Sécurité IoT¶
Sécuriser un système IoT de bout en bout — du silicium physique jusqu'au cloud, en passant par le firmware, le réseau et la conformité réglementaire.
Pourquoi la sécurité IoT est différente¶
Les systèmes IoT industriels présentent des contraintes de sécurité radicalement différentes des systèmes d'information classiques. Un serveur web peut recevoir des mises à jour quotidiennes ; un capteur embarqué dans une chaîne de fabrication tourne parfois pendant dix ans sans intervention humaine, dans un environnement physiquement accessible à des tiers.
Les conséquences d'un incident de sécurité dépassent souvent le domaine numérique : sabotage de processus industriel, mise en danger de personnes, arrêt de production, fuite de données de procédé. La sécurité IoT est donc une discipline à part entière, qui couvre :
- La sécurité physique du silicium et du matériel
- La sécurité firmware — intégrité, authenticité, mises à jour
- La sécurité réseau — isolation, chiffrement, authentification
- La sécurité identité — certificats, provisioning, révocation
- La conformité réglementaire et normative
- L'audit et la réponse à incident
Liens avec l'architecture logicielle¶
Cette section fait écho au chapitre 08 — Sécuriser du tutoriel Architecture Logicielle, qui traite la sécurité au niveau applicatif et infrastructure. Les deux tutoriels sont complémentaires :
| Dimension | Architecture (ch.08) | Sécurité IoT (cette section) |
|---|---|---|
| Authentification | OAuth 2.0, OIDC, JWT | mTLS, certificats X.509 device |
| Chiffrement | TLS applicatif, secrets Vault | Secure element, TPM, secure boot |
| Réseau | Zero-trust, WAF, API gateway | VLAN OT/IT, modèle Purdue, DMZ industrielle |
| Conformité | RGPD, ISO 27001 | IEC 62443, ETSI EN 303 645, NISTIR 8259A |
| Incidents | SIEM, SOC | Forensics embarqué, dump flash, JTAG |
Parcours de la section¶
| # | Chapitre | Contenu |
|---|---|---|
| 01 | Surface d'attaque IoT | Vecteurs physiques, réseau, firmware, cloud, supply chain — kill chain IoT |
| 02 | Secure Boot & Root of Trust | TPM, secure element, chaîne de confiance, anti-tampering, HSM |
| 03 | Firmware signé & OTA sécurisé | ECDSA P-256, anti-downgrade, rollback sûr, manifest signé |
| 04 | Segmentation réseau | VLAN IoT, isolation OT/IT, modèle Purdue, micro-segmentation, DMZ |
| 05 | Identité & authentification device | Certificats X.509, provisioning zero-touch, mTLS, rotation, révocation |
| 06 | Conformité & normes | IEC 62443, ETSI EN 303 645, NISTIR 8259A, CE/FCC, RGPD capteurs |
| 07 | Audit & réponse à incident | Pentest IoT, forensics, plan de réponse, disclosure responsable |
UE couvertes¶
| UE | Intitulé | Chapitres concernés |
|---|---|---|
| MTR107 | Qualité et maîtrise des risques | 01 (menaces), 06 (conformité), 07 (audit) |
| DNT104 | Droit du numérique et conformité | 06 (RGPD, CE marking, normes) |
| HSE133 | Transitions écologiques et responsabilité | 04 (segmentation durable), 06 (certification) |
Commencer : Surface d'attaque IoT — comprendre les vecteurs d'attaque avant de construire une défense.