bien que la nouvelle génération de dispositifs médicaux connectés promette une amélioration des soins aux patients, de meilleures données cliniques, plus d'efficacité et une réduction des coûts, elle entraîne aussi des risques de sécurité accrus. Les professionnels de la sécurité de l'information et de l'ingénierie clinique devront donc combiner dans les années qui viennent leur approche des soins aux patients avec une gestion pointue des risques, allant de la réponse aux incidents (aux attaques) jusqu’aux processus de récupération des données.