Loading

Sécurité des objets connectés, une affaire de visibilité

https://www.flickr.com/photos/a_t_ljungberg/1378558999/

Alors que le cabinet Gartner prévoit 20 millions d’objets connectés en 2020, la question de la sécurité prend une dimension de plus en plus importante. Julien Sobrier, Product Manager chez Zscaler, apporte quelques précisions sur le sujet…

Zscaler, entreprise américaine basée en Californie, permet de sécuriser les flux internet des utilisateurs et ce, intégralement par le biais du Cloud sans avoir à installer une appliance ou un software. Le but étant pour l’administrateur de créer, à l’aide d’une simple interface dédiée, sa propre politique de sécurité et de pouvoir bénéficier d’une visibilité sur l’ensemble de ses utilisateurs en temps réel dans le monde entier. Comme pour le BYOD, les organisations cherchent à développer un outil de détection des objets connectés dans le périmètre du réseau de l’entreprise pour offrir une couche sécurité.

Visibilité étant mère de sûreté

Selon Julien Sobrier, « l’un des gros problèmes, c’est d’avoir une vue d’ensemble de tous les objets connectés et de l’endroit où ils sont situés dans le réseau ». En effet, les entreprises n’ont pas encore conscience de la multitude d’objets qui peuvent se connecter au réseau comme la photocopieuse, les smart TV, les systèmes de climatisation et autres éléments de domotique ou encore les badges d’accès. Julien Sobrier a pu observer « dans des études, que dans une banque par exemple, le système réseau pour la climatisation était sur le même réseau que les appareils qui s’occupaient des cartes de crédit ».

A l’image d’une politique de sécurité basique, le premier objectif est donc de recenser l’intégralité de ces objets pour savoir où ils se situent et ainsi pouvoir faire une ségrégation du réseau afin d’éviter qu’ils soient au même niveau que les données sensibles de l’entreprise. Contrairement à un utilisateur lambda qui souhaite accéder au réseau, les objets connectés n’ont pour la plupart aucune forme d’authentification à donner.

Même si pour le moment, aucune attaque de grande ampleur n’a été menée en passant par les objets connectés pour atteindre le cœur des entreprises, Julien Sobrier rappelle que « nous avons pu voir, l’an dernier, des centaines de milliers de réfrigérateurs connectés et autres objets connectés qui envoyaient des spams ».

C’est donc simplement une question de temps avant que les individus malveillants utilisent ces entrées pour s’infiltrer et exfiltrer de la donnée. Par exemple, « il y a 3 ans, des chercheurs ont montré que les télés pouvaient être contrôlées à distance et comme elles possédaient des micros, on pouvait écouter les conversations dans la salle ».

Réagir !

Apporter au monde de l’entreprise une part d’évangélisation est primordial, « la plupart des entreprises, simplement consommatrices de ces objets, ne sont pas forcément au courant qu’ils sont connectés ou même accessibles depuis internet ». Les entreprises n’ont, de manière générale, pas abordé la question de la sécurité concernant ces objets connectés, pourtant il suffit de se rendre compte de ces dizaines, centaines voire ces milliers d’objets rattachés au réseau pour qu’elles y voient et détectent de potentielles vulnérabilités. Encore une fois, la visibilité est le facteur clef.

Pourtant, « ces objets ont un trafic réseau très spécifique, ils peuvent seulement se connecter à une source pour recevoir des mises à jour, ils ne vont faire que du trafic http ou https ». Il suffirait ensuite de faire un système de white list où on autorise le logiciel uniquement à se connecter sur ces sources, au domaine et ce type de trafic.

D’autre part, les constructeurs avec tous les impératifs de temps liés au go-to-market n’ont pour le moment pas encore pris réellement la mesure de cet aspect sécurité même s’il est certain que cela deviendra un paramètre indispensable pour les ventes futures. A l’heure où les voitures deviennent connectées tout comme les pacemakers, les pompes à insuline et autres, les objets connectés ont un impact sur le réel et pourraient devenir un véritable danger pour leurs utilisateurs. La mise en place de mesures ou de contrôles est une urgence. L’idéal serait qu’ « une entreprise certifiée ISO 27001 puisse acheter du matériel lui-même certifié et qu’il y ait une véritable chaîne de certification de l’entreprise aux employés et à tous les objets connectés » conclut Julien Sobrier.
 

Tristan Karache Tristan Karache - Journaliste informatique
Journaliste informatique, spécialiste NTIC en charge de la veille technologique et stratégique IT française et internationale pour http://www.itpro.fr et le mensuel ITPro Magazine.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Comment contrer la compromission d’identité ?Comment contrer la compromission d’identité ?La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles et Web, la surface d’attaque ne fait qu’augmenter. Découvrez en détail les technologies leader pour sécuriser les identités et les accès.Téléchargez le livre blanc

Ressources Informatiques

Guide de Meilleures pratiques en matière de mobilité d’entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Téléchargez le livre blanc
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
BYOD : Guide des meilleures pratiques en entreprise Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé les interactions entre les collaborateurs. Encore faut-il que l’entre¬prise…
   HPE Aruba | 4 pages
Découvrez votre Guide de Stratégie Mobile
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Loïc Thobois Loïc Thobois CTO. Administrateur Avaedos

Patrick Thomas Patrick Thomas Formateur indépendant IBM i

Olivier Detilleux Olivier Detilleux Architecte Infrastructure

Vidéos Informatiques

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI