Depuis plusieurs années maintenant, les objets connectés sont de plus en plus nombreux. Ils nous observent, ils enregistrent tout. Ce n’est pas de la science-fiction, c’est un gigantesque réseau de données nous concernant qui circule dans le monde à chaque seconde.
Véritable révolution, ils nous aident dans notre quotidien, que ce soit pour avoir vos boissons toujours à la bonne température, pour vous faire couler un café avant votre réveil ou pour vous joindre n’importe où.
Qui dit plus d’objets connectés, dit davantage de données qui circulent, et donc davantage de risques pour elles de se faire intercepter et de tomber dans les mains des cybercriminels.
Ce n’est pas vraiment l’objet en lui-même qui pose question, c’est surtout comment gérer l’ampleur des données et des périphériques dans l’IoT : un vrai casse-tête pour tout professionnel de la cybersécurité.
Tout d’abord, qu’est-ce que l’Internet des Objets ?
L’Internet des Objets, (on parle d’IoT ou d’IdO) n’a pas de définition stricte. Elle recoupe des dimensions à la fois conceptuelles et techniques.
D’un point de vue conceptuel, l’IoT est l’ensemble des objets physiques connectés ayant leur propre identité numérique et étant capables de communiquer les uns avec les autres. C’est un réseau qui crée une passerelle entre le monde physique et le monde virtuel.
D’un point de vue technique, l’IoT est l’identification numérique normalisée (adresse IP, http…) d’un objet physique grâce à un système de communication sans fil comme le bluetooth ou le wi-fi.
Ces objets connectés produisent de grandes quantités de données : nous appelons l’ensemble de ces données le Big Data (qui regroupe les données d’entreprises ou de particuliers, bref, de toutes les données produites par l’utilisation des nouvelles technologies comme les capteurs météo, les détecteurs de fumée, les cafetières ou réfrigérateurs, les montres connectées etc.)
Selon Forbes, le nombre d’objets connectés pourra atteindre jusqu’à 30 milliards en 2020 !
Quelles sont les principales menaces liées aux objets connectés ?
- Chaque objet connecté a un potentiel exploitable caché : même si votre cafetière a pour tâche première de faire du café, son système d’exploitation est capable de faire beaucoup plus en arrière-plan. Sachant cela, un hacker peut s’introduire dans une entreprise ou chez un particulier par ce biais.
- Il y a beaucoup d’objets connectés qu’on oublie : ces objets, comme les alarmes ou les détecteurs de mouvement sont conçus pour fonctionner pendant des années. On a donc tendance à les oublier lors des tournées de maintenance. C’est une erreur de votre part, et une aubaine pour les cybercriminels !
- Ne sous estimez pas l’importance d’une protection sécurisée même sur les objets qui n’ont à priori aucun avantage à être piraté : les cybercriminels s’en prennent de plus en plus à ces catégories, et s’intéressent davantage à l’écriture de données plutôt qu’à la lecture. Par exemple dans une usine, un cybercriminel n’a aucun avantage à retirer du piratage du débit d’un tuyau. En revanche, s’il en prend le contrôle, il pourrait changer ce débit et provoquer un incident. Nous n’imaginons même pas ce qu’il pourrait se passer sur des objets connectés dans le milieu médical !
- Les fabricants ne se sentent pas tous concernés par la sécurisation de leurs appareils. Certains objets ne sont même pas calibrés pour pouvoir changer leur mot de passe. Si tel est le cas, n’achetez pas ces produits car ils ne sont pas toujours intrinsèquement sécurisés. La plus importante des vulnérabilités provient souvent des fabricants eux-mêmes.
A votre niveau, comment vous protéger ? Voici quelques conseils de base à respecter.
- Avant d’acheter un objet connecté, recherchez sur internet ses éventuelles vulnérabilités. L’IoT étant un vrai sujet, il est tout à fait probable que l’objet que vous envisagez d’acheter ait déjà été examiné par un expert en cybersécurité, que ce soit un écoute-bébé ou autre.
- Privilégiez d’acheter des produits ayant déjà connu plusieurs mises à jour. En effet, acheter un objet qui vient de sortir sur le marché est moins sûr : ils peut contenir des failles encore inconnues.
- Avant de décider d’acheter un objet connecté, tenez toujours compte des risques pour la cybersécurité. Par exemple, préférez un système d’alarme professionnel à celui qui se commande sur une appli : ce serait dommage de laisser le contrôle de votre porte de garage à vos cambrioleurs !
Et à un niveau plus large, comment se développe la lutte contre les cyber-risques ?
La philosophie de risque intégrée n’est plus une option.
Dans la plupart des grandes organisations, l’approche en matière de cyber-risque a assez bien fonctionné et force les dirigeants les plus réticents à rehausser les normes de sécurité de leur entreprise à tous les niveaux de l’organisation. Aujourd’hui, prévenir et anticiper les menaces liées à l’IoT avant qu’elles ne se développent, surveiller et neutraliser les menaces déjà en jeu et rétablir n’est plus optionnel, mais bel et bien indispensable.
La gestion des cyber-risques et l’innovation doivent être sur un pied d’égalité.
Aujourd’hui, les données créées par les objets connectés sont devenues un marché gigantesque et des modèles commerciaux entiers reposent sur des milliers d’organisations, ce qui pousse les entreprises à investir de manière significative dans les capacités d’analyse client afin de découvrir de nouvelles sources de valeur pour leurs clients. Données de reconnaissance faciales, d’accès aux installations ou de système de contrôle industriel… la gouvernance des données n’a pas suivit le rythme au fil du temps. Cyber-risque et innovation sont inextricablement liés : l’un ne doit pas être subordonné à l’autre.
Pas de normes de risque globales ? Pas d’excuses.
L’IdO est un écosystème et un modèle de fonctionnement intrinsèquement partagés qui transcendent les secteurs public et privé. Pourtant, aujourd’hui, il n’y a pas de normes uniformes régissant l’Internet des objets.
Bien sûr, les partenaires IoT opèrent en coopération dans un état d’esprit de responsabilité partagée en matière de sécurité. Pendant que l’IoT continue de croître à une vitesse phénoménale, les normes officielles ne suivent pas et les chefs d’entreprise et les leaders technologiques n’ont d’autre choix que de commencer à élaborer et à mettre en œuvre leurs propres normes mondiales en matière de cyber-risque, malgré le manque de directives.
La modernisation peut fonctionner, mais elle introduit de nouveaux risques
Certaines entreprises de technologie, de médias et de télécommunications cherchent à mettre en œuvre des solutions IoT par-dessus des systèmes existants, qui sont, eux, bien plus vulnérables aux piratages. Moderniser oui, mais les organisations doivent d’abord évaluer les risques avec précision.
L’Internet des objets est passé de la science-fiction à la réalité plus rapidement que prévu, et est désormais une source d’énormes opportunités pour la création et la capture de valeur, leur permettant d’innover plus rapidement, de prendre de meilleures décisions et d’offrir des produits et des services attrayants à leurs clients. Le plus important est d’innover en se prémunissant au maximum des risques liés à la cybersécurité.