Avril 2018 - Tendances

Objets Connectés   |  Sécurité

Sécuriser les objets connectés : une priorité

Les objets connectés semblent anodins et s’intègrent facilement dans la vie quotidienne. Pourtant dans notre monde hyper connecté, la sécurité est souvent mise à mal. Plus nous connectons d’objets, plus le risque de vol de données et de fraude numérique augmente.

Smart appliances in network

Les objets connectés répondent à de nouveaux usages métiers. Ils sont de plus en plus utilisés en entreprise : optimisation des déplacements des collaborateurs, gestion des stocks, traçabilité des produits, automatisation des tâches répétitives, gestion de la relation client, etc. Mais ces IoT (Internet of Things) sont encore peu sécurisés et peuvent ouvrir certaines failles. Il faut distinguer deux types de risques : d’un côté la sécurité que l’on peut qualifier de technologique qui permet à l’assaillant de prendre le contrôle d’un IoT, et d’un autre la sécurité des données collectées.

 

Quels sont les risques ?

 

Les dégâts du piratage d’un IoT ne sont guère différents de ceux d’un serveur classique à ce détail près significatif, que les objets connectés se comptent en milliards :

 

  • Vol de données sensibles au profit d’un concurrent ou en vue d’un chantage
  • Perte de données mettant en danger tout ou partie de l’activité de l’entreprise
  • Perte de confiance des clients après la divulgation d’informations sensibles ou privées
  • Utilisation d’objets connectés pour commettre des actes malveillants envers d’autres entreprises

 

À titre d’exemple, plusieurs milliers d’objets connectés (essentiellement des caméras IP) ont été piratés le 21 octobre 2016 pour réaliser une attaque DDoS (Distributed Denial of Service) paralysant pendant quelques heures des sites comme Twitter, Netflix, Amazon et CNN.

 

Comment sécuriser un objet connecté ?

 

Pour qu’il puisse fonctionner, tout objet connecté (à quelques exceptions près) est relié à un réseau, son unique moyen de communication. Selon le cabinet Gartner, en 2017, 80 % des IoT présentaient une faille potentielle de sécurité. Au contraire des ordinateurs de bureaux ou des serveurs qui reçoivent régulièrement des mises à jour, l’application de patchs de sécurité sur les IoT est encore peu répandue. À ce sujet, un des principaux hébergeurs français disait en 2016 : «  Que pouvons-nous, par exemple, si les constructeurs d’équipements connectés ne corrigent pas les failles de leurs logiciels et si les revendeurs n’osent pas prévenir leurs clients que leur matériel est infecté ?  » Le même interlocuteur allait plus loin en parlant de « failles de sécurité relevant de défauts dans leur conception logicielle, de la négligence des constructeurs, qui, souvent, attribuent le même mot de passe par défaut à tous leurs produits, ou de la négligence des installateurs qui ne prennent pas la peine de le modifier lorsqu’ils les déploient ».

 

Les administrateurs réseau avisés peuvent prendre des mesures pour appliquer une meilleure sécurité :

  • Mise en place d’un protocole de chiffrement efficace
  • Changement de mots de passe par défaut d’un IoT
  • Mise en place d’un portail sécurisé pour accéder aux données
  • Choix soigné des technologies de communication
  • Les objets connectés du réseau de l’entreprise

 

Il est également toujours important de prendre des mesures pour réduire le risque humain. Par exemple, interdire l’utilisation d’objets connectés personnels sur le réseau de l’entreprise (une montre connectée) ou mettre en place une sécurité spécifique dans ce cas.

 

De la collecte au traitement

 

Au-delà des dangers propres à la conception des IoT, si les grands comptes ont saisi l’importance de mettre en œuvre des politiques de gestion des données issues des objets connectés, la majorité des PME commence seulement à mesurer toute la portée de la valeur de ces informations. Mettre en œuvre une politique IoT nécessite d’implémenter de nouvelles technologies pour capter, collecter, stocker et traiter la donnée, mais aussi de repenser le modèle économique de l’entreprise. Lorsque le volume de datas à traiter devient important, le stockage et le traitement se font respectivement via le cloud et le Big Data, des technologies qui doivent être aux mains de professionnels. Ces structures étant régulièrement soumises à des attaques de hackers, elles doivent être sécurisées.

 

La sécurité des données recueillies

 

Cette problématique n’est finalement pas propre aux objets connectés. Un IoT n’est qu’un élément de plus du Big Data. Une entreprise se doit de rationaliser les données recueillies auprès de ses usagers. Il est aujourd’hui impératif de savoir où résident les données privées et qui en a la responsabilité. Beaucoup d’entreprises sont incapables de répondre à cette question, les données étant dispersées entre les services (commerciaux, marketing, financier, service client, etc.). Si on ajoute à cela le défi de la confidentialité des données imposé par la RGPD, qui ne doit pas être pris à la légère, on se retrouve avec d’énormes opportunités commerciales grâce à l’IoT, mais aussi de grandes contraintes digitales. C’est la raison pour laquelle l’externalisation des données semble être une bonne solution pour que les marques se concentrent sur ce qu’elles savent faire : créer des produits qui répondent aux besoins de leurs clients.

 

Le marché de l’IoT étant un marché en pleine croissance, il est impératif de se faire accompagner par un professionnel pour choisir le bon capteur au-delà du simple critère financier. Et comme nous venons de le voir, la force de l’IoT ne se limite pas au capteur, mais à ce que nous pouvons faire des données récoltées.