Les risques pour l'entreprise induits par l'Internet des Objets
L'Internet des Objets prend de l'ampleur. Mais quels sont les risques induits pour votre entreprise ?
PublicitéPour beaucoup, l'Internet des Objets (ou IoE pour Internet of Everything) est la clé d'un monde meilleur : un XXIe siècle où des appareils intelligents connectés rendent notre vie plus sûre, plus confortable et plus productive. Cependant, s'il est sans doute vrai que les entreprises gagneront en agilité et en performance grâce à ces innovations, l'IoE devrait également attirer l'attention des DSI.
Une enquête publiée par Context Information Security a révélé que les ampoules wi-fi intelligentes LIFX présentaient une faille permettant aux hackers de les contrôler à partir de leur smartphone. Informés de cette vulnérabilité, les développeurs de LIFX ont rapidement résolu le problème, mais qu'en est-il des autres appareils intelligents qui se font petit à petit une place dans les bureaux du monde entier ?
Tout comme ce fut le cas pour les smartphones, la problématique réside, en partie, dans le fait que la plupart de ces appareils n'ont pas été pensés pour l'entreprise. Ils ne sont pas assez robustes et leur sécurité n'est généralement pas testée. Cependant, à l'instar du BYOD, ils pourraient petit à petit s'imposer au sein des entreprises et créer de sérieux problèmes de sécurité si leur utilisation n'est pas encadrée.
Pensez-y : bon nombre d'entreprises développant des objets connectés n'anticipent pas leur utilisation en entreprise. Comme pour la plupart des produits technologiques, la priorité est donnée à une commercialisation rapide (le fameux Time-to-Market), et non à la sécurité (souvent considérée comme un frein). Il y a quelques mois, le fabricant d'objets connectés Nest a dû rappeler plus de 400 000 détecteurs de fumée après la découverte d'un défaut de fabrication permettant aux utilisateurs d'éteindre les dispositifs sans le vouloir. Les DSI ne seront pas plus rassurés d'apprendre que Nest appartient à Google, cette même entreprise qui nous a dotés de l'un des écosystèmes mobiles les plus vulnérables au monde : Android.
Au-delà de ces dysfonctionnements, une autre raison doit encourager les DSI à se pencher sur la question de l'IoE. Les objets connectés communiquent en effet régulièrement avec le siège de leur fabricant et ce, où que se trouve ce dernier. Ce qui peut poser problème, même pour des appareils ménagers inoffensifs ! Imaginez qu'un hacker soit capable d'intercepter le trafic envoyé par un écoute-bébé et qu'il puisse, par exemple, savoir si les parents sont chez eux ou non...
Le risque est d'autant plus important au sein des entreprises.
Savez-vous, par exemple, quelles sont les informations qui sont envoyées par votre imprimante au siège de son fabricant aux États-Unis ? Êtes-vous certain qu'elle n'est pas équipée d'un micro ? Et qu'en est-il des équipements de visioconférence qui sont peu à peu apparus dans vos salles de réunion ? Les révélations d'Edward Snowden au sujet des opérations de surveillance de la NSA ont, à juste titre, rendu quelques peu nerveuses les grandes entreprises : une raison de plus pour être deux fois plus prudent !
PublicitéLa question doit être prise avec d'autant plus de sérieux dans le contexte actuel de réforme de la réglementation européenne en matière de protection des données. Une fois celle-ci votée, chaque Etat membre sera tenu de s'y conformer, or des exigences strictes sont attendues dans le domaine de l'hébergement des données. Si vos appareils connectés envoient des données à leur fabricant, aux États-Unis ou ailleurs, vous pourriez ainsi vous trouvez en situation d'illégalité et exposer votre entreprise à des risques inutiles.
Autre domaine connexe de cet IoE en plein essor, les compteurs intelligents pourraient être exploités par des assaillants déterminés dans le but de découvrir les points faibles d'une organisation, voire d'altérer un service d'approvisionnement en énergie. Si vous me trouvez un peu paranoïaque, sachez que même le Contrôleur européen de la protection des données a fait part de sérieuses inquiétudes concernant les implications de tels appareils en matière de protection de la vie privée.
Que devraient faire les DSI pour écarter le risque que les objets connectés font peser sur les informations de leur entreprise ? Dans un premier temps, il convient de rappeler qu'à ce stade, les risques restent limités. Toutefois, le nombre d'appareils connectés dans votre entreprise est sans doute en progression, la plupart ne remplissant probablement que partiellement leur rôle. Il est ainsi primordial d'élaborer une procédure d'approbation des nouveaux équipements intelligents. Soyez notamment particulièrement vigilant quant à la conformité des appareils avec la réglementation européenne sur la protection des données et pensez à vous rapprocher des services généraux pour les sensibiliser et vous assurer que tout nouvel appareil réponde à vos critères de sécurité.
Oui, il s'agit d'une entrée de plus sur votre - déjà longue - liste de tâches prioritaires, mais l'ajouter dès maintenant vaut le coup. Car si vous ne prenez pas immédiatement les mesures qui s'imposent, vous pourriez bientôt réaliser que le fonctionnement de votre entreprise dépend en réalité d'un lot de gadgets grand public, peu sécurisés, mais pourtant devenus essentiels au bon déroulement de vos opérations. Repartir à zéro ne sera alors déjà plus une option...
Article rédigé par
Loïc Guézo, Administrateur du Clusif
Loïc Guézo est Evangéliste Sécurité de l'Information pour l'Europe du Sud chez Trend Micro et Administrateur du Clusif (Club de la Sécurité des Systèmes d'Information Français).
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire