Internet des Objets, une menace pour l’avenir des entreprises ? Par Pierre-Yves Popihn, Directeur Technique, NTT Com Security France

businessman sit on chair

On a longtemps associé les objets connectés à notre quotidien mais ces derniers envahissent de plus en plus la sphère professionnelle. En effet, leurs avantages sont précieux pour les entreprises et ces dernières reconnaissent volontiers leurs atouts en termes de connectivité, de commodité et d’efficacité. Est-ce cependant raisonnable d’accepter d’intégrer ces objets connectés, tels quels, au réseau de l’entreprise ? Représentent-ils une menace pour la sécurité des organisations ?

En 2015, le Global Threat Intelligence Report a mis en évidence le fait que 7 des 10 vulnérabilités les plus importantes étaient liées à l’utilisateur final qui, dans la majorité des cas, utilise des objets dits connectés.

Pourquoi un tel succès ?

L’objet connecté n’est pas réellement une nouveauté mais apparaît vers la fin des années 90 avec notamment l’utilisation, dans certains secteurs d’activités, de puces RFID. Dans son rapport « L’ Internet des Objets  – Comment l’évolution actuelle d’Internet transforme-t-elle le monde ? » publié en avril 2011, CISCO indique qu’un changement important s’est produit en 2008. En effet, à ce moment, Internet comptait plus d’objets que de personnes. Cette période nous a fait entrer dans une nouvelle ère, celle de l’ Internet des Objets. Certains considèrent cette évolution comme la 3ème qu’Internet ait connu et parlent donc de web 3.0.

En parallèle, des estimations évaluent à plus de 50 milliards le nombre d’objets connectés d’ici à 2020, ceci n’étant qu’une estimation basse car nous ne sommes pas à même de déterminer le type d’objets qui sera développé dans les années à venir. Dans ce cadre, notre imagination est la seule limite.

Face à un succès aussi flagrant, on peut se demander quels en sont les facteurs explicatifs :

  1. La variété des applications et leur utilisation (messagerie, traqueur d’activité, applications de santé …)
  2. Le confort utilisateur : l’information est désormais toujours à portée de main
  3. L’amélioration du quotidien : n’est-il pas pratique que notre réfrigérateur nous rappelle son contenu ou que mon capteur de plantes me rappelle de bien arroser ces dernières ?

Enfin, il est important de noter que les applications ont un champ d’action extrêmement large et concernent ainsi tous les secteurs et tous les domaines d’activité. Nous trouvons par exemple des applications dans la vie de tous les jours avec la domotique, la carte à puce, la montre connectée (donnant des informations de santé), des traceurs pour animaux, des voitures connectées, …

IoT : Internet of Things ou Internet Of Threats ?

Ce type d’équipements va conduire une croissance de l’information, une augmentation du traitement de cette information mais surtout une exposition très forte des données qu’elles soient confidentielles ou non, et un accès à des environnements jusque-là cloisonnés et préservés (voiture connectée par exemple).

Sans tomber dans la paranoïa, il apparaît donc légitime voire nécessaire de se poser certaines questions :

  • Comment est traitée l’information utilisée par ces objets connectés ?
  • Qui accède à cette information ?
  • De quelle manière et où est-elle stockée ?
  • Quel risque courrons-nous  à utiliser ce type d’objets ?

Même vigilants, nous ne devons pas prendre pour argent comptant toutes les informations relatives à d’éventuelles vulnérabilités. En effet, dans bien des cas, les problèmes de sécurité remontés ne sont pas avérés ou les hypothèses pour rendre l’objet vulnérable sont très hasardeuses.

Cependant, en analysant de plus près le principe de fonctionnement et de développement de ces différents objets, la question de sécurité des objets connectés est bien réelle et doit être prise en considération avec recul.

En effet, n’étant pas soumis à des normes spécifiques, les constructeurs d’objets peuvent développer ces derniers selon leurs propres standards pour lesquels la sécurité n’est pas nécessairement un objectif. Il y a aujourd’hui de multiples constructeurs et autant de standards et cela ne facilite pas l’application des principes de sécurité.

De plus, le principe même de ces objets connectés est … la connectivité. Ces derniers doivent par conséquent être capables de communiquer. Partant de ce constat, différents angles d’attaques sont exploitables pour un pirate :

  • Approche locale (interaction avec l’utilisateur)
  • Approche distante (interaction avec une interface web au travers d’un Cloud par exemple)
  • Interception de la communication

Pour mettre à l’épreuve nos hypothèses, nous avons testé différentes catégories d’objets. En utilisant ces trois typologies d’attaques, nous avons constaté un certain nombre de manquements en termes de sécurité :

  • Accès directement aux équipements (composants matériels, commande locale possible)
  • Envoi d’informations aux interfaces Cloud en lieu et place de l’équipement
  • Récupération d’informations sensibles voire confidentielles selon l’utilisation via des écoutes réseau
  • Modification du contenu du trafic possible

Bien que les objets connectés soient principalement destinés aux consommateurs, l’actualité récente montre que la sécurité est primordiale et qu’il est impératif que l’ensemble des constructeurs intègrent des mécanismes de sécurité pour protéger aussi bien l’objet connecté que la communication ou les plateformes web sur lesquelles communiquent les objets.

Colmater ces failles : comment faire ?

Tout d’abord, il faut savoir que les principes de sécurité traditionnels s’appliquent aussi aux objets connectés. Il est donc nécessaire pour les constructeurs et développeurs de tenir compte de la problématique « sécurité » dans leur processus qualité. Ainsi, il faut absolument mettre en place des mécanismes d’authentification (pour l’association objets/équipements/utilisateurs, pour la communication vers les plateformes cloud) ainsi que des mécanismes de confidentialité afin de protéger le contenu  des échanges. Pour finir, la sécurisation passe par l’assurance que les informations échangées et stockées ne seront pas modifiables et resteront conformes au cours du temps.

L’IoT fait entrer Internet dans sa 3ème (r)évolution. A défaut de pouvoir l’empêcher, les entreprises doivent contrôler cette croissance en anticipant au maximum l’intégration de ce type d’objets au sein du système d’information et en accompagnant leurs utilisateurs. Dans le passé, nombreuses ont été les entreprises à avoir catégoriquement refusé l’intégration des smartphones au sein de leur système d’information. Aujourd’hui, ces derniers sont considérés comme des équipements à part entière !

Ainsi, pour anticiper et accompagner ses employés dans l’usage des objets connectés en milieu professionnel, l’entreprise doit au préalable :

  1. Définir ce qui est acceptable (typologie d’objets, type de communication, niveau de sécurité, …) ;
  2. Se poser les bonnes questions quant aux bénéfices possibles (utilité métier, confort utilisateur, …) ;
  3. Définir un cadre personnel et professionnel ;
  4. Et enfin, l’inscrire dans la politique de sécurité de l’entreprise !
Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Internet des Objets, une menace pour l’avenir des entreprises ? Par Pierre-Yves Popihn, Directeur Technique, NTT Com Security France

businessman sit on chair 4th février, 2016

On a longtemps associé les objets connectés à notre quotidien mais ces derniers envahissent de plus en plus la sphère professionnelle. En effet, leurs avantages sont précieux pour les entreprises et ces dernières reconnaissent volontiers leurs atouts en termes de connectivité, de commodité et d’efficacité. Est-ce cependant raisonnable d’accepter d’intégrer ces objets connectés, tels quels, au réseau de l’entreprise ? Représentent-ils une menace pour la sécurité des organisations ?

En 2015, le Global Threat Intelligence Report a mis en évidence le fait que 7 des 10 vulnérabilités les plus importantes étaient liées à l’utilisateur final qui, dans la majorité des cas, utilise des objets dits connectés.

Pourquoi un tel succès ?

L’objet connecté n’est pas réellement une nouveauté mais apparaît vers la fin des années 90 avec notamment l’utilisation, dans certains secteurs d’activités, de puces RFID. Dans son rapport « L’ Internet des Objets  – Comment l’évolution actuelle d’Internet transforme-t-elle le monde ? » publié en avril 2011, CISCO indique qu’un changement important s’est produit en 2008. En effet, à ce moment, Internet comptait plus d’objets que de personnes. Cette période nous a fait entrer dans une nouvelle ère, celle de l’ Internet des Objets. Certains considèrent cette évolution comme la 3ème qu’Internet ait connu et parlent donc de web 3.0.

En parallèle, des estimations évaluent à plus de 50 milliards le nombre d’objets connectés d’ici à 2020, ceci n’étant qu’une estimation basse car nous ne sommes pas à même de déterminer le type d’objets qui sera développé dans les années à venir. Dans ce cadre, notre imagination est la seule limite.

Face à un succès aussi flagrant, on peut se demander quels en sont les facteurs explicatifs :

  1. La variété des applications et leur utilisation (messagerie, traqueur d’activité, applications de santé …)
  2. Le confort utilisateur : l’information est désormais toujours à portée de main
  3. L’amélioration du quotidien : n’est-il pas pratique que notre réfrigérateur nous rappelle son contenu ou que mon capteur de plantes me rappelle de bien arroser ces dernières ?

Enfin, il est important de noter que les applications ont un champ d’action extrêmement large et concernent ainsi tous les secteurs et tous les domaines d’activité. Nous trouvons par exemple des applications dans la vie de tous les jours avec la domotique, la carte à puce, la montre connectée (donnant des informations de santé), des traceurs pour animaux, des voitures connectées, …

IoT : Internet of Things ou Internet Of Threats ?

Ce type d’équipements va conduire une croissance de l’information, une augmentation du traitement de cette information mais surtout une exposition très forte des données qu’elles soient confidentielles ou non, et un accès à des environnements jusque-là cloisonnés et préservés (voiture connectée par exemple).

Sans tomber dans la paranoïa, il apparaît donc légitime voire nécessaire de se poser certaines questions :

  • Comment est traitée l’information utilisée par ces objets connectés ?
  • Qui accède à cette information ?
  • De quelle manière et où est-elle stockée ?
  • Quel risque courrons-nous  à utiliser ce type d’objets ?

Même vigilants, nous ne devons pas prendre pour argent comptant toutes les informations relatives à d’éventuelles vulnérabilités. En effet, dans bien des cas, les problèmes de sécurité remontés ne sont pas avérés ou les hypothèses pour rendre l’objet vulnérable sont très hasardeuses.

Cependant, en analysant de plus près le principe de fonctionnement et de développement de ces différents objets, la question de sécurité des objets connectés est bien réelle et doit être prise en considération avec recul.

En effet, n’étant pas soumis à des normes spécifiques, les constructeurs d’objets peuvent développer ces derniers selon leurs propres standards pour lesquels la sécurité n’est pas nécessairement un objectif. Il y a aujourd’hui de multiples constructeurs et autant de standards et cela ne facilite pas l’application des principes de sécurité.

De plus, le principe même de ces objets connectés est … la connectivité. Ces derniers doivent par conséquent être capables de communiquer. Partant de ce constat, différents angles d’attaques sont exploitables pour un pirate :

  • Approche locale (interaction avec l’utilisateur)
  • Approche distante (interaction avec une interface web au travers d’un Cloud par exemple)
  • Interception de la communication

Pour mettre à l’épreuve nos hypothèses, nous avons testé différentes catégories d’objets. En utilisant ces trois typologies d’attaques, nous avons constaté un certain nombre de manquements en termes de sécurité :

  • Accès directement aux équipements (composants matériels, commande locale possible)
  • Envoi d’informations aux interfaces Cloud en lieu et place de l’équipement
  • Récupération d’informations sensibles voire confidentielles selon l’utilisation via des écoutes réseau
  • Modification du contenu du trafic possible

Bien que les objets connectés soient principalement destinés aux consommateurs, l’actualité récente montre que la sécurité est primordiale et qu’il est impératif que l’ensemble des constructeurs intègrent des mécanismes de sécurité pour protéger aussi bien l’objet connecté que la communication ou les plateformes web sur lesquelles communiquent les objets.

Colmater ces failles : comment faire ?

Tout d’abord, il faut savoir que les principes de sécurité traditionnels s’appliquent aussi aux objets connectés. Il est donc nécessaire pour les constructeurs et développeurs de tenir compte de la problématique « sécurité » dans leur processus qualité. Ainsi, il faut absolument mettre en place des mécanismes d’authentification (pour l’association objets/équipements/utilisateurs, pour la communication vers les plateformes cloud) ainsi que des mécanismes de confidentialité afin de protéger le contenu  des échanges. Pour finir, la sécurisation passe par l’assurance que les informations échangées et stockées ne seront pas modifiables et resteront conformes au cours du temps.

L’IoT fait entrer Internet dans sa 3ème (r)évolution. A défaut de pouvoir l’empêcher, les entreprises doivent contrôler cette croissance en anticipant au maximum l’intégration de ce type d’objets au sein du système d’information et en accompagnant leurs utilisateurs. Dans le passé, nombreuses ont été les entreprises à avoir catégoriquement refusé l’intégration des smartphones au sein de leur système d’information. Aujourd’hui, ces derniers sont considérés comme des équipements à part entière !

Ainsi, pour anticiper et accompagner ses employés dans l’usage des objets connectés en milieu professionnel, l’entreprise doit au préalable :

  1. Définir ce qui est acceptable (typologie d’objets, type de communication, niveau de sécurité, …) ;
  2. Se poser les bonnes questions quant aux bénéfices possibles (utilité métier, confort utilisateur, …) ;
  3. Définir un cadre personnel et professionnel ;
  4. Et enfin, l’inscrire dans la politique de sécurité de l’entreprise !
By
@coesteve1
backtotop