Loading

Sécurité des objets connectés, une affaire de visibilité

https://www.flickr.com/photos/a_t_ljungberg/1378558999/

Alors que le cabinet Gartner prévoit 20 millions d’objets connectés en 2020, la question de la sécurité prend une dimension de plus en plus importante. Julien Sobrier, Product Manager chez Zscaler, apporte quelques précisions sur le sujet…

Zscaler, entreprise américaine basée en Californie, permet de sécuriser les flux internet des utilisateurs et ce, intégralement par le biais du Cloud sans avoir à installer une appliance ou un software. Le but étant pour l’administrateur de créer, à l’aide d’une simple interface dédiée, sa propre politique de sécurité et de pouvoir bénéficier d’une visibilité sur l’ensemble de ses utilisateurs en temps réel dans le monde entier. Comme pour le BYOD, les organisations cherchent à développer un outil de détection des objets connectés dans le périmètre du réseau de l’entreprise pour offrir une couche sécurité.

Visibilité étant mère de sûreté

Selon Julien Sobrier, « l’un des gros problèmes, c’est d’avoir une vue d’ensemble de tous les objets connectés et de l’endroit où ils sont situés dans le réseau ». En effet, les entreprises n’ont pas encore conscience de la multitude d’objets qui peuvent se connecter au réseau comme la photocopieuse, les smart TV, les systèmes de climatisation et autres éléments de domotique ou encore les badges d’accès. Julien Sobrier a pu observer « dans des études, que dans une banque par exemple, le système réseau pour la climatisation était sur le même réseau que les appareils qui s’occupaient des cartes de crédit ».

A l’image d’une politique de sécurité basique, le premier objectif est donc de recenser l’intégralité de ces objets pour savoir où ils se situent et ainsi pouvoir faire une ségrégation du réseau afin d’éviter qu’ils soient au même niveau que les données sensibles de l’entreprise. Contrairement à un utilisateur lambda qui souhaite accéder au réseau, les objets connectés n’ont pour la plupart aucune forme d’authentification à donner.

Même si pour le moment, aucune attaque de grande ampleur n’a été menée en passant par les objets connectés pour atteindre le cœur des entreprises, Julien Sobrier rappelle que « nous avons pu voir, l’an dernier, des centaines de milliers de réfrigérateurs connectés et autres objets connectés qui envoyaient des spams ».

C’est donc simplement une question de temps avant que les individus malveillants utilisent ces entrées pour s’infiltrer et exfiltrer de la donnée. Par exemple, « il y a 3 ans, des chercheurs ont montré que les télés pouvaient être contrôlées à distance et comme elles possédaient des micros, on pouvait écouter les conversations dans la salle ».

Réagir !

Apporter au monde de l’entreprise une part d’évangélisation est primordial, « la plupart des entreprises, simplement consommatrices de ces objets, ne sont pas forcément au courant qu’ils sont connectés ou même accessibles depuis internet ». Les entreprises n’ont, de manière générale, pas abordé la question de la sécurité concernant ces objets connectés, pourtant il suffit de se rendre compte de ces dizaines, centaines voire ces milliers d’objets rattachés au réseau pour qu’elles y voient et détectent de potentielles vulnérabilités. Encore une fois, la visibilité est le facteur clef.

Pourtant, « ces objets ont un trafic réseau très spécifique, ils peuvent seulement se connecter à une source pour recevoir des mises à jour, ils ne vont faire que du trafic http ou https ». Il suffirait ensuite de faire un système de white list où on autorise le logiciel uniquement à se connecter sur ces sources, au domaine et ce type de trafic.

D’autre part, les constructeurs avec tous les impératifs de temps liés au go-to-market n’ont pour le moment pas encore pris réellement la mesure de cet aspect sécurité même s’il est certain que cela deviendra un paramètre indispensable pour les ventes futures. A l’heure où les voitures deviennent connectées tout comme les pacemakers, les pompes à insuline et autres, les objets connectés ont un impact sur le réel et pourraient devenir un véritable danger pour leurs utilisateurs. La mise en place de mesures ou de contrôles est une urgence. L’idéal serait qu’ « une entreprise certifiée ISO 27001 puisse acheter du matériel lui-même certifié et qu’il y ait une véritable chaîne de certification de l’entreprise aux employés et à tous les objets connectés » conclut Julien Sobrier.
 

Tristan Karache Tristan Karache - Journaliste informatique
Journaliste informatique, spécialiste NTIC en charge de la veille technologique et stratégique IT française et internationale pour http://www.itpro.fr et le mensuel ITPro Magazine.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Découvrez la toute nouvelle revue du Décideur ITDécouvrez la toute nouvelle revue du Décideur ITBénéficiez des analyses, des dossiers et des études exclusives de la nouvelle revue informatique SMART DSI pour comprendre les enjeux, évaluer les perspectives et conduire la transformation numérique de votre entreprise. Le nouveau support d'aide à la décision pour les Décideurs IT.Découvrez la nouvelle revue SMART DSI

Ressources Informatiques

TOP 5 des meilleures pratiques de sécurité IBM I Rien n’est plus sécurisé qu’un IBM i, mais vous n’êtes pas à l’abri des fuites de données et autres compromissions, ce n’est pas parce…
   SMART DSI | 2 pages
Découvrez le Top 5 IBM i
Quelles options pour la gestion et la restauration des données ? De plus en plus, les entreprises donnent la priorité aux solutions qui leur permettent de restaurer facilement, rapidement et en toute flexibilité leurs…
   DCIG for Dell | 2 pages
Le point sur les solutions de sauvegarde
Dell Data Protection Manager en 4 avantages clés Comment réduire au minimum les données de leurs magasins de stockage, optimiser le trafic WAN vers les fournisseurs de stockage sur Cloud public et…
   DCIG for Dell | 2 pages
Découvrez les avantages clés
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Nouvelle Bibliothèque Intel Math Kernel Découvrez comment multiplier par 5 la performance de la reconnaissance vocale avec la bibliothèque Intel® Math Kernel et la plate-forme Euler, la plate…
   Intel | 8 pages
Découvrez le livre blanc
Guide de sécurité des environnements virtuels Ce livre blanc vous aide à identifier le meilleur équilibre entre sécurité et performances pour votre environnement virtuel. La difficulté ? Mettre…
   Kaspersky | 8 pages
Le Guide de sécurité pour les environnements virtuels
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Arnaud Alcabez Arnaud Alcabez Directeur Technique - ABC Systèmes

Olivier Detilleux Olivier Detilleux Architecte Infrastructure

Pascal Creusot Pascal Creusot Electronique et Télécommunications

Vidéos Informatiques

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Les Assises de la Sécurité 2015 : Dirk Geeraerts - GemaltoDirk Geeraerts, Regional Sales Director BeNeLux & Southern Europe pour Gemalto revient…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI