La puissance des réseaux 5G ouvrira probablement un jour la voie à de nouvelles générations d'applications IoT, mais pour l'instant, l'adoption à grande échelle reste un défi. Pour commencer, la couverture est encore partielle. Aux États-Unis, par exemple, selon l'éditeur WhistleOut qui compare les fournisseurs d'accès à Internet et de téléphonie mobile, en juin 2024, T-Mobile offrait une couverture 5G de 53,79 % du pays, AT&T de 29,52 % et Verizon de 12,77 %. En France, la couverture à 100% n'est prévue que pour 2030. Et d'après le site ZoneADSLFibre, aucun opérateur ne couvre actuellement plus de 10% du territoire avec la 5G à 3,5 GHz.

Les entreprises peuvent cependant déployer un réseau 5G privé, avec un protocole similaire et une infrastructure gérée directement ou confiée à un prestataire. Mais, quels que soient leurs choix, la 5G est souvent une solution trop sophistiquée pour les cas d'usage qu'elles envisagent. Sans oublier, enfin, qu'adopter la 5G aujourd'hui signifie encore agir en pionnier et donc essuyer les plâtres.

Haut débit, faible latence, fiabilité pour des environnements sous pression

Trois grandes questions se posent aux DSI tentés par l'aventure de l'IoT en 5G. Et la première est très simple : d'autres protocoles réseau ne répondent-ils pas mieux à mes besoins ? Les trois principaux cas d'utilisation de la 5G ont été spécifiés dès le départ par le comité de normalisation 3GPP. Pour commencer, il s'agit tout simplement d'améliorer le haut débit pour les utilisateurs d'équipements mobiles. Ensuite, la norme vise un transfert de données ultra-fiable et à faible latence pour des applications telles que le diagnostic médical à distance ou les voitures automatisées. Enfin, elle prévoit une capacité de communication M2M massive allant jusqu'au million d'équipements connectés au km2.

« L'IoT s'inscrit dans les deux dernières définitions », précise Raj Radjassamy, directeur 5G et sans fil chez l'équipementier électrique OmniOn Power. « Avec un réseau ultra-fiable à faible latence, quand vous avez vraiment besoin d'une latence inférieure à une milliseconde par exemple, vous n'aurez pas à vous soucier de l'autonomie de la batterie avec la 5G. Pour que les données circulent très rapidement dans une centrale électrique où tournent des turbines et des générateurs à haute pression à 1 M$, par exemple, vous devez absolument disposer d'un excellent débit pour connecter les équipements ».

Des millions d'objets connectés pour l'industrie 4.0

La rapidité et l'efficacité d'accès aux données sont également essentielles, en particulier dans les environnements sous pression. Dans ce cas, une infrastructure spécifique est bel et bien nécessaire pour garantir une parfaite fiabilité de la transmission de data. C'est pourquoi Omnion Power, par exemple, s'intéresse à la 5G. La société conçoit, développe et fabrique des produits et solutions pour les nouvelles antennes cellulaires, un environnement critique où la vitesse et la disponibilité définissent la qualité du service. « Si une alerte est déclenchée, il faut y répondre en seulement quelques millisecondes pour éviter d'endommager un actif coûteux », explique Raj Radjassamy. « C'est un exemple de cas d'usage d'IoT critique et ultra-fiable que la 5G peut prendre en charge. L'autre cas, c'est lorsque la densité d'équipements connectés est imposante, comme dans une smart city ou une usine 4.0 avec jusqu'à plusieurs millions d'équipements. Et ce ne sont pas tant la latence et la bande passante qui importent alors, mais la connectivité d'un grand nombre d'appareils dans une zone relativement petite ».

PublicitéCe sont les deux cas d'utilisation principaux pour lesquels la 5G a été initialement spécifiée dans le cadre de l'IoT, et pour lesquels elle est directement pertinente. Mais, au fil du temps, il est devenu clair qu'il faudrait offrir une réponse pour des applications plus en entrée de gamme. Pour tenter de résoudre la question, le 3GPP a introduit l'an dernier la Reduced Capability, également appelée RedCap ou NR-Light, dans la version 17 de la norme 5G. Cette déclinaison spécifie des débits de 150 et 50 Mbit/s descendant et montant, qui restent supérieurs à ce dont la génération actuelle d'applications IoT a besoin.

Les risques de cybersécurité

D'autres protocoles réseau utilisés pour les applications IoT depuis près de deux décennies déjà restent souvent la meilleure solution. Ces technologies sont spécialement conçues pour des appareils simples alimentés par batterie avec une puissance de traitement limitée, et non pour être connectés directement à Internet, car ils sont aussi basiques et frugaux que possible. Un processeur trop occupé à communiquer ne peut pas exécuter grand-chose d'autre à moins d'être renforcé, et la gestion de protocoles trop sophistiqués épuiserait rapidement la batterie. De plus, les équipements IoT sont parfois installés dans des endroits éloignés, hors de portée des réseaux sans fil publics. Des protocoles sans fil spécialisés, tels que Lora et Sigfox, ont été développés pour prendre en charge l'IoT avec une communication réduite sur de plus longues distances, en utilisant des stations de base peu coûteuses, simples à déployer et à utiliser. Des pistes que les entreprises doivent au moins envisager avant de plonger dans la 5G.

« La 5G entraîne davantage d'échanges de données dans les deux sens, ce qui élargit de fait la surface d'attaque », insiste par ailleurs Dan Lohrmann, RSSI du prestataire de services cloud Presidio. « Des acteurs malveillants peuvent plus facilement trouver un équipement, rechercher ses vulnérabilités connues ou les correctifs absents. La grande quantité de données générées par les dispositifs IoT pose également des problèmes de confidentialité, car ces data sont transmises et stockées sur les réseaux. Enfin, les attaques dites 'adversary-in-the-middle' peuvent intercepter, et parfois modifier, la communication entre les appareils IoT lorsque les mécanismes d'authentification sont trop faibles. »

Les failles de l'IoT à l'ancienne

Néanmoins, les réseaux IoT plus traditionnels ont aussi leurs failles. Ne serait-ce que les mots de passe par défaut ! Jamais modifiés et facilement identifiables, ils peuvent induire une compromission du réseau par force brute ou d'autres types d'attaques. D'autant que la sécurité multifactorielle ne peut pas être mise en oeuvre avec ces protocoles traditionnels avec lesquels le flux de données est largement unidirectionnel, de l'équipement vers le serveur. Enfin, les correctifs de sécurité ne peuvent pas être facilement appliqués et les mises à jour du micrologiciel ou du matériel sont difficiles à déployer.

« Plusieurs vulnérabilités de sécurité importantes ont été documentées contre ces solutions IoT utilisant ces protocoles, souligne Dan Lohrmann. Des attaques DDoS, du bit-flipping où l'attaquant modifie un message chiffré, ce qui entraîne des modifications du texte brut, l'usurpation d'accusé de réception et les attaques de root key management, susceptibles d'éliminer tous les avantages du chiffrement. Bien qu'il existe des moyens de se protéger contre ces cybermenaces, les versions actuelles ne sont pas aussi sûres qu'elles pourraient l'être. »

Déployer sa propre solution ou externaliser ?

Selon le RSSI de Presidio, de nouvelles versions de ces protocoles IoT traditionnels sont en cours de développement et de test, mais une grande partie de ce qui fonctionne aujourd'hui est associé à des problèmes de sécurité. « Pour les DSI intéressés par des déploiements importants de Lora, Sigfox ou d'autres protocoles traditionnels, il est important de déterminer si les versions actuelles répondent à leurs exigences en matière de sécurité réseau, insiste-t-il. Sans quoi, il leur faudra attendre des mises à jour plus sécurisées. »

Enfin, quel que soit le réseau, le marché de l'IoT n'est pas encore assez mature pour proposer un grand nombre de solutions prêtes à l'emploi. Les entreprises doivent donc généralement créer leur propre outil ou sous-traiter ce travail à un intégrateur. Dans ce dernier cas, il faut « essayer d'identifier ses affiliations à certains fournisseurs et les biais qu'il amène dans la négociation, conseille Alexis Susset, CTO d'Unabiz, la maison mère de Sigfox. La plupart ont des préférences en matière de protocoles et d'opérateurs de réseau. Ils ont aussi souvent une expertise dans certains modèles de protection de cybersécurité plus que dans d'autres. »