Il y a plus d’un an déjà, en octobre 2016, une attaque informatique de grande envergure impliquant des objets connectés avait frappé un fournisseur de services, provoquant la mise hors service de nombreux sites Internet américains pendant près de 11 heures. Cette première attaque mettait en évidence la fragilité de la sécurité informatique de nos objets connectés du quotidien, alertant les spécialistes sur ce sujet.

Dans un rapport publié en ce début d’année 2018 et baptisé « Internet of Things : Pinning down the IoT », le Cyber Security Research Institute tire la sonnette d’alarme. La menace des objets connectés est bien là, plus prégnante qu’autrefois, et sans une préparation efficace les entreprises pourraient courir à la catastrophe. Nous reprenons dans cet article les éclairages clés de ce sujet.

Les objets connectés sont de plus en plus nombreux et partout

La progression des objets connectés dans notre quotidien est quasi invisible, et pourtant… Avez-vous réalisé que la plupart des objets que nous utilisons sont désormais, d’une façon ou d’une autre, connecté à Internet ? Pensez-vous que votre machine à café puisse représenter un danger pour votre sécurité informatique ?

Qu’il s’agisse d’envoyer des informations à leurs fabricants, de permettre un stockage d’information sur le Cloud, d’être connectés à une application… appareils ménagers, téléviseurs, caméra, routeurs ou encore, la fameuse imprimante de l’entreprise… Tous ces objets sont désormais à placer dans la catégorie “objets connectés” et leur nombre augmente de façon exponentielle.

Aujourd’hui, ils dépassent probablement le nombre de la population humaine, et en 2020, Gartner évalue leur progression à près de 20 milliards d’appareils en circulation.

Attaque informatique par objet connecté : comment ça se passe ?

Une attaque informatique par objet connecté implique que l’objet en question soit utilisé comme passerelle, ou “tête de pont”. Utilisant la vulnérabilité de la machine, qui ne dispose généralement pas de mot de passe ou d’un mot de passe très faible, les hackeurs vont pouvoir héberger des outils et des données leur permettant de réaliser leur attaque, en contournant le pare-feu de l’entreprise.

Attaque par objet connecté : comment se protéger ?

Ainsi, plus le nombre des objets connectés augmente, et plus il devient difficile de contrôler les effets et dangers potentiels que représentent ces “failles” au sein de nos systèmes. Tandis que nos système d’intelligence artificielle et de Big Data pourront probablement nous aider dans la maintenance de notre sécurité informatique dans les années à venir, dès maintenant les entreprise doivent considérer cette menace de façon immédiate et prendre des mesures pour se protéger.

Quelques mesures qu’il est possible de mettre en place dès à présent :

  • Suivre et gérer l’ensemble des appareils de l’entreprise, en disposant d’une solution adaptée à ce suivi,
  • Changer les mots de passe par défaut des appareils,
  • Choisir des appareils en fonction de leur potentiel à être actualisé et mis à jour, et permettre leur mise à jour de façon constante,
  • Crypter les données au niveau de son data center. Disposer au sein de son datacenter d’Hardware Security Modules (HSM) qui cryptent les données par défaut, de façon à ce que les objets connectés de l’entreprise ne puissent accéder au réseau sans disposer de la clé de déchiffrement correspondante,
  • Intégrer la sécurité des objets connectés comme critère de choix prioritaire lors des achats. Ceci passe par des recommandations à mettre en place à toutes les strates de l’entreprise, notamment au niveau du service achats,
  • Encourager les fabricants à sécuriser leurs produits
    Si les objets connectés représentent une menace importante, c’est que les fabricants n’ont pas pris la peine de les protéger. Tout simplement parce qu’il n’y a pas de demande, du côté des consommateurs, de disposer d’objets connectés sécurisés. Une prise de conscience générale de la problématique de la sécurité des objets connectés devrait pousser les consommateurs, et à fortiori, les entreprises, à exiger de la part des fabricants et fournisseurs des règles et des normes assurant de respect de la sécurité de nos réseaux, privés et professionnels, et le respect de notre vie privée.

Ainsi, c’est dès à présent que les entreprises doivent prendre en main la gestion et la sécurisation des objets connectés, sous peine de se voir exposé à des failles de sécurité importantes. Des mesures peuvent être mises en place, que ce soit concernant l’infrastructure technique de l’entreprise, les procédures de gestion des matériels et de sécurité informatique, mais aussi, la sensibilisation des différents acteurs de l’entreprise, par exemple, du service achats, ou encore, que ce soit en amont, avec l’exigence de la part des fournisseurs et des fabricants d’une plus grande sécurité de ces appareils.

Enfin, il est à rappeler que la sécurisation des failles de votre système fait partie des préconisation de la CNIL et des exigences du nouveau règlement européenn RGPD.

Votre entreprise a-t-il mis en place les procédures et démarches nécessaires à la sécurisation des objets connectés ?
Ivision vous propose un accompagnement personnalisé, avec audit de votre système et mise en place des mesures de protection appropriées. Pour en savoir plus, contactez-nous.