L’Internet des objets (Internet of Things, IoT) désigne la mise en réseau intelligente d’une infrastructure globale constituée d’une grande diversité d’équipements, aux fonctions variées (p. ex. capteurs de température, véhicules, enceintes, machines, etc.) Cette mise en réseau intelligente permet d’établir une nouvelle connexion entre ressources physiques et virtuelles au moyen d’interactions partagées. Les possibilités qui en découlent donnent par ailleurs les moyens d’exécuter certaines actions de manière automatisée, de collecter des informations et de les exploiter.
Les termes industrie 4.0 et technologie opérationnelle (OT, ou technologie d’exploitation) incarnent le point de rencontre entre la quatrième révolution industrielle d’une part et l’utilisation des nouvelles technologies ainsi que des possibilités techniques émergentes d’autre part. « Industrie 4.0 » est considéré comme le terme générique de ce nouvel univers industriel dans lequel les machines communiquent entre elles grâce aux dernières technologies de l’information et de la communication (TIC). Avec des terrains et des architectures spécifiques, l’informatique d’entreprise traditionnelle et l’OT se rapprochent toujours plus, sous l’influence de l’évolution numérique.
Alors que l’IT traditionnel sert à gérer et traiter l’information, l’OT, elle, est employée à la commande et au pilotage de processus physiques dans les domaines de la fabrication industrielle et de la logistique. Ce lien entre des systèmes OT hautement critiques, comme des centrales nucléaires, et des systèmes informatiques exposés à Internet amène des risques et des potentiels de sinistre nouveaux. Les maîtriser et y faire face s’accompagne de défis majeurs et exige de repenser notre approche.
Les nouvelles technologies et l’interconnexion grandissante entre l’OT et l’IT pourront se traduire par des évolutions significatives dans les domaines de l’économie, de l’administration publique et de la société, par de nouvelles applications et par des modèles d’affaires inédits, dans la mesure où nous sommes en mesure de gérer les risques qui les accompagnent de manière appropriée et systématique.
Il est couramment admis que l’emploi de nouvelles technologies fait naître des risques spécifiques. L’interconnexion des processus physiques et virtuels sur l’ensemble du périmètre accentue les risques liés à la sécurité ainsi que la portée des dommages potentiels. Cela s’explique par une exposition aux attaques nettement accrue et par l’importance grandissante de l’OT et de l’IT pour la création de valeur. Une attaque réussie sur un équipement IoT peut avoir un impact direct sur son environnement réel/physique et, par exemple, provoquer une panne de courant, mettre un appareil médical hors d’usage ou endommager des installations industrielles. Cette évolution se traduit par des exigences plus élevées en matière de sécurité, telles que des échanges et des stockages de données plus sûrs. Aujourd’hui, la nécessité d’exigences renforcées en matière de sécurité reste souvent négligée ou est délibérément ignorée (cf. cas de l’IoT pour les applications à usage privé), pour pouvoir commercialiser le plus rapidement possible un produit bon marché et pseudo-innovant (« intelligent »). Cela signifie généralement que la sécurité des appareils et la vie privée des utilisateur·rice·s ne peuvent pas être assurées de manière satisfaisante. Dans le domaine de l’Internet des objets grand public (produits à usage privé), force est de constater que le marché a échoué à mettre en place de normes de sécurité suffisantes.
On relèvera également que, dans l’industrie en particulier, l’accent est clairement placé sur la sécurité (« safety », p. ex. prévention des accidents) et non principalement sur la sûreté (« security », p. ex. mesures de protection contre des attaques). En outre, spécificité du domaine de l’OT, les équipements sont conçus pour durer plusieurs décennies, car ils sont souvent utilisés dans des environnements fortement exposés et doivent résister à des contraintes physiques importantes. À titre de comparaison, d’autres appareils intelligents doivent parfois être renouvelés au bout de quelques mois seulement (p. ex. balises connectées). Développer et intégrer des systèmes complets suffisamment sûrs dans tous les cas de figure nécessite de prendre en compte les exigences et les prérequis issus de ce très large spectre.
Face aux risques de sécurité croissants posés par les « produits comportant des éléments numériques », l’UE réagit en mettant un nouveau règlement en application, la loi sur la cyberrésilience (CRA). Avec la CRA, le Parlement européen a adopté au printemps 2024 une disposition législative pour l’évaluation de la cybersécurité, établissant des exigences minimales de sécurité pour les produits. Elle impose aux fabricants de respecter des processus spécifiques dans le développement et le suivi de leurs produits et concerne toutes les entreprises qui fabriquent, importent ou commercialisent un produit intégrant un élément numérique disponible dans l’UE. Il est prévu qu’après une période de transition, la loi entre pleinement en vigueur à compter de mi-2027. En Suisse, l’Institut national de test pour la cybersécurité (NTC) est sur pieds depuis la mi-2022. Le NTC identifie et teste les éventuelles vulnérabilités des produits afin de réduire les cyberrisques qui en découlent. Dans d’autres secteurs industriels critiques tels que la technologie médicale, les processus d’homologation des produits intègrent depuis longtemps des contrôles de la qualité réalisés par des organismes indépendants.
Comme cela a été évoqué précédemment, l’univers IoT/OT s’articule autour de trois grands axes :
IoT grand public
IoT industriel
OT
Cette segmentation amène donc des variations dans les mesures à envisager pour chacune des catégories concernées. En raison d’une prise de conscience insuffisante manifestée par certains fabricants de dispositifs connectés ainsi que du manque de vigilance de certain·e·s utilisateur·rice·s, ces deux thèmes doivent être abordés dans le cadre des domaines d’action suivants :
Mettre en œuvre une normalisation internationale et de certifications correspondantes, notamment dans le domaine de la sécurité, avec pour objectif d’accroître la transparence (quel fabricant est certifié ?) ainsi que la sécurité (p. ex. protection des données dès la conception, security/privacy by design). Sur la base de ces éléments, prévoir une réglementation permettant d’imposer un niveau de sécurité suffisant. Celle-ci doit être mise en œuvre sur l’ensemble d’au moins un grand espace économique (l’UE, par exemple) de sorte à impacter les grands fabricants.
Poursuivre des initiatives de sensibilisation des utilisateur·rice·s afin d’accroître progressivement leur niveau de vigilance en matière de sécurité.
Assurer la recherche scientifique sur la sécurité des systèmes IoT, en particulier en ce qui concerne les concepts et les architectures, en vue d’assurer la sûreté sur des temps d’utilisation courts (p. ex. durée de vie de 12 à 36 mois).
L’interconnexion croissante dans le domaine de l’OT constitue un enjeu pour n’importe quel secteur économique puisque la question soulevée ne se limite pas à l’intégration de nouveaux systèmes, mais s’étend aussi à la mise en réseau de systèmes (anciens) existants. La diversité même des systèmes à interconnecter, disposant tous d’exigences fondamentalement différentes en termes de sécurité (safety), de disponibilité et de durée de vie, rend indispensable l’existence d’architectures de sécurité de bout en bout appropriés et exécutables (p. ex. modèle Zero Trust, microsegmentation).
Mener des initiatives de sensibilisation plus approfondies sur le plan technologique (montrer l’importance de l’OT) pour éviter l’émergence éventuelle d’une informatique fantôme (shadow IT). Sur ce point, il y a lieu d’adapter en conséquence les processus et les interfaces informatiques en place.
Assurer la recherche scientifique sur la sécurité des systèmes OT, en particulier en ce qui concerne les concepts et les architectures, en vue d’assurer la sûreté sur des temps d’utilisation très longs (p. ex. durée de vie de 30 ans).
Réaliser un état des lieux quant à la situation actuelle et aux évolutions futures et informer sur les meilleures pratiques en la matière (des normes et des référentiels existent).
Intensifier la recherche scientifique dans le domaine de la sécurité IoT/OT de sorte à pouvoir continuer à assurer la sécurité des systèmes dans des environnements très hétérogènes au moyen d’architectures et de modèles innovants.
Établir et normaliser des exigences minimales dans les domaines de l’IoT et de l’OT et en assurer le caractère contraignant au moyen de dispositifs réglementaires adaptés. Collaborer avec les organismes compétents de l’UE serait un levier important.
EN CEI 62443 – Réseaux de communication industriels – Sécurité informatique des réseaux et des systèmes normes ISA : https://www.isa.org/intech/201810standards/
Blog SATW : Évaluer la sécurité des appareils connectés : https://www.satw.ch/de/cybersecurity/die-sicherheit-vernetzter-geraete-pruefen/
Institut national de test pour la cybersécurité NTC : https://fr.ntc.swiss/
Umberto Annino, Microsoft | Martin Leuthold, Switch | Daniel Walther, Swatch Group Services
Endre Bangerter, HESB | Alain Beuchat, Banque Lombard Odier & Cie SA | Matthias Bossardt, KPMG | Daniel Caduff, AWS | Adolf Doerig, Doerig & Partner | Stefan Frei, EPF Zurich | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Pascal Lamia, BACS | Hannes Lubich, administrateur et conseiller | Luka Malisa, SIX Digital Exchange | Adrian Perrig, EPF Zurich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, DDPS | Bernhard Tellenbach, armasuisse | Andreas Wespi, IBM Research
