Loading

Sécurité des objets connectés, une affaire de visibilité

https://www.flickr.com/photos/a_t_ljungberg/1378558999/

Alors que le cabinet Gartner prévoit 20 millions d’objets connectés en 2020, la question de la sécurité prend une dimension de plus en plus importante. Julien Sobrier, Product Manager chez Zscaler, apporte quelques précisions sur le sujet…

Zscaler, entreprise américaine basée en Californie, permet de sécuriser les flux internet des utilisateurs et ce, intégralement par le biais du Cloud sans avoir à installer une appliance ou un software. Le but étant pour l’administrateur de créer, à l’aide d’une simple interface dédiée, sa propre politique de sécurité et de pouvoir bénéficier d’une visibilité sur l’ensemble de ses utilisateurs en temps réel dans le monde entier. Comme pour le BYOD, les organisations cherchent à développer un outil de détection des objets connectés dans le périmètre du réseau de l’entreprise pour offrir une couche sécurité.

Visibilité étant mère de sûreté

Selon Julien Sobrier, « l’un des gros problèmes, c’est d’avoir une vue d’ensemble de tous les objets connectés et de l’endroit où ils sont situés dans le réseau ». En effet, les entreprises n’ont pas encore conscience de la multitude d’objets qui peuvent se connecter au réseau comme la photocopieuse, les smart TV, les systèmes de climatisation et autres éléments de domotique ou encore les badges d’accès. Julien Sobrier a pu observer « dans des études, que dans une banque par exemple, le système réseau pour la climatisation était sur le même réseau que les appareils qui s’occupaient des cartes de crédit ».

A l’image d’une politique de sécurité basique, le premier objectif est donc de recenser l’intégralité de ces objets pour savoir où ils se situent et ainsi pouvoir faire une ségrégation du réseau afin d’éviter qu’ils soient au même niveau que les données sensibles de l’entreprise. Contrairement à un utilisateur lambda qui souhaite accéder au réseau, les objets connectés n’ont pour la plupart aucune forme d’authentification à donner.

Même si pour le moment, aucune attaque de grande ampleur n’a été menée en passant par les objets connectés pour atteindre le cœur des entreprises, Julien Sobrier rappelle que « nous avons pu voir, l’an dernier, des centaines de milliers de réfrigérateurs connectés et autres objets connectés qui envoyaient des spams ».

C’est donc simplement une question de temps avant que les individus malveillants utilisent ces entrées pour s’infiltrer et exfiltrer de la donnée. Par exemple, « il y a 3 ans, des chercheurs ont montré que les télés pouvaient être contrôlées à distance et comme elles possédaient des micros, on pouvait écouter les conversations dans la salle ».

Réagir !

Apporter au monde de l’entreprise une part d’évangélisation est primordial, « la plupart des entreprises, simplement consommatrices de ces objets, ne sont pas forcément au courant qu’ils sont connectés ou même accessibles depuis internet ». Les entreprises n’ont, de manière générale, pas abordé la question de la sécurité concernant ces objets connectés, pourtant il suffit de se rendre compte de ces dizaines, centaines voire ces milliers d’objets rattachés au réseau pour qu’elles y voient et détectent de potentielles vulnérabilités. Encore une fois, la visibilité est le facteur clef.

Pourtant, « ces objets ont un trafic réseau très spécifique, ils peuvent seulement se connecter à une source pour recevoir des mises à jour, ils ne vont faire que du trafic http ou https ». Il suffirait ensuite de faire un système de white list où on autorise le logiciel uniquement à se connecter sur ces sources, au domaine et ce type de trafic.

D’autre part, les constructeurs avec tous les impératifs de temps liés au go-to-market n’ont pour le moment pas encore pris réellement la mesure de cet aspect sécurité même s’il est certain que cela deviendra un paramètre indispensable pour les ventes futures. A l’heure où les voitures deviennent connectées tout comme les pacemakers, les pompes à insuline et autres, les objets connectés ont un impact sur le réel et pourraient devenir un véritable danger pour leurs utilisateurs. La mise en place de mesures ou de contrôles est une urgence. L’idéal serait qu’ « une entreprise certifiée ISO 27001 puisse acheter du matériel lui-même certifié et qu’il y ait une véritable chaîne de certification de l’entreprise aux employés et à tous les objets connectés » conclut Julien Sobrier.
 

Tristan Karache Tristan Karache - Journaliste informatique
Journaliste informatique, spécialiste NTIC en charge de la veille technologique et stratégique IT française et internationale pour http://www.itpro.fr et le mensuel ITPro Magazine.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Windows 10 Pro en 5 innovations majeuresWindows 10 Pro en 5 innovations majeuresRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré sur la productivité et la sécurité. Les nouvelles fonctionnalités de Windows 10 Pro améliorent le quotidien des collaborateurs.Découvrez-les en vidéo

Ressources Informatiques

Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
Les 5 clés d’une stratégie mobile performante Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé les interactions entre les collaborateurs. Encore faut-il que l’entre¬prise…
   HPE Aruba | 4 pages
Découvrez votre Guide de Stratégie Mobile
5 étapes pour optimiser la gestion d’énergie des infrastructures IT La gestion et la supervision des infrastructures IT n’ira qu’en s’aggravant tant que les entreprises n’adopteront pas une vraie gestion dynamique…
   Top 5 Décideur IT | 4 pages
Découvrez votre livre blanc
Comment optimiser la gestion d‘énergie des serveurs virtualisés ? Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
Office 365 Version E5 en 5 avantages technologiques Collaboration, Mobilité, Cloud, pour rendre les collaborateurs plus agiles, mobiles & productifs tout en garantissant la sécurité et l’intégrité…
   Insight | 4 pages
Téléchargez le TOP 5 spécial Office 365 E5
Hyperconvergence : quels enjeux et bénéfices en 2017 ? En rupture totale avec les anciennes pratiques IT, l’hyperconvergence intéresse et séduit de plus en plus les DSI par leur approche très intégrée…
   Inmac wstore | 4 pages
Découvrez le Top 5 Décideur IT
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Patrick Guimonet Patrick Guimonet Spécialiste SharePoint

Fabrice Barbin Fabrice Barbin Microsoft MVP

Laurent Teruin Laurent Teruin Consultant Senior Lync et MVP Lync

Vidéos Informatiques

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI