Loading

Sécurité des objets connectés, une affaire de visibilité

https://www.flickr.com/photos/a_t_ljungberg/1378558999/

Alors que le cabinet Gartner prévoit 20 millions d’objets connectés en 2020, la question de la sécurité prend une dimension de plus en plus importante. Julien Sobrier, Product Manager chez Zscaler, apporte quelques précisions sur le sujet…

Zscaler, entreprise américaine basée en Californie, permet de sécuriser les flux internet des utilisateurs et ce, intégralement par le biais du Cloud sans avoir à installer une appliance ou un software. Le but étant pour l’administrateur de créer, à l’aide d’une simple interface dédiée, sa propre politique de sécurité et de pouvoir bénéficier d’une visibilité sur l’ensemble de ses utilisateurs en temps réel dans le monde entier. Comme pour le BYOD, les organisations cherchent à développer un outil de détection des objets connectés dans le périmètre du réseau de l’entreprise pour offrir une couche sécurité.

Visibilité étant mère de sûreté

Selon Julien Sobrier, « l’un des gros problèmes, c’est d’avoir une vue d’ensemble de tous les objets connectés et de l’endroit où ils sont situés dans le réseau ». En effet, les entreprises n’ont pas encore conscience de la multitude d’objets qui peuvent se connecter au réseau comme la photocopieuse, les smart TV, les systèmes de climatisation et autres éléments de domotique ou encore les badges d’accès. Julien Sobrier a pu observer « dans des études, que dans une banque par exemple, le système réseau pour la climatisation était sur le même réseau que les appareils qui s’occupaient des cartes de crédit ».

A l’image d’une politique de sécurité basique, le premier objectif est donc de recenser l’intégralité de ces objets pour savoir où ils se situent et ainsi pouvoir faire une ségrégation du réseau afin d’éviter qu’ils soient au même niveau que les données sensibles de l’entreprise. Contrairement à un utilisateur lambda qui souhaite accéder au réseau, les objets connectés n’ont pour la plupart aucune forme d’authentification à donner.

Même si pour le moment, aucune attaque de grande ampleur n’a été menée en passant par les objets connectés pour atteindre le cœur des entreprises, Julien Sobrier rappelle que « nous avons pu voir, l’an dernier, des centaines de milliers de réfrigérateurs connectés et autres objets connectés qui envoyaient des spams ».

C’est donc simplement une question de temps avant que les individus malveillants utilisent ces entrées pour s’infiltrer et exfiltrer de la donnée. Par exemple, « il y a 3 ans, des chercheurs ont montré que les télés pouvaient être contrôlées à distance et comme elles possédaient des micros, on pouvait écouter les conversations dans la salle ».

Réagir !

Apporter au monde de l’entreprise une part d’évangélisation est primordial, « la plupart des entreprises, simplement consommatrices de ces objets, ne sont pas forcément au courant qu’ils sont connectés ou même accessibles depuis internet ». Les entreprises n’ont, de manière générale, pas abordé la question de la sécurité concernant ces objets connectés, pourtant il suffit de se rendre compte de ces dizaines, centaines voire ces milliers d’objets rattachés au réseau pour qu’elles y voient et détectent de potentielles vulnérabilités. Encore une fois, la visibilité est le facteur clef.

Pourtant, « ces objets ont un trafic réseau très spécifique, ils peuvent seulement se connecter à une source pour recevoir des mises à jour, ils ne vont faire que du trafic http ou https ». Il suffirait ensuite de faire un système de white list où on autorise le logiciel uniquement à se connecter sur ces sources, au domaine et ce type de trafic.

D’autre part, les constructeurs avec tous les impératifs de temps liés au go-to-market n’ont pour le moment pas encore pris réellement la mesure de cet aspect sécurité même s’il est certain que cela deviendra un paramètre indispensable pour les ventes futures. A l’heure où les voitures deviennent connectées tout comme les pacemakers, les pompes à insuline et autres, les objets connectés ont un impact sur le réel et pourraient devenir un véritable danger pour leurs utilisateurs. La mise en place de mesures ou de contrôles est une urgence. L’idéal serait qu’ « une entreprise certifiée ISO 27001 puisse acheter du matériel lui-même certifié et qu’il y ait une véritable chaîne de certification de l’entreprise aux employés et à tous les objets connectés » conclut Julien Sobrier.
 

Tristan Karache Tristan Karache - Journaliste informatique
Journaliste informatique, spécialiste NTIC en charge de la veille technologique et stratégique IT française et internationale pour http://www.itpro.fr et le mensuel ITPro Magazine.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Boostez le développement d’applications dans AzureBoostez le développement d’applications dans AzureDécouvrez les différents scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme disponibles sur Microsoft Azure. Apprenez comment utiliser rapidement toute l'étendue de la plateforme Azure et ses services selon le type d’application.Démarrez maintenant !

Ressources Informatiques

Guide Machine learning et Big Data pour démarrer Les technologies de Machine Learning, Big Data et intelligence artificielle ne sont pas réservées aux géants du Web. Cependant, il est souvent difficile…
   Inside Loop - Intel | 8 pages
Découvrez votre guide IA
Guide de services Azure pour développement d’applications Ce guide détaille divers scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme…
   Microsoft | 40 pages
Découvrez votre Guide Azure
BYOD : Guide des meilleures pratiques en entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Découvrez les meilleures pratiques !
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Nicolas Milbrand Nicolas Milbrand Consultant Microsoft indépendant

Freddy Elmaleh Freddy Elmaleh Consultant freelance

Tristan Karache Tristan Karache Journaliste informatique

Vidéos Informatiques

Comment optimiser la gestion énergétique des salles informatiques avec Eaton et Misco inmac wstoreComment assurer la maîtrise et optimiser durablement la gestion énergétique des…Par Itpro

Comment maîtriser le droit à la déconnexion avec Promodag ReportsDans un monde ultra-connecté et de plus en plus régi par l'immédiateté, la déconnexion…Par Itpro

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI