Retour sur le webinar Smart Security
Difficile de développer un projet IoT, encore plus de maîtriser l’intégralité des briques de celui-ci, notamment celle de la sécurité. Car la multiplication des objets connectés fait évoluer de façon exponentielle les risques d’attaques et de vulnérabilités. Pour s’en protéger et pour mettre en place un projet IoT dans les meilleures conditions, des solutions existent.
Le 6 février 2020, Jérôme Fenwick, CTO de Synox et Erick Bullier, Directeur B.U Cybersécurité de Devensys, ont présentés les clés d’un projet IoT sécurisé de bout en bout durant une web conférence de 45 minutes que vous pouvez retrouver en replay ici.
De la sécurisation des données et flux de données, à la maintenance et supervision des réseaux et infrastructures, ou encore à la mise en place d’un APN privé, tout vous est expliqué !
Le contexte
Dans un univers hyperconnecté, les risques de cyberattaques se multiplient et l’Internet des Objets n’échappe pas à la règle. En effet, la dématérialisation de l’information présente son lot d’avantage mais doit aussi faire face à une explosion d’attaques (+600% en 2017). Devensys souhaitait profiter d’une entreprise maitrisant parfaitement le domaine de l’IoT, afin de discuter de la structuration des projets d’objets connectés. Synox, quant à elle voulait se challenger davantage sur la politique sécuritaire qu’elle avait l’habitude de mener. C’est dans ce contexte que ces deux entreprises ont monté ce partenariat afin d’allier leurs savoir-faire et leurs expertises.
Le webinar s’est déroulé autour de la sécurisation d’un projet IoT en 5 étapes. On vous résume le discours des deux experts :
La démarche en 5 points
Grâce à une démarche cadrée et sécurisée, le passage d’un POC à son déploiement à grande échelle ne vous paraîtra plus si compliquée.
« On ne parle pas de projet IoT mais de mise en œuvre de technologie IoT dans des projets métiers, afin d’améliorer la productivité, le ROI ou encore les déploiements. »
Jérôme Fenwick
L’étape n°1
La première étape va bien évidemment consister à cibler les besoins et les risques du projet. Grâce à un audit de fonctionnement du client, les points de douleurs vont pouvoir être repérés. Ce qui permettra de se projeter au travers de solutions existantes ou de construire une nouvelle solution, totalement personnalisée en fonction des besoins client / métier. C’est aussi lors de cette étape que la sensibilisation sur la sécurité devra se faire.
L’objectif primordial de cette étape consiste à comprendre la problématique du client et l’inviter à réfléchir aux objectifs à atteindre : Quels peuvent être les dérives sur le système d’information sur lequel l’IoT sera mis en place ? est LA question à se poser car ces vulnérabilités peuvent avoir des répercussions sur le déploiement complet du projet.
L’étape n°2
La seconde étape va consister à mettre en œuvre une démarche cadrée et maîtrisée autour du PoC (Proof of Concept). Pour ce faire, il va falloir prouver que le concept fonctionne dans un temps imparti, en fonction du budget du client et de son objectif final. Et cela va passer par la récolte de la donnée, la qualité de la donnée et le niveau sécurité. On va estimer une durée de test entre 3 et 6 mois pour que le projet garde toute sa valeur.
Cette phase consiste à se projeter dans l’avenir. C’est dès ce moment que la sécurité est initiée et intégrer à toute les phases du projet. Elle passe par trois points essentiels : l’objet, le réseau et l’infrastructure privée. Tout est évoqué de l’APN privé à la « Sécurité by design ». L’APN privé va permettre de se connecter au cœur de réseau des opérateurs pour éviter que la donnée ne s’échappe sur internet. La « Sécurité by design » permet d’établir une répartition claire des tâches, rôles et droits attribués.
Car, selon nos experts, les problèmes de sécurité viennent, en général, plus de problème de configuration que des outils eux même. C’est pour cela qu’il y a vrai travail à faire sur leur maitrise en supplément d’un travail de fond sur la validation et les choix des protocoles de sécurité choisis.
L’étape n°3
La troisième étape est le bilan complet du PoC. Elle va permettre d’identifier et de chiffrer ce qu’il reste à faire jusqu’à la généralisation du projet. Etant donné que l’obligation de tout réussir du premier coup n’est que rarement atteinte, la validation des objectifs initiaux (qualité des données, connectivité, sécurisation de l’infrastructure / device, budget ou encore ROI du cas d’usage mis en place) peut être réadaptée.
« Par exemple, pour la sécurité on peut, et même on doit, trouver des failles. Afin de définir un plan d’action correctif ou dans le meilleur des cas d’action de généralisation du PoC »
Erick Bullier
Tous les éléments sont pris en compte à tous les endroits et dans toutes les phases du projet. Car un travail de fond bien fait sur l’analyse de risque, sur le cahier des charges fonctionnelles et techniques donne véritablement plus de chance à un PoC d’être validé rapidement (ou pas d’ailleurs). Si ce travail n’est pas fait sérieusement, des dysfonctionnements importants pourront apparaître.
L’étape n°4
La quatrième étape consiste à affiner l’infrastructure et les process sur un premier volume critique. C’est le passage à l’échelle. Cette phase constitue un vrai travail d’anticipation et de gestion de la configuration puisqu’un déploiement n’est pas le même lorsqu’il gère des dizaines de devices ou des centaines de millier de devices.
L’affinage du process va concerner les personnes qui vont venir intervenir avec les nouveaux outils de l’IoT. En effet, il faut gérer les droits d’accès suffisants et nécessaires pour que la sécurité, l’accès aux devices et aux données soient optimal. Car généralement, on se retrouve avec des comptes a privilège excessif, une séparation des privilèges qui n’existe pas, ou des comptes historiques qui sont encore la et qui n’ont pas lieu d’être.
L’anticipation est alors primordiale car elle va engager la pérennité du projet mais surtout la faciliter de maintenance.
L’étape n°5
L’ultime étape est la généralisation du projet dans une amélioration continue. Etant donné que la sécurité garantie la productivité, il est donc important d’y penser en permanence et de la soutenir, tout en l’améliorant : faire des mises à jour, upgrader les configurations, vérifier en temps réel que le dispositif s’adapte bien à un environnement qui est mouvant, qui change.
En soit, mettre en place un projet IoT avec un niveau de sécurité optimal n’est pas aussi complexe que vous pouvez l’imaginer mais demande de se poser les bonnes questions en amont, dans une démarche cadrée. C’est dans cet objectif que Synox et Devensys vous accompagne tout au long du processus, vous conseille sur les choix les plus pertinents et vous supporte jusqu’au déploiement final de votre projet (et après si vous le souhaitez bien évidemment !)
A propos de Devensys
Fondée à Montpellier en 2012, Devensys s’appuie sur des partenariats technologiques forts pour allier qualité, performance et tenu des délais. Ses collaborateurs travaillent ensemble, dans le même esprit d’équipe, pour offrir des expertises pointues dans les domaines transverses : Cybersécurité Infrastructure & Cloud DevSecOps Formations & Certifications.
A propos de Synox
Intégrateur et éditeur de plateformes IoT, Synox accompagne les entreprises et collectivités désireuses de mettre en place, facilement et en toute sécurité, leurs projets IoT quel que soit les objets et la technologie utilisés.
: