Protéger les entreprises des appareils connectés « grand public »

twisted-spiked-wrought-iron-fence

Les DSI font face à de nombreux défis en essayant de mettre en œuvre la technologie de l’Internet des objets (IoT) dans leurs réseaux. Ce sont des défis qui ne peuvent être évités ou différés, car le nombre d’appareils IoT en service dans le monde devrait plus que tripler pour atteindre les 75,4 milliards en 2025 contre 23,1 en 2018.

En plus de l’intégration et de la gestion des appareils IoT (qui peuvent se compter par milliers dans les grandes entreprises), ces professionnels doivent assurer au mieux la sécurité de ces appareils. Ce n’est pas tâche facile étant donné que de nombreux dispositifs IoT sont relativement nouveaux et non testés.

En outre, comme le souligne l’Online Trust Alliance (OTA), les objets connectés « grand public » tels que les téléviseurs intelligents, les thermostats, les haut-parleurs intelligents, les bracelets connectés et d’autres appareils sont désormais régulièrement utilisés dans les entreprises, soit achetés par le personnel soit amenés par les employés eux-mêmes.

Comme le savent très bien les professionnels responsables de l’informatique, ces appareils « grand public » n’incluent pas toujours le même niveau de sécurité que les appareils d’entreprise. Selon l’OTA :

Alors que certains produits connectés sont conçus avec une sécurité renforcée, beaucoup ont une interface utilisateur simple ou inexistante, des mots de passe par défaut (ou codés en dur), des ports matériels et logiciels ouverts, une protection limitée par mot de passe local, des actualisations irrégulières, des appels à domicile réguliers, une collecte de données plus importante que prévue et une utilisation de services « back-end » non sécurisés.

Cela fait désordre au niveau de la sécurité ! En effet, ce type de failles de sécurité peut entraîner un accès non autorisé aux réseaux d’entreprise, une surveillance non souhaitée (via les microphones et les caméras) et des attaques sur les systèmes et services de l’entreprise.

Heureusement, l’OTA a élaboré une excellente liste des meilleures pratiques pour l’utilisation de l’Internet des objets dans les entreprises (pdf). La liste comprend 10 points englobant l’ensemble du cycle de vie d’un objet connecté, depuis la mise en marche jusqu’à sa fin de vie.

L’OTA cite plusieurs « concepts de base » qui étayent cette liste :

  • Les entreprises devraient être proactives et prendre pleinement conscience des risques éventuels introduits par ces dispositifs.
  • Les responsables informatiques doivent comprendre que les périphériques IoT sont probablement plus vulnérables que les périphériques informatiques traditionnels.
  • Il est impératif que les entreprises sensibilisent les utilisateurs sur les risques des objets connectés.
  • Un juste équilibre doit être trouvé entre ce contrôle des objets connectés et l’officialisation d’une « shadow IoT ».

Ce dernier point implique généralement quelques essais et erreurs. Malgré tout et dans l’ensemble, ces recommandations et principes de sécurisation des périphériques IoT au sein de l’entreprise devraient sembler familiers aux professionnels de l’informatique qui ont l’habitude de suivre les recommandations de sécurité concernant d’autres aspects du réseau tels que les appareils mobiles, les bases de données et les réseaux sans fil. Cela passe véritablement par la sensibilisation, l’éducation, la planification et le suivi.

Auteur : Chris Nerney 

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: