Engagé dans l’environnement des objets connectés en tant qu’exploitant de réseaux IoT, fournisseur de plateformes de gestion et distributeur d’objets, Orange s’investit particulièrement sur le sujet de la sécurité. Celle-ci est une condition préalable et indispensable à la confiance des utilisateurs, alors que l’IoT demeure une cible de choix s’agissant de cyber-attaques.
10% des cyber menaces sont orientées vers l’IoT
Selon les données du Security Navigator 2022 d’Orange Cyberdefense, 10% de l’ensemble des menaces cyber actuelles sont liées à des vulnérabilités IoT. Le Livre Blanc d’Orange sur la sécurité IoT met en exergue ce constat. La prise en compte de la sécurité – by design a fortiori – des objets connectés ne se fait aujourd’hui encore qu’à la marge, avec des résultats insuffisants. “La fragmentation extrême de l’écosystème de l’IoT explique en grande partie ce manque de culture et d’appropriation des problématiques de sécurité, expliquent David Armand, Expert Sécurité, et Fabrice Fontaine, Ingénieur Sécurité des systèmes embarqués chez Orange. Le plus souvent, les fabricants d’objets ne disposent pas des ressources et compétences nécessaires en la matière. Ils sont par ailleurs lancés dans une course au mieux offrant : c’est à qui commercialisera, le plus rapidement, un objet le moins cher possible. La sécurité, quand elle est intégrée au processus de développement, n’intervient qu’en bout de ligne et de façon précaire, aboutissant à des vulnérabilités fondamentales telles que le recours à des mots de passe basiques.”
Une prise en compte proactive chez Orange
Les menaces qui en résultent sont génériques et communes à tout service digital, comme les malwares, ou plus spécifiques à l’écosystème de l’IoT. Des objets connectés sont installés partout, dans des milieux contrôlés ou publics, et peuvent offrir une capacité à agir sur l’environnement associé. Le cas de ce hacker ayant pris le contrôle, à distance, d’une centrale de traitement d’eau en Floride pour y multiplier les niveaux d’hydroxyde de sodium est un exemple éloquent de ce risque.
Des réseaux aux plateformes, en passant par les objets, Orange s’engage depuis plusieurs années pour la protection de bout-en-bout de la chaîne de service IoT. Cette démarche volontariste porte notamment sur l’application d’un cahier d’exigences et d’un processus d’évaluation stricts s’agissant des fabricants candidats à l’intégration au catalogue des objets connectés distribués par l’opérateur.
Une action est nécessaire en amont
Mais un tel niveau d’exigence est loin de rayonner dans tout l’écosystème IoT. Il est donc nécessaire de pousser à l’adoption des meilleures pratiques par le biais des standards, voire des dispositifs de labellisation à l’image du Nutri-Score pour sensibiliser aussi le consommateur. A cet égard, une certaine prise de conscience intervient ces dernières années. A l’échelle européenne, Orange contribue activement à l’initiative de l’ENISA en faveur de la définition de schémas de certification dédiés à la sécurité des objets connectés, structurés selon 3 échelons de critères : basique, substantiel et élevé.
La sécurité n’intervient qu’en bout de ligne et de façon marginale chez les fabricants d’objets connectés.
Le Groupe a également participé à l’élaboration du standard IoT SAFE au sein de la GSMA. Cette norme propose de faire porter par la SIM ou l’eSIM, un actif éprouvé s’agissant de sécurité, un coffre-fort numérique qui hébergerait les clés de chiffrement des données. La valeur ajoutée en termes de protection est évidente, et un autre bénéfice réside dans la capacité par l’opérateur de mettre à jour de façon dynamique ces clés dans la SIM pour les générer et les renouveler avec flexibilité. Le projet IoT SAFE s’inscrit dans une démarche open source, afin de faciliter l’adhésion, par le plus grand nombre, à cet écosystème émergent.
La Recherche sur tous les fronts de la sécurité IoT
Concomitamment à l’effort de standardisation, Orange mobilise ses forces de recherche autour de projets innovants pour la sécurité de l’IoT. Cette expertise est mise à contribution dans le cadre de grands projets européens tels que 5GCAR et 5GCroco notamment, dans le domaine des véhicules connectés. Et elle se concentre, en interne, sur l’apport de certaines technologies à cet enjeu de sécurité, par exemple l’implémentation de mécanismes d’IA pour superviser et détecter des comportements ou trafics anormaux provenant d’objets connectés ou à destination de ceux-ci.