10
Partagez notre article , Choisissez votre plateforme

Dernière mise à jour le 24 août 2023

Le marché des objets connectés est en pleine ascension. Les objets connectés dédiés au monde de l’entreprise se multiplient, on trouve des objets connectés pour tout : pour mesurer la qualité de l’environnement, dans une entreprise ou sur un chantier, des objets connectés pour effectuer des actions à la voix, des objets connectés permettant des services innovants, des véhicules autonomes, ou encore des nouveaux objets connectés dédiés au domaine de l’industrie.

L’internet des objets, c’est donc probablement l’une des prochaines révolutions de l’entreprise. Mais cette nouvelle tendance apporte son lot de risques, notamment en matière de sécurité informatique. Non seulement, tous les objets connectés peuvent être la cible d’une attaque, mais parce que leur sécurité a été jusqu’à présent largement négligée, c’est un sujet véritablement sensible.

Dans cet article, nous souhaitons mettre l’accent sur les risques que présente une mauvaise gestion des objets connectés au sein d’une entreprise, mais surtout, proposer des mesures simples et pratiques pour amorcer une politique de gestion de la sécurité des objets connectés.

Les objets connectés sont de plus en plus nombreux et partout

La progression des objets connectés dans notre quotidien est quasi invisible, et pourtant… Avez-vous réalisé que la plupart des objets que nous utilisons sont désormais, d’une façon ou d’une autre, connectés à Internet ? Qu’il s’agisse d’envoyer des informations à leurs fabricants, de permettre un stockage d’information sur le Cloud, d’être connectés à une application, téléviseurs, caméras, routeurs ou encore, imprimante… Tous ces objets sont désormais à placer dans la catégorie “objets connectés” et leur nombre augmente de manière exponentielle.

En France, dans une étude parue en janvier 2022, l’Ademe et l’Arcep estiment à 244 millions le nombre d’objets connectés. Avez-vous déjà songé au fait que votre machine à café puisse représenter un danger pour la sécurité informatique de votre entreprise ? Les cas d’entreprises victimes d’intrusions ou de vols de données liés à des objets connectés se sont multipliés ces dernières années, à lire par exemple dans cet article : Les objets connectés, nouveaux chevaux de Troie des entreprises paru sur Cnet France.

Objets connectés et sécurité informatique : les risques

Pour une entreprise, les risques apportés par les objets connectés sont multiples :

  • Vol ou perte de données
  • Espionnage et ou localisation d’individus
  • Entrée dans votre réseau informatique et piratage de vos appareils
  • Désactivation de dispositifs de sécurité, comme les détecteurs de mouvement
  • Implication du matériel de l’entreprise dans des actes malveillants auprès d’une autre entreprise ou d’un tiers

En un mot comme en cent, un objet connecté non sécurisé est une faille dans le système d’information de l’entreprise, et qui peut entraîner n’importe quel type d’incident ou de catastrophe informatique, intrusion, piratage, prise de contrôle du système etc

Cette problématique des objets connectés étant relativement récente, une majeure partie des entreprises, et notamment les plus vulnérables, petites ou moyennes entreprises qui ne disposent pas des ressources en interne à consacrer à la politique de sécurité informatique de la structure, ne sont pas prêtes pour une bonne gestion de ces nouveaux types de risques.

Attaque informatique par objet connecté : comment ça se passe ?

Ainsi, plus le nombre des objets connectés augmente, et plus il devient difficile de contrôler les effets et dangers potentiels que représentent ces “failles” au sein de nos systèmes.

Une attaque informatique par objet connecté implique que l’objet en question soit utilisé comme passerelle, ou “tête de pont”. Utilisant la vulnérabilité de la machine, qui ne dispose généralement pas de mot de passe ou d’un mot de passe très faible, les hackeurs vont pouvoir héberger des outils et des données leur permettant de réaliser leur attaque, en contournant le pare-feu de l’entreprise.

Objets connectés : 15 mesures concrètes pour permettre aux entreprises de réduire les risques

Afin de réduire les risques informatiques liés aux objets connectés au sein des entreprises, on peut identifier les mesures suivantes :

  1. Disposer d’une véritable connaissance des objets connectés utilisés par l’entreprise. Pour ce faire, il faut suivre et gérer l’ensemble des appareils, en utilisant une solution adaptée à ce suivi,
  2. Mettre en place une stratégie de protection des données pilotée par le risque, en hiérarchisant par priorités les ressources cruciales dans l’infrastructure de l’internet des objets
  3. Intégrer la sécurité des objets connectés comme critère de choix prioritaire lors des achats. Ceci passe par des recommandations à mettre en place à toutes les strates de l’entreprise, notamment au niveau du service achats. Il s’agit notamment de choisir des appareils en fonction de leur potentiel à être actualisé et mis à jour et disposant d’une véritable politique de sécurité,
  4. Mettre à jour les objets connectés avec les dernières versions de façon constante,
  5. Ne pas utiliser les objets connectés pour stocker ou échanger des informations critiques
  6. Ne pas utiliser les objets connectés avec des réseaux wifi ou bluetooth non sécurisés
  7. Changer les mots de passe par défaut des appareils,
  8. Protéger les appareils à l’aide de mots de passe complexes et, quand c’est possible, utiliser la double authentification
  9. Crypter les données au niveau de son data center. Disposer au sein de son datacenter d’Hardware Security Modules (HSM) qui cryptent les données par défaut, de façon à ce que les objets connectés de l’entreprise ne puissent accéder au réseau sans disposer de la clé de déchiffrement correspondante,
  10. Compartimenter le trafic, pour que les données liées à un objet connecté ne circulent pas sur le même réseau que les données sensibles de l’entreprise.
  11. Monitorer les données qui transitent sur le réseau de façon à repérer les éventuels anormaux sur le système
  12. Établir des contrôles au niveau des identités des utilisateurs
  13. Limiter le risque humain, par exemple, interdire la connexion d’objets connectés extérieurs reliés à un support interne et avoir un politique en matière d’utilisation des objets connectés personnels dans le cadre professionnel
  14. Effectuer des tests de pénétration pour vérifier la fiabilité de son système et de sa politique
  15. Encourager les fabricants à sécuriser leurs produits. Si les objets connectés représentent une menace importante, c’est que les fabricants n’ont pas pris la peine de les protéger. Tout simplement parce qu’il n’y a pas de demande, du côté des consommateurs, de disposer d’objets connectés sécurisés. Une prise de conscience générale de la problématique de la sécurité des objets connectés devrait pousser les consommateurs, et à fortiori, les entreprises, à exiger de la part des fabricants et fournisseurs des règles et des normes assurant de respect de la sécurité de nos réseaux, privés et professionnels, et le respect de notre vie privée.

Si ces démarches peuvent sembler fastidieuses, elles sont pourtant nécessaires pour la mise en place d’une bonne politique de réduction des risques en matière d’objets connectés. Si l’entreprise ne dispose pas des ressources pour développer une telle démarche en interne, il est toujours possible de se faire accompagner par un prestataire spécialisé dans ce domaine.

IOT et sécurité informatique : votre entreprise est-elle prête ?

Ainsi, c’est dès à présent que les entreprises doivent prendre en main la gestion et la sécurisation des objets connectés, sous peine de se voir exposé à des failles de sécurité importantes.

Des mesures peuvent être mises en place, que ce soit concernant l’infrastructure technique de l’entreprise, les procédures de gestion des matériels et de sécurité informatique, mais aussi, la sensibilisation des différents acteurs de l’entreprise, par exemple, du service achats, ou encore, que ce soit en amont, avec l’exigence de la part des fournisseurs et des fabricants d’une plus grande sécurité de ces appareils.

De plus, il est à rappeler que la sécurisation des failles de votre système fait partie des préconisations de la CNIL et des exigences du RGPD.

Votre entreprise a-t-elle mis en place les procédures et démarches nécessaires à la sécurisation des objets connectés ?

Déessi vous propose ses services, en savoir plus sur notre rubrique Sécurité informatique.

Partagez notre article , Choisissez votre plateforme

Table des matières :

Inscrivez-vous à la newsletter Déessi !

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories :