Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Généralisation des terminaux IoT : un défi de sécurité que les entreprises doivent relever

décembre 2017 par Frédéric Bénichou, Directeur Régional Europe du Sud de SentinelOne

La déferlante de l’« Internet des objets » (ou
IoT) bat son plein. Cette catégorie émergente de terminaux numériques s’appuie
sur les capacités des smartphones sans nécessiter d’intervention humaine
directe. Programmés pour interagir avec d’autres terminaux, ces outils
automatisent la réalisation de tâches ordinaires, laissant ainsi leurs
propriétaires humains se concentrer sur des objectifs plus importants. À mesure
que de nouveaux terminaux IoT sont déployés, le maintien de la sécurité sur
chaque terminal devient un défi de plus en plus ardu à relever.

Une croissance mondiale spectaculaire année après année

Si on reprend les principaux chiffres de Gartner, Le nombre de terminaux IoT a
progressé de plus de 30 % depuis 2016, atteignant ainsi le chiffre record de 8,4
milliards de terminaux utilisés dans le monde en 2017. Gartner prédit que ce
chiffre sera quasiment multiplié par trois à l’horizon 2020, soit plus de 20
milliards d’objets connectés ! Les applications dans le secteur des biens de
consommation arrivent en deuxième position derrière l’industrie automobile pour
le nombre d’instances IoT, le prix des objets « autonomes » chutant tandis que
leur popularité augmente.

Le défi ? La plupart des terminaux IoT étant livrés sans ou avec très peu de
fonctionnalités de sécurité intégrées, chacun de ces milliards d’objets
représente autant de vulnérabilités exploitées par les hackers pour compromettre
des opérations en principe sécurisées de l’entreprise.

Les risques aussi sont décuplés

Trois régions concentrent à elles seules les deux tiers de ces appareils
connectés utilisés dans le monde : l’Amérique du Nord, l’Europe de l’Ouest
et la Chine (cette dernière jouant un rôle plutôt trouble). Des événements
récents ont en effet mis au jour l’inclusion, possiblement intentionnelle,
d’une « porte dérobée » masquée dans des terminaux IoT fabriqués par un
constructeur chinois. Or, non seulement cette vulnérabilité permet au fabricant de
continuer à accéder au terminal, mais elle pourrait aussi laisser la porte ouverte
à d’autres intrusions et exploitations.

Contacté par les chercheurs ayant découvert la faille, le fabricant a opté pour
la dissimulation de la porte dérobée plus profondément dans la programmation
avant de cesser purement et simplement de répondre aux sollicitations. Il ne
s’agit malheureusement pas d’un incident isolé. Ces portes dérobées sont
souvent le prétexte à une « administration à distance », mais peuvent
occasionnellement servir à des fins moins nobles.

Le défi est accentué par la généralisation de la tendance BYOD (« Bring Your
Own Device »), qui consiste à autoriser les employés à utiliser leur terminal
personnel dans un contexte professionnel. Si cette solution s’avère à la fois
pratique et économique (l’employeur n’ayant plus à débourser le coût de
chaque équipement technologique), il faut savoir que chaque terminal individuel
connecté représente une faille de plus dans l’environnement informatique de
l’entreprise.

En outre, la mise en place de contrôles professionnels sur des terminaux personnels
ajoute deux difficultés supplémentaires à la question. La première est que
réduire l’accès des employés à leurs outils technologiques de prédilection
risquerait d’être contre-productif. La seconde vient du constat que faire reposer
la sécurité des terminaux sur le comportement individuel de chaque employé
revient à mesurer la sécurité de l’entreprise à l’aune de son utilisateur le
moins sécurisé.

Par conséquent, les entreprises qui s’intéressent aux opportunités soulevées
par le BYOD et/ou l’IoT doivent mettre au point un système qui sécurise chaque
terminal susceptible d’entrer en contact avec leur réseau.

Conclusion

Une stratégie de sécurité appropriée inclura tous les aspects de
l’environnement numérique. Les entreprises devraient au moins évaluer leur
profil de risque existant et clarifier l’étendue des mesures de sécurité déjà
opérationnelles, la question n’étant pas de savoir si des vulnérabilités
existent, mais bien de repérer leur emplacement. L’IoT décuple les risques
encourus sur tous les environnements informatiques des entreprises. Les sociétés
qui se soucient de la sécurité doivent envisager d’investir dans des procédures
et logiciels de sécurité complets si elles ne veulent pas devenir le prochain « 
exemple à ne pas suivre » du marché mondial.


Voir les articles précédents

    

Voir les articles suivants