Interview de Stanislas de Maupeou, VP stratégie et marketing de l’activité Systèmes...

Interview de Stanislas de Maupeou, VP stratégie et marketing de l’activité Systèmes d’information critiques et Cybersécurité chez Thales

"Internet of Things : Thales et le CEA ont récemment mis au point de nouvelles techniques de vérification des logiciels de chiffrement, en rupture avec les pratiques de cybersécurité conventionnelles, pour mieux faire face à une cybermenace en constante évolution."

More share buttons
Share on Pinterest
Stanislas-de-Maupeou_Thales
Stanislas de Maupeou, Thales

Société : Thales
Nom :
Stanislas de Maupeou
Fonction :
VP stratégie et marketing de l’activité Systèmes d’information critiques et Cybersécurité

 

Le 6 juin dernier s’est tenu à Paris l’IoT Business Forum. Cette journée a été l’occasion unique de réunir les décideurs de l’Industrie 4.0. Stanislas de Maupeou, VP stratégie et marketing de l’activité Systèmes d’information critiques et Cybersécurité chez Thales, a participé à la table ronde « Comment le Cloud Computing peut-il contribuer à la cybersécurité de l’industrie 4.0 ». Web des Objets a rencontré Stanislas de Maupeou pour échanger sur les risques associés aux cyberattaques et l’IoT.

 

1. L’arrivée massive des objets connectés pose de vastes questions sur la sécurité. Qu’est-ce qu’une cyberattaque IoT ?

D’une façon générale, un objet connecté peut faire trois choses : faire remonter des informations sur son environnement physique, agir sur son propre environnement et enfin communiquer voire interagir avec d’autres objets et systèmes communicants.
Les attaques vont donc chercher à cibler une de ces trois dimensions, en visant l’objet en lui-même ou en s’en servant comme une porte d’entrée pour attaquer tout ou partie du système auquel il est connecté. Certaines attaques vont consister à voler des données sur l’environnement physique de l’objet ; il s’agit là de cas typiques d’espionnage industriel, souvent sans même que la victime ne s’en aperçoive. D’autres cyberattaques vont avoir pour objectif de faire remonter des informations fausses via l’objet connecté de manière à leurrer un système qui utiliserait cette information pour prendre des décisions. Dans ce cas de figure, le système « trompé » peut modifier voire interrompre son fonctionnement. Enfin, dans les cas extrêmes, certaines cyberattaques permettent de prendre le contrôle de l’objet, voire du système, pour lui faire cesser sa fonction ou lui faire exécuter une action non prévue potentiellement dangereuse.

2. Quels scénarii sont à craindre ?

Les objets connectés sont déjà très présents dans nos vies et cette tendance s’accélère : dans l’industrie, la santé, les transports, les villes, l’énergie, etc. Même des objets datant d’il y a plusieurs dizaines d’années peuvent aujourd’hui devenir connectés, sans avoir été conçus pour ça. Par définition, ces objets ne sont pas isolés et sont amenés à interagir avec leur environnement et les systèmes dont ils dépendent. Les organisations sont confrontées à ce que l’on pourrait appeler le « syndrome des mille portes » : chaque nouvel objet est une faille potentielle, pas seulement au niveau de l’objet ou des informations qu’il contient, mais au niveau du système tout entier.
Au-delà du vol de données ou du déni de service éventuellement avec en échange de rançon, les scenarii les moins anticipés sont souvent ceux qui visent à agir de manière potentiellement anecdotique sur un grand nombre d’objet connectés, en exploitant des failles (pas nécessairement complexes ou sophistiquées mais s’appuyant sur un défaut de conception ou de qualité logicielle), pour générer des conséquences massives à grande échelle : on peut alors parler d’attaque asymétrique.

3. Sommes-nous bien préparés pour faire face à cette arrivée massive d’objets connectés et d’attaques potentielles ?

Les « recettes » pour sécuriser les objets connectés sont relativement bien connues, mais le cadre réglementaire et technique reste encore à finaliser. C’est par exemple pour cela que de simples caméras connectées ont pu servir de relais pour mener des attaques en déni de service vers des géants de l’internet. Simplement parce que ces objets n’ont pas été suffisamment sécurisés ou que la sécurité n’a pas été prise en compte lors de leur conception. De fait le volume d’objets connectés, leur interconnexion et leur connexion avec le monde réel constituent des défis pour la sécurité.

4. Quelle(s) méthode(s) vous semblent les plus efficaces pour lutter contre les cyber-attaques ?

La première mesure à prendre est le plus souvent d’appliquer les règles de base d’hygiène informatique. Ensuite, les spécificités techniques liées aux objets connectés sont réelles mais relativement limitées : autonomie/consommation, puissance, connectivité limitée et/ou sporadique, intégrité physique, variété des plateformes matérielles, etc. Il faut simplement intégrer la cybersécurité dès la conception de ces objets (« cybersecured by design ») de manière à garantir la protection des données qu’ils contiennent. Thales est d’ailleurs leader mondial dans ce domaine et accompagne ses clients dans la gestion de la confiance numérique, notamment grâce aux solutions Thales e-security. Par ailleurs, l’identité des objets connectés et sa vérification est un enjeu clef, tout comme la capacité de les mettre à jour de manière sécurisée.
De manière générale, il faut garder en tête que la sécurisation des objets connectés n’est pas nécessairement très coûteuse, alors que les conséquences d’une cyberattaque le seront systématiquement.

5. Thales et le Commissariat à l’énergie atomique (CEA), via leur laboratoire commun, FormalLab, ont récemment développé une solution en « rupture technologique » visant à garantir la sécurité des codes cryptographiques. Pourriez-vous nous apporter des précisions sur votre approche dans ce domaine ?

Thales développe des technologies de pointe en matière de chiffrement de données, essentielles à la bonne sécurité des objets connectés et de l’ensemble des systèmes d’information. Il faut savoir que les logiciels de communication chiffrée sous-tendent une large partie des échanges numériques actuels. Tout défaut dans ces logiciels peut mener à une cyberattaque dont l’impact serait majeur. Ainsi la faille Heartbleed, découverte en 2014, a instantanément impacté la sécurité de 17 % des serveurs sécurisés d’Internet. Thales et le CEA ont récemment mis au point de nouvelles techniques de vérification des logiciels de chiffrement, en rupture avec les pratiques de cybersécurité conventionnelles, pour mieux faire face à une cybermenace en constante évolution.

Merci à Stanislas de Maupeou pour cette interview.

Share on Pinterest
More share buttons