Décryptage

La sécurité des objets connectés : une menace supplémentaire pour les entreprises

Posté le 10 août 2017
par Philippe RICHARD
dans Informatique et Numérique

Gestion de la chaîne du froid, mesure de la productivité, traçage des marchandises… Les capteurs se généralisent dans les entreprises, car ils permettent d’optimiser des coûts. Mais la sécurité de ces milliards de connexions par lesquelles vont transiter d’énormes flux de données reste très faible…

Coup de chaud en perspective pour certains secteurs industriels. Lors de la conférence DEFCON 2016, la grand-messe des hackers, des experts de Pen Test Partners ont pris le contrôle à distance d’un thermostat intelligent. On passera sur les détails techniques de cette infiltration. Le plus inquiétant est sa conséquence :  après avoir pris le contrôle de ce dispositif ils ont contacté la victime en lui indiquant qu’elle devait payer une rançon sinon ils augmenteraient des fortement la température de la salle en question…

Heureusement, il s’agissait d’un captif fictif visant à démontrer les lacunes en termes de sécurité de la majorité des capteurs et autres objets connectés.

Pour les entreprises, la multiplication de ce type de démonstration complique leurs problématiques de sécurité. Mal protégé, voire pas du tout conçu pour résister à, la moindre infiltration logicielle ou physique, un objet connecté peut se transformer en point d’accès au réseau informatique de l’entreprise. Il est aisé d’imaginer la suite…

Pour mémoire, Target (l’équivalent de Carrefour aux États-Unis) a été victime d’un important piratage de carets bancaires de ses millions de clients. Pour arriver à leurs fins, les pirates ont étudié minutieusement la cartographie du réseau informatique de cette de magasins. Ils ont fait une surprise étonnante : le système de ventilation et de climatisation était relié aux… caisses enregistreuses, celles là même où étaient stockées des données bancaires.

Former les salariés

Il est donc urgent de se préoccuper de la sécurité de l’IoT (Internet of Things), car en 2020, 20,8 milliards d’objets connectés devraient être répartis dans le monde. Quatre fois plus qu’en 2016 ! « Le problème, c’est que le marché des objets connectés est concurrentiel, et que les entreprises veulent aller vite. Dès qu’ils sentent qu’un produit peut faire un carton, le marketing devient la priorité et la sécurité des systèmes passe au second plan. Et malheureusement, les industriels attendent souvent de subir des cyberattaques pour se pencher sur le problème », explique Vincent Roquet, qui travaille dans la branche cybersécurité d’EY, un cabinet spécialisé en audits et conseils.

De son côté, Évelyne Raby, à la tête de la start-up française CybelAngel, précise : « avec l’augmentation du nombre d’objets connectés et leur diversité, se mettre à la page est très compliqué pour des entrepreneurs déjà perdus. Cette complexité retarde l’ensemble de la prise de conscience et le moment où l’on se penche dessus. »

A contrario, si demain une entreprise devient le Microsoft de l’IoT ce sera aussi pain bénit pour les pirates ; ils ne devront focaliser leur attention que sur une cible.

« L’erreur est humaine et les humains sont souvent le point faible de la sécurité informatique, explique Évelyne Raby. Il faut apporter une attention particulière aux prestataires extérieurs. Ils sont les plus à même de compromettre la sécurité des objets connectés de par leur manque d’encadrement par l’entreprise. »

Philippe Richard


Pour aller plus loin

Dans les ressources documentaires