IoT, La sécurité des entreprises chahutée par les objets connectés

Jean-Philippe Sanchez, consultant sécurité chez NetIQ donne quelques conseils  pour introduire les objets connectés en toute sécurité.

l’Internet des objets :  nouvelle bête noire des rssi

Après avoir géré l’arrivée du BYOD, les DSI et/ou Responsables de la Sécurité des Systèmes d’Information (RSSI) doivent aujourd’hui faire face à celle des objets connectés. Une invasion qui, à l’instar du BYOD, ne va pas sans soulever la problématique de sécurité.

En juin dernier, des journalistes de Rue89 révélaient que grâce à Shodan (moteur de recherche répertoriant les objets connectés dans les entreprises et chez les particuliers), ils s’étaient connectés à des caméras de surveillance, des imprimantes et des climatiseurs installés dans les entreprises et chez des particuliers.

Ils ont pu ainsi observer une femme devant son ordinateur, une boutique de vêtements, un bureau de tabac, une piscine publique. Pour Jean-Philippe Sanchez ces objets connectés constituent donc une porte ouverte sur l’entreprise. «Un collaborateur qui place dans son bureau un objet aussi anodin qu’un thermomètre connecté, peut permettre à une personne extérieure d’avoir un point d’accès à l’entreprise. Cette personne peut, ensuite, utiliser ce vecteur d’attaque pour tenter d’accéder aux informations locales ou profiter de ce support pour procéder à des attaques de type déni de services vers des sites extérieurs ». Aujourd’hui, les hackers disposent de nombreux outils de type virus, cheval de Troie, malware, ou encore failles de sécurité pour infecter la grande majorité des objets connectés.

Informer de la présence  d’objets connectés

Que faire face à de type de danger ? Selon Jean-Philippe Sanchez, l’entreprise peut adopter plusieurs attitudes. « Elle peut, par exemple, faire le choix d’interdire l’introduction de ces objets connectés dans leur enceinte ». Une stratégie tentée par certaines entreprises avec les messageries personnelles, les centres de stockage dans le Cloud et depuis peu, le BYOD, mais qui, au regard de l’explosion des messageries personnelles, de l’utilisation des smartphones et des tablettes a finalement échoué.

Pour lui il est donc préférable d’agir à deux niveaux : déployer des solutions de détection et de prévention d’intrusion (IDS et IPS) et sensibiliser les collaborateurs aux problématiques de sécurité. « Les entreprises peuvent, par exemple, exiger des collaborateurs qu’ils déclarent à la DSI ou au RSSI, la présence de tout objet connecté dans l’enceinte de l’entreprise. Une déclaration qui est simple dans le cas d’un thermomètre ou de toutes autres sondes, mais qui s’avère nettement plus délicate lorsqu’il s’agit d’un vêtement connecté ou d’une montre » reconnaît JeanPhilippe Sanchez. D’où l’impératif de déployer des solutions de détection d’intrusion et d’avoir une approche plus large de gouvernance de la sécurité.

Déployer un système de détection d’intrusion

Avec sa solution de supervision de sécurité Sentinel, NetIQ centralise les logs des équipements de sécurité, des OS et des applications et, fournit un tableau de bord des incidents. « Une solution qui peut être complétée par la mise en place d’un système de prévention (IPS). Celui-ci permettra alors d’être proactif et d’intervenir avant la détection du dysfonctionnement » souligne Jean-Philippe Sanchez.

Une chose est sûre. Avec les 26 milliards d’objets connectés à l’horizon 2020 (source Gartner) les entreprises devront rapidement se préoccuper de leur sécurité. Car à l’instar du Cloud et du BYOD, elles ne pourront longtemps résister à l’invasion de ces objets connectés.