A chaque entreprise, leur propre cybersécurité...

Certaines collectivités commencent à réfléchir à la mise en place de leur propre réseau dédié à l’IoT.  Les objets connectés sont une porte d’entrée royale pour les cybercriminels. Ces derniers sont de plus en plus nombreux à mener des attaques sur l’IoT. Entre la prise de contrôle de l’objet, l’intrusion sur le SI ou l’altération de données collectées, la menace est très sérieuse.

Ce n'est pas nouveau, au contraire, la cybersécurité existe depuis toujours dans le milieu informatique, cependant, ses méthodes ont bien changé. Jadis, le réseau technique était totalement indépendant des autres réseaux externes, et sécurisé de fait.

Les réseaux techniques se développent. De plus en plus d’interconnexions avec ce réseau ont été créées pour assurer la continuité de service et répondre à de nouveaux besoins, tels que : la convergence des installations, le monitoring industriel, le besoin de génération de rapports, la télémaintenance, la télésurveillance, etc. Cependant on constate une augmentation du nombre d’ouvertures, cela engendre des failles de sécurité éventuelles sur le réseau.

les métropoles françaises qui affichent clairement leur ambition de déployer ou de tester le déploiement de leur propre réseau IoT. Pour quelles raisons ? Plus de flexibilité certes, mais surtout pour les économies de coûts dans la durée. Si l’investissement initial est conséquent, les économies sont rapidement perceptibles pour les villes disposant des compétences techniques nécessaires en interne afin d’exploiter leur propre réseau.

Régulièrement citée dans la presse, la métropole de Rennes est par exemple une référence en matière de déploiement de réseau IoT (LoRa). Depuis 2015, ce sont les 43 communes de la métropole qui sont équipées avec un réseau dédié pour l’instant à deux usages principaux. Le premier, la gestion des déchets et l’optimisation des tournées de ramassages des points d’apport volontaires en fonction de leur remplissage. Le second, la gestion énergétique des bâtiments publics avec l’installation de capteurs sur les réseaux d’électricité, de gaz, de chaleur et d’eau.

D’autres usages pourraient par la suite venir se greffer comme la gestion de l’éclairage public, l’assainissement des eaux, le stationnement ou encore le pilotage de l’arrosage automatique des espaces verts. Avec leurs ambitions de gouvernance numérique, les villes françaises démontrent ainsi leur volonté d’accélérer leurs stratégies smart city et IoT.

Depuis 2010, une véritable prise de conscience a eu lieu et les premières demandes sur des protocoles de communication sécurisés, comme SNMP v3 ou plus récemment OPC UA sont arrivées. Le constat est frappant: pas de surveillance, des mots de passe connus de tous, des logiciels de prise en main à distance laissés actifs en permanence, etc.

Selon Julien Bennet de AREAL : "La cybersécurité est un combat de tous les instants .La cybersécurité est aussi une problématique interne, tous les collaborateurs sont formés aux bonnes pratiques de cybersécurité. Nous sommes actuellement dans une démarche de certification CSPN (Certification de Sécurité de Premier Niveau, aussi appelée « Visa de Sécurité de l’ANSSI » ) et faisons auditer nos installations par un cabinet spécialisé". Suivant la structure, cela peut demander une personne ou une équipe spécialisée sur le sujet mobilisée en permanence afin de vérifier les machines et équipements installés.

Le monitoring complet des équipements permet de s’assurer que le système répond aux objectifs de sécurité, de se prémunir des attaques quel que soit leur type et, de réagir rapidement et limiter sa portée.

Areal assure un processus de veille pour réagir à la détection de failles dans des librairies tierces et possède ainsi  un processus de développement prenant en compte la sécurité. Ils agissent sur l’architecture de la solution Topkapi pour répondre aux besoins fonctionnels tout en garantissant la sécurité optimale.  Il s'agit d'une plateforme logicielle comportant un large panel de protocoles natifs sécurisés. En complément, ils travaillent  sur la sécurisation des communications internes, le cloisonnement des droits accès, la traçabilité des informations, tous les sujets répertoriés par l'ANSSI.

Avec Areal on se sent vraiment en 'cybersécurité' !