Le marché des objets connectés est en pleine ascension. Les objets connectés dédiés au monde de l’entreprise se multiplient, on trouve des objets connectés pour tout : pour mesurer la qualité de l’environnement, dans une entreprise ou sur un chantier, des objets connectés pour effectuer des actions à la voix, des objets connectés permettant des services innovants, des véhicules autonomes, ou encore des nouveaux objets connectés dédiés au domaine de l’industrie. Par exemple, selon une étude intitulée “IoT : quelle réalité pour le secteur industriel en France ?” et réalisée en 2017, 72% des entreprises industrielles européennes prévoient d’augmenter leurs investissements dans l’internet des objets (IoT) au cours des 3 prochaines années.
L’internet des objets, c’est donc probablement l’une des prochaines révolutions de l’entreprise. Mais cette nouvelle tendance apporte son lot de risques, notamment en matière de sécurité informatique. Selon le cabinet Gartner, 80 % des objets connectés présentent une faille potentielle. Non seulement, tous les objets connectés peuvent être la cible d’une attaque, mais parce que leur sécurité a été jusqu’à présent largement négligée, c’est un sujet véritablement sensible.
Dans cet article, nous souhaitons mettre l’accent sur les risques que présente une mauvaise gestion des objets connectés au sein d’une entreprise, mais surtout, proposer des mesures simples et pratiques pour amorcer une politique de gestion de la sécurité des objets connectés.
Objets connectés et sécurité informatique : les risques
Les cas d’entreprises victimes d’intrusions ou de vols de données liés à des objets connectés se sont récemment multipliés, et de nombreux peuvent être lus dans la presse, avec par exemple cet article intitulé : Les objets connectés, nouveaux chevaux de Troie des entreprises
Pour une entreprise, les risques apportés par les objets connectés sont multiples :
- Vol ou perte de données
- Espionnage et ou localisation d’individus
- Entrée dans votre réseau informatique et piratage de vos appareils
- Désactivation de dispositifs de sécurité, comme les détecteurs de mouvement
- Implication du matériel de l’entreprise dans des actes malveillants auprès d’une autre entreprise ou d’un tiers
En un mot comme en cent, un objet connecté non sécurisé est une faille dans le système d’information de l’entreprise, et qui peut entraîner n’importe quel type d’incident ou de catastrophe informatique, intrusion, piratage, prise de contrôle du système etc
Cette problématique des objets connectés étant relativement récente, une majeure partie des entreprises, et notamment les plus vulnérables, petites ou moyennes entreprises qui ne disposent pas des ressources en interne à consacrer à la politique de sécurité informatique de la structure, ne sont pas prêtes pour une bonne gestion de ces nouveaux types de risques.
Objets connectés : 15 mesures concrètes pour permettre aux entreprises de réduire les risques
Afin de réduire les risques informatiques liés aux objets connectés au sein des entreprises, on peut identifier les mesures suivantes :
- Disposer d’une véritable connaissance et gestion des objets connectés utilisés par l’entreprise
- Mettre en place une stratégie de protection des données pilotée par le risque, en hiérarchisant par priorités les ressources cruciales dans l’infrastructure de l’internet des objets
- Choisir des objets connectés disposant d’une véritable politique de sécurité
- Ne pas utiliser les objets connectés pour stocker ou échanger des informations critiques
- Ne pas utiliser les objets connectés avec des réseaux wifi ou bluetooth non sécurisés
- Mettre à jour les objets connectés avec les dernières versions
- Changer les mots de passe par défaut
- Protéger les appareils à l’aide de mots de passe complexes et, quand c’est possible, utiliser la double authentification
- Crypter les données qui entrent et sortent de leurs appareils de l’internet des objets
- Utiliser un portail sécurisé pour accéder à ces données chiffrées,
- Compartimenter le trafic, pour que les données liées à un objet connecté ne circulent pas sur le même réseau que les données sensibles de l’entreprise.
- Monitorer les données qui transitent sur le réseau de façon à repérer les éventuels anormaux sur le système
- Etablir des contrôles au niveau des identités des utilisateurs
- Limiter le risque humain, par exemple, interdire la connexion d’objets connectés extérieurs reliés à un support interne et avoir un politique en matière d’utilisation des objets connectés personnels dans le cadre professionnel
- Effectuer des tests de pénétration pour vérifier la fiabilité de son système et de sa politique
Si ces démarchent peuvent sembler fastidieuses, elles sont pourtant nécessaires pour la mise en place d’une bonne politique de réduction des risques en matière d’objets connectés. Si l’entreprise ne dispose pas des ressources pour développer une telle démarche en interne, il est toujours possible de se faire accompagner par un prestataire spécialisé dans ce domaine.