Les IoT et objets connectés sont de plus en plus utilisés de nos jours. Et bien entendu ceux-ci arrivent au sein des entreprises.
Selon les recherches de la firme IHS Technology, plus de 200 millions d'objets connectés seront utilisés en 2018, soit autant de menaces potentielles pour l'entreprise. Et si cela ne vous parle pas Gartner vous prédit que bientôt ce seront prêt de 30% de ces objets qui seront invisibles à l'œil nue. Des appareils comme les lentilles de contact et bijoux connectés vont très bientôt devenir des standards au sein des entreprises.
Mais qu'est ce qui fait que ces objets représentent une menace pour l'entreprise ?
Tout d'abord la plupart des objets connectés sont conçus pour nous faciliter la vie voir même le travail c'est un fait ! Mais ce qui les rend potentiellement dangereux vient de plusieurs aspects.
Premièrement ils sont souvent développés indépendamment des problématiques de sécurité. Et leur multiplication ainsi que la banalisation de leur usage dans le monde actuel et de l'entreprise est un premier facteur de risque.
Ensuite chaque objet connecté est relié à un compte privilège qui le contrôle ainsi qu'à des droits administrateurs permettant une gestion manuelle des terminaux et des processus qui y sont associés. Sauf que les fonctions de contrôle des périphériques intelligents sont aujourd'hui réattribués aux applications automatisées qui elles deviennent des cibles pour les hackers.
Combien d'entre nous avons déjà entendu parler aux nouvelles des piratages de données au sein des entreprises ?
Cela arrive presque tous les jours ! Dans un rapport de 2014, 86% des personnes interrogées se disaient préoccupées par le risque de sécurité concernant les données.
Partant de cette analyse, les entreprises devraient s'assurer qu'elles ont les moyens de détecter rapidement tout comportement inhabituel pouvant indiquer une activité malveillante en cours sur leur réseau avec une attention plus forte encore sur les comptes ayant des droits d'administrateurs ou des privilèges.
La problématique de sécurité réside aussi dans le fait d‘ anticiper les menaces et de se mettre à jour concernant toutes ces possibilités d'intrusions et de vol de données par les objets connectés.
Il ne faut pas se leurrer, les fragilités sont partout surtout dans une entreprise
La surface d'attaque augmente avec l'interconnexion de systèmes d'information de plus en plus ouverts. Ainsi dans une voiture connectée par exemple, la probabilité de sécuriser le véhicule baisse avec le nombre de calculateurs embarqués et donc plus on va vers l'autonomie du véhicule plus on augmente les possibilités d'attaque.
Le 17 avril 2015, Chris Roberts a été arrêté par le FBI car il a réussi à pirater un avion en plein vol depuis son siège passager réussissant même à le faire changer brièvement de trajectoire. Son mode d'action pour hacker l'avion était pourtant basique, une fois assis à bord de l'avion, le hacker ouvrait le boîtier situé sous chaque siège, y branchait un câble Ethernet relié à son ordinateur portable. Ainsi, il parvenait relativement facilement à se connecter au système informatique de l'avion, via l'écran situé devant chaque passager. Grâce à cette méthode, il a pu modifier légèrement la trajectoire d'un avion, sans conséquence néfaste pour l'appareil et ses passagers.
Cette histoire vous fait froid dans le dos ? Cela pourrait bien vous arriver différemment dans votre entreprise si vous ne prenez pas en compte la sécurité des objets connectés comme par exemple ici le boitier écran de l'avion qui parait pourtant anodin et qui s'est révélé être une porte d'entrée pour ce hacker.
Ainsi la morale de cette histoire est simple : même lorsque l'on met en place une porte blindée la question reste celle-ci, combien de temps va-t-elle tenir ?
Comment se prémunir d'objets connectés non sécurisés ?
De nos jours les modèles de sécurité sont inadaptés à ce genre de menace. En effet les risques viennent des terminaux directement, mais aussi du contrôle d'applications et enfin de tierces personnes qui les gèrent. Les entreprises doivent donc sécuriser en priorité le périmètre intérieur en fermant les accès aux comptes à privilèges et aux identifiants afin de diminuer les risques de telles attaques ciblées. En effet chaque objet connecté est en soi une menace pour l'entreprise actuellement.
La solution tient aussi dans l'anticipation à savoir que lorsque l'attaque se produit, il faut mettre en place un système qui puisse continuer à fonctionner. La survivalité du système est un enjeu impératif pour les entreprises.
Ensuite il faut la transmission du savoir, au travers de l'Homme. En effet on manque cruellement d'experts en cybersécurité qui eux-mêmes puissent former des ingénieurs et autres experts sur ces questions et donc être plus vigilant et préparé aux risques actuels et futurs.
Toute la question réside donc dans la compréhension global des objets connectés, de leurs apports au sein d'une entreprise, mais aussi de leurs risques et de savoir y répondre. Aujourd'hui le manque de réponse à toutes ces questions apportent une faille que viennent combler les hackers et donc rendent les entreprises bien impuissantes aux problématiques de sécurité.
Les enjeux des années à venir ont donc être simple pour l'entreprise : savoir s'adapter aux objets connectés qui vont devenir prééminents au sein du productivisme entrepreneurial.
- Partager l'article :