La sécurité LoRaWAN ne s'improvise pas. Nous avons compilé les 25 vérifications essentielles, réparties sur les 5 couches d'une infrastructure LoRaWAN, pour vous aider à sécuriser vos déploiements.
Couche 1 : Objets connectés
Les fondamentaux côté device :
- Activation OTAA uniquement — jamais d'ABP en production
- Stockage des clés dans un élément sécurisé (Secure Element)
- Interfaces de debug désactivées en production
- Firmware signé avec mises à jour OTA sécurisées
- Gestion du cycle de vie des clés
Couche 2 : Réseau
La sécurité de la couche radio et réseau :
- Chiffrement AES-128 obligatoire
- Séparation des clés application et réseau avec rotation
- Surveillance RF et détection des anomalies
- Rejet des attaques par rejeu (replay)
- Authentification stricte des paquets
Couche 3 : Gateways
Les passerelles sont un maillon critique :
- OS durci et accès SSH sécurisé
- Tunnels IPSec ou APN privés
- Mises à jour signées et déploiement contrôlé
- Logs centralisés avec supervision 24/7
- Validation des paquets LoRaWAN
Couche 4 : Serveurs et infrastructure
Le socle IT ne doit rien laisser au hasard :
- TLS 1.3 minimum pour toutes les communications
- Modules de sécurité matériels (HSM) pour les clés
- Segmentation Zero Trust du réseau
- Sauvegardes chiffrées et testées
- Monitoring continu SIEM/SOC
Couche 5 : Applications et données
La couche applicative ferme la boucle :
- Authentification multi-facteur obligatoire
- Bases de données chiffrées au repos
- API Gateway avec OAuth 2.0
- Principe du moindre privilège pour tous les accès
- Journalisation conforme RGPD
Les red flags : arrêt immédiat
Si vous constatez l'un de ces éléments, stoppez tout :
- Utilisation d'ABP en production
- Clés de chiffrement en clair
- Trafic non chiffré
- Accès sans MFA
- Sauvegardes non testées depuis plus de 6 mois
Ce qu'il faut retenir
La sécurité LoRaWAN est une chaîne. Un seul maillon faible compromet l'ensemble. Cette checklist est un point de départ — adaptez-la à votre contexte et faites-la vivre avec vos équipes.