in

Internet des Objets, une menace pour l’avenir des entreprises ? Par Pierre-Yves Popihn, Directeur Technique, NTT Com Security France

On a longtemps associé les objets connectés à notre quotidien mais ces derniers envahissent de plus en plus la sphère professionnelle. En effet, leurs avantages sont précieux pour les entreprises et ces dernières reconnaissent volontiers leurs atouts en termes de connectivité, de commodité et d’efficacité. Est-ce cependant raisonnable d’accepter d’intégrer ces objets connectés, tels quels, au réseau de l’entreprise ? Représentent-ils une menace pour la sécurité des organisations ?

En 2015, le Global Threat Intelligence Report a mis en évidence le fait que 7 des 10 vulnérabilités les plus importantes étaient liées à l’utilisateur final qui, dans la majorité des cas, utilise des objets dits connectés.

Pourquoi un tel succès ?

L’objet connecté n’est pas réellement une nouveauté mais apparaît vers la fin des années 90 avec notamment l’utilisation, dans certains secteurs d’activités, de puces RFID. Dans son rapport « L’ Internet des Objets  – Comment l’évolution actuelle d’Internet transforme-t-elle le monde ? » publié en avril 2011, CISCO indique qu’un changement important s’est produit en 2008. En effet, à ce moment, Internet comptait plus d’objets que de personnes. Cette période nous a fait entrer dans une nouvelle ère, celle de l’ Internet des Objets. Certains considèrent cette évolution comme la 3ème qu’Internet ait connu et parlent donc de web 3.0.

En parallèle, des estimations évaluent à plus de 50 milliards le nombre d’objets connectés d’ici à 2020, ceci n’étant qu’une estimation basse car nous ne sommes pas à même de déterminer le type d’objets qui sera développé dans les années à venir. Dans ce cadre, notre imagination est la seule limite.

Face à un succès aussi flagrant, on peut se demander quels en sont les facteurs explicatifs :

  1. La variété des applications et leur utilisation (messagerie, traqueur d’activité, applications de santé …)
  2. Le confort utilisateur : l’information est désormais toujours à portée de main
  3. L’amélioration du quotidien : n’est-il pas pratique que notre réfrigérateur nous rappelle son contenu ou que mon capteur de plantes me rappelle de bien arroser ces dernières ?

Enfin, il est important de noter que les applications ont un champ d’action extrêmement large et concernent ainsi tous les secteurs et tous les domaines d’activité. Nous trouvons par exemple des applications dans la vie de tous les jours avec la domotique, la carte à puce, la montre connectée (donnant des informations de santé), des traceurs pour animaux, des voitures connectées, …

IoT : Internet of Things ou Internet Of Threats ?

Ce type d’équipements va conduire une croissance de l’information, une augmentation du traitement de cette information mais surtout une exposition très forte des données qu’elles soient confidentielles ou non, et un accès à des environnements jusque-là cloisonnés et préservés (voiture connectée par exemple).

Sans tomber dans la paranoïa, il apparaît donc légitime voire nécessaire de se poser certaines questions :

  • Comment est traitée l’information utilisée par ces objets connectés ?
  • Qui accède à cette information ?
  • De quelle manière et où est-elle stockée ?
  • Quel risque courrons-nous  à utiliser ce type d’objets ?

Même vigilants, nous ne devons pas prendre pour argent comptant toutes les informations relatives à d’éventuelles vulnérabilités. En effet, dans bien des cas, les problèmes de sécurité remontés ne sont pas avérés ou les hypothèses pour rendre l’objet vulnérable sont très hasardeuses.

Cependant, en analysant de plus près le principe de fonctionnement et de développement de ces différents objets, la question de sécurité des objets connectés est bien réelle et doit être prise en considération avec recul.

En effet, n’étant pas soumis à des normes spécifiques, les constructeurs d’objets peuvent développer ces derniers selon leurs propres standards pour lesquels la sécurité n’est pas nécessairement un objectif. Il y a aujourd’hui de multiples constructeurs et autant de standards et cela ne facilite pas l’application des principes de sécurité.

De plus, le principe même de ces objets connectés est … la connectivité. Ces derniers doivent par conséquent être capables de communiquer. Partant de ce constat, différents angles d’attaques sont exploitables pour un pirate :

  • Approche locale (interaction avec l’utilisateur)
  • Approche distante (interaction avec une interface web au travers d’un Cloud par exemple)
  • Interception de la communication

Pour mettre à l’épreuve nos hypothèses, nous avons testé différentes catégories d’objets. En utilisant ces trois typologies d’attaques, nous avons constaté un certain nombre de manquements en termes de sécurité :

  • Accès directement aux équipements (composants matériels, commande locale possible)
  • Envoi d’informations aux interfaces Cloud en lieu et place de l’équipement
  • Récupération d’informations sensibles voire confidentielles selon l’utilisation via des écoutes réseau
  • Modification du contenu du trafic possible

Bien que les objets connectés soient principalement destinés aux consommateurs, l’actualité récente montre que la sécurité est primordiale et qu’il est impératif que l’ensemble des constructeurs intègrent des mécanismes de sécurité pour protéger aussi bien l’objet connecté que la communication ou les plateformes web sur lesquelles communiquent les objets.

Colmater ces failles : comment faire ?

Tout d’abord, il faut savoir que les principes de sécurité traditionnels s’appliquent aussi aux objets connectés. Il est donc nécessaire pour les constructeurs et développeurs de tenir compte de la problématique « sécurité » dans leur processus qualité. Ainsi, il faut absolument mettre en place des mécanismes d’authentification (pour l’association objets/équipements/utilisateurs, pour la communication vers les plateformes cloud) ainsi que des mécanismes de confidentialité afin de protéger le contenu  des échanges. Pour finir, la sécurisation passe par l’assurance que les informations échangées et stockées ne seront pas modifiables et resteront conformes au cours du temps.

L’IoT fait entrer Internet dans sa 3ème (r)évolution. A défaut de pouvoir l’empêcher, les entreprises doivent contrôler cette croissance en anticipant au maximum l’intégration de ce type d’objets au sein du système d’information et en accompagnant leurs utilisateurs. Dans le passé, nombreuses ont été les entreprises à avoir catégoriquement refusé l’intégration des smartphones au sein de leur système d’information. Aujourd’hui, ces derniers sont considérés comme des équipements à part entière !

Ainsi, pour anticiper et accompagner ses employés dans l’usage des objets connectés en milieu professionnel, l’entreprise doit au préalable :

  1. Définir ce qui est acceptable (typologie d’objets, type de communication, niveau de sécurité, …) ;
  2. Se poser les bonnes questions quant aux bénéfices possibles (utilité métier, confort utilisateur, …) ;
  3. Définir un cadre personnel et professionnel ;
  4. Et enfin, l’inscrire dans la politique de sécurité de l’entreprise !
Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.