Bilan après l'évaluation de la sécurité de 100 solutions IOT par Digital Security

Les évaluations menées par Digital Security sur près de 100 solutions connectées offrent une visibilité inégalée sur la prise en compte des enjeux de cybersécurité par le marché de l’Internet des Objets.

Transport et logistique, domotique, bien-être et santé, villes connectées et sureté : Digital Security a évalué la sécurité globale de près de 100 solutions de l’Internet des Objets intégrant des technologies innovantes.

Les évaluations prennent en compte tant la sécurité logicielle et matérielle des objets connectés que l’audit des applications et des services d’appui associés permettant de réaliser la solution connectée.

Des résultats montrant un écart important entre les besoins et les mesures de sécurité mises en place par les constructeurs.

« Nous avons été surpris de constater que des jouets connectés soient bien plus sécurisés que nombre d’équipements médicaux critiques », indique Thomas Gayet, Directeur du CERT-UBIK de Digital Security, département en charge de réaliser les évaluations de sécurité au sein du laboratoire dédié créé par l’entreprise.

« Indépendamment des secteurs d’activités, la sensibilité à la cybersécurité varie beaucoup d’une entreprise à une autre, laissant parfois le champ libre à l’innovation à tout prix au détriment de mesures essentielles pour la sécurité des données et des utilisateurs », renchérit Jean-Claude Tapia, Président de Digital Security.

Le Top #5 des vulnérabilités les plus fréquemment rencontrées sur les objets connectés

Les évaluations réalisées ont permis d’établir la liste des vulnérabilités les plus fréquemment rencontrées sur les objets connectés :

  • #1 : Mises à jour non sécurisées : absence de chiffrement et de signature pour les mises à jour des micrologiciels ;
  • #2 : Utilisation de secrets par défaut : définition de clefs et de mots de passe connus en environnement de production ;
  • #3 : Communications non-sécurisées : absence ou faiblesse du chiffrement et du contrôle d’intégrité par signature numérique sur les communications ;
  • #4 : Stockage de données en clair : absence de chiffrement sur le stockage local des données ;
  • #5 : Présence des interfaces de débogage : possibilité de prendre le contrôle des composants matériels de l’objet.

Si ces vulnérabilités offrent aux attaquants la possibilité de manipuler un objet connecté et ses données, la compromission des serveurs d’appui permet souvent le contrôle de toutes les solutions connectées déployées par un constructeur.

 

Le « Label sécurité IoT Qualified Security » plus que jamais nécessaire

Ce constat conforte Digital Security dans son approche de labellisation nommée IQS, IoT Qualified Security, référentiel de sécurité pour les solutions mettant en œuvre des objets connectés et prenant en compte l’ensemble des composants utilisés pour rendre le service.

Lancé en décembre dernier, le label IQS fédère à présent en bêta privée plusieurs industriels clients de Digital Security. Cette initiative, toujours unique sur le marché, répond aussi bien aux attentes des constructeurs et éditeurs, qu’aux clients finaux des solutions IoT du marché.

 

À propos de Digital Security

Digital Security, premier CERT™ européen en partie dédié aux objets connectés, emploie 200 consultants et experts dotés de multiples certifications. Ses prestations couvrent les domaines de l’audit, du conseil, de la formation, de l’intégration et de l’exploitation (Centres de services) des solutions de sécurité. Digital Security regroupe des savoirs faires éprouvés et des expertises rares (radiofréquences, électronique, SOC, IAM, DLP, PKI…), est doté d’un laboratoire IoT permettant l’évaluation de solutions connectées et la délivrance d’un label, et exerce une activité de veille et de R&D se traduisant par de nombreuses publications et contributions aux travaux de recherche nationaux et internationaux.

Avec près de 20 millions d’euros de chiffre d’affaires dès cette année, Digital Security se positionne d’entrée dans le top 5 des pure players du secteur en France. La société vise les 400 à 500 collaborateurs dans les 3 ans à venir.