Sécurité des objets connectés, une affaire de visibilité

Zscaler, entreprise américaine basée en Californie, permet de sécuriser les flux internet des utilisateurs et ce, intégralement par le biais du Cloud sans avoir à installer une appliance ou un software. Le but étant pour l’administrateur de créer, à l’aide d’une simple interface dédiée, sa propre politique de sécurité et de pouvoir bénéficier d’une visibilité sur l’ensemble de ses utilisateurs en temps réel dans le monde entier. Comme pour le BYOD, les organisations cherchent à développer un outil de détection des objets connectés dans le périmètre du réseau de l’entreprise pour offrir une couche sécurité.

Visibilité étant mère de sûreté

Selon Julien Sobrier, « l’un des gros problèmes, c’est d’avoir une vue d’ensemble de tous les objets connectés et de l’endroit où ils sont situés dans le réseau ». En effet, les entreprises n’ont pas encore conscience de la multitude d’objets qui peuvent se connecter au réseau comme la photocopieuse, les smart TV, les systèmes de climatisation et autres éléments de domotique ou encore les badges d’accès. Julien Sobrier a pu observer « dans des études, que dans une banque par exemple, le système réseau pour la climatisation était sur le même réseau que les appareils qui s’occupaient des cartes de crédit ».

A l’image d’une politique de sécurité basique, le premier objectif est donc de recenser l’intégralité de ces objets pour savoir où ils se situent et ainsi pouvoir faire une ségrégation du réseau afin d’éviter qu’ils soient au même niveau que les données sensibles de l’entreprise. Contrairement à un utilisateur lambda qui souhaite accéder au réseau, les objets connectés n’ont pour la plupart aucune forme d’authentification à donner.

Même si pour le moment, aucune attaque de grande ampleur n’a été menée en passant par les objets connectés pour atteindre le cœur des entreprises, Julien Sobrier rappelle que « nous avons pu voir, l’an dernier, des centaines de milliers de réfrigérateurs connectés et autres objets connectés qui envoyaient des spams ».

C’est donc simplement une question de temps avant que les individus malveillants utilisent ces entrées pour s’infiltrer et exfiltrer de la donnée. Par exemple, « il y a 3 ans, des chercheurs ont montré que les télés pouvaient être contrôlées à distance et comme elles possédaient des micros, on pouvait écouter les conversations dans la salle ».

Réagir !

Apporter au monde de l’entreprise une part d’évangélisation est primordial, « la plupart des entreprises, simplement consommatrices de ces objets, ne sont pas forcément au courant qu’ils sont connectés ou même accessibles depuis internet ». Les entreprises n’ont, de manière générale, pas abordé la question de la sécurité concernant ces objets connectés, pourtant il suffit de se rendre compte de ces dizaines, centaines voire ces milliers d’objets rattachés au réseau pour qu’elles y voient et détectent de potentielles vulnérabilités. Encore une fois, la visibilité est le facteur clef.

Pourtant, « ces objets ont un trafic réseau très spécifique, ils peuvent seulement se connecter à une source pour recevoir des mises à jour, ils ne vont faire que du trafic http ou https ». Il suffirait ensuite de faire un système de white list où on autorise le logiciel uniquement à se connecter sur ces sources, au domaine et ce type de trafic.

D’autre part, les constructeurs avec tous les impératifs de temps liés au go-to-market n’ont pour le moment pas encore pris réellement la mesure de cet aspect sécurité même s’il est certain que cela deviendra un paramètre indispensable pour les ventes futures. A l’heure où les voitures deviennent connectées tout comme les pacemakers, les pompes à insuline et autres, les objets connectés ont un impact sur le réel et pourraient devenir un véritable danger pour leurs utilisateurs. La mise en place de mesures ou de contrôles est une urgence. L’idéal serait qu’ « une entreprise certifiée ISO 27001 puisse acheter du matériel lui-même certifié et qu’il y ait une véritable chaîne de certification de l’entreprise aux employés et à tous les objets connectés » conclut Julien Sobrier.