‘Internet des objets’ ou ‘Internet des ennuis’?
Ne laissez pas les cybercriminels aller et venir à leur guise au sein de votre entreprise
Grâce à l’Internet des objets ou IdO, toutes sortes d’appareils intelligents peuvent communiquer entre eux, ce qui ouvre la voie à d’innombrables opportunités mais également à de nombreux ennuis de sécurité. Que votre entreprise soit fortement sécurisée ou non, il suffit d’un seul petit capteur qui ne soit pas protégé convenablement pour que les portes de votre entreprise soient grandes ouvertes. Faut-il dès lors bannir l’Internet des objets ? Ou est-il possible de tirer parti de la technologie de manière responsable ? Kwinten Volckaert, Applications Manager chez Nextel, et Bart Van den Branden, Business Development Manager chez Telenet, nous montrent dans le cadre de Beltug X-change comment l’Internet des objets peut être utilisé en toute sécurité en évitant quelques erreurs courantes et en recourant aux meilleures pratiques.
Kwinten Volckaert, Mobile Applications Manager chez Nextel, et Bart Van den Branden, Business Development Manager IoT chez Telenet
Un contrôle d’accès entièrement automatisé qui permet un accès aisé et efficace au site de l’entreprise, beaucoup d’entreprises en rêvent mais préfèrent y renoncer lorsqu’elles pensent à tout ce qui pourrait aller mal en cas de problème de sécurité du système. Et si la barrière était piratée ? Et si les images de vidéosurveillance étaient suivies en direct sur l’un ou l’autre site web malveillant ? N’est-il pas plus sûr, tout compte fait, de s’en tenir au bon vieux système traditionnel ?
Une ‘Lara’ numérique pour le contrôle d’accès
Volys, une entreprise de Lendelede en Flandre occidentale, était d’un autre avis et pensait qu’il était grand temps d’initier la transformation digitale au sein de l’entreprise. Ce spécialiste des produits à base de poulet et de dinde a connu une forte expansion au cours de ces dix dernières années : l’entreprise compte désormais quelque 400 travailleurs. Mais cette croissance a également d’importantes répercussions au niveau local. Les clients et les fournisseurs entrent et sortent en permanence, ce qui provoque de nombreux embarras, notamment de circulation, pour le voisinage.
Pour remédier à ces problèmes, Nextel a proposé une solution à Volys lui permettant de donner accès aux personnes et aux véhicules de manière digitale, contrôlée et sûre. Le système qui est utilisé depuis quatre mois est un véritable succès. Les visiteurs doivent se présenter au préalable à la nouvelle collègue digitale, ‘Lara’, pour pouvoir accéder au site de l’entreprise. Grâce à la reconnaissance des plaques minéralogiques, la procédure est rapide, ce qui permet de réduire les temps d’attente et les embouteillages.
Le cas de Volys montre clairement que l’Internet des objets peut contribuer à simplifier et à améliorer les processus d’entreprise. Pourtant, de nombreuses entreprises rechignent à l’introduire en leur sein. À cause des nombreux récits ‘catastrophe’ et autres histoires malheureuses qui ont circulé, bon nombre d’entreprises croient encore que l’Internet des objets n’est pas sûr et qu’elles pourraient perdre toutes leurs données en deux temps trois mouvements. Ou qu’elles pourraient ainsi donner la possibilité aux cybercriminels d’aller et venir à leur guise en leur sein.
Ces récits malheureux doivent être nuancés. Il est clair qu’il y a des risques. Mais lorsque l’on connaît les erreurs à éviter, l’on peut s’éviter bien des ennuis. Aussi avons-nous décidé de récapituler ci-après les principaux risques existants.
Pour un meilleur Internet des objets (IdO), il y a trois éléments essentiels dont il faut tenir compte : l’appareil, le réseau et l’application.
Dumping des prix et piratage
Ceux qui achètent un appareil intelligent bon marché en ligne ont tout intérêt à se méfier. Les fabricants qui écoulent des appareils à prix de dumping sur le marché ne se soucient pas toujours de la sécurité. Il vaut mieux opter pour des appareils certifiés pour lesquels les fournisseurs entretiennent des contacts étroits avec les fabricants ou dont la réputation est fiable.
Vu que l’Internet des objets est en perpétuelle évolution, il nous arrive souvent de devoir investir dans un nouveau système. Il est primordial de pouvoir en évaluer les risques en amont et de faire appel à un pirate éthique qui en vérifiera la sécurité. Il pourra par exemple contrôler si des cybercriminels peuvent envoyer de fausses informations à l’appareil et/ou si les différents appareils partagent le même mot de passe WIFI de manière sûre.
Ainsi, l’année dernière, nous avons pu découvrir des images de milliers de caméras de surveillance, réparties dans le monde entier, en direct sur la Toile parce que ces caméras n’étaient pas suffisamment bien protégées. Vous pouviez même rechercher les coordonnées exactes de ces caméras, ce qui permettait non seulement aux cybercriminels mais aussi aux voleurs de s’en donner à coeur joie.
Un réseau à toute épreuve
Le réseau doit lui aussi présenter une sécurité irréprochable. Il est possible de réutiliser facilement et rapidement l’actuel réseau wifi de l’entreprise pour implémenter toutes les applications interconnectées, mais ce faisant, vous simplifiez vraiment la vie des cybercriminels. En effet, il suffit d’un seul appareil piraté pour contaminer les autres appareils et ainsi nuire à une grande partie de l’infrastructure de l’entreprise. Depuis la cyberattaque du malware Mirai qui a touché et contaminé quelque 600 000 objets connectés et a bloqué le Web, de nombreuses nouvelles variantes ont vu le jour.
Aussi vaut-il mieux opter pour un réseau OT (technologie opérationnelle) ou un réseau VPN/APN (Virtual Private Network/Access Point Name). Un réseau OT vous permet de diviser le réseau en différents segments ou zones virtuels pour limiter la propagation d’un virus éventuel. Un réseau VPN/APN vous donne accès à un tunnel sécurisé par lequel les données peuvent transiter de manière sûre sans que les intrus malveillants ne sachent de qui proviennent ces données ni où elles sont envoyées.
Sur mesure
Il reste enfin le logiciel ou l’application qui doit également être convenablement sécurisé. C’est effectivement par ce biais qu’ont lieu la plupart des intrusions. Vous pouvez choisir une application intégrée, dans lequel cas le capteur est livré avec la plateforme qui permet d’assurer la gestion et le suivi. Mais vous n’avez alors aucun contrôle sur les données, vous ne savez pas où celles-ci sont sauvegardées ni qui y a accès. Il vaut donc mieux opter pour une solution de développement sur mesure. Cela prendra peut-être plus de temps, mais vous saurez au moins où se trouvent vos données et qui peut les consulter. Une autre manière encore plus sûre de procéder consiste à travailler sur mesure en utilisant un modèle existant. Vous développez une solution sur mesure tout en utilisant des éléments standard déjà maintes fois testés, ce qui permet d’accélérer la phase de développement.
Il est impossible d’ignorer ni de freiner le développement de l’Internet des objets. Mais il est clair qu’il ne faut pas sous-estimer l’aspect sécurité. En évitant les erreurs courantes et en comprenant les risques qui y sont liés, les récits malheureux peuvent être plus facilement remis dans leur contexte. Investissez suffisamment dans la sécurité ainsi que dans l’expertise d’un spécialiste. Enfin, accordez la même attention à votre réseau internet qu’à votre réseau électrique ou de gaz. Vous ne les installez effectivement pas chez vous sans l’expertise requise.