Sécurité et objets connectés (IoT) : une hygiène de base nécessaire

Jean-Christophe Vitu, Professional Service Manager, Europe  du Nord chez CyberArk, explique les dangers que représentent ces nouveaux outils et  ces nouvelles technologies.

« Le Basique de La sécurité »

« Ces outils, ces applications et autres se sont développés très vite pour répondre à des enjeux de business et en fait, on se rend compte que la partie sécurité a généralement été laissée de côté lors du développement de ces différents objets » avance Jean-Christophe Vitu. Contrairement aux BYOD, tablettes, smartphones, pour lesquels les entreprises et les constructeurs ont su faire preuve de maturité et y instaurer des mesures de protection, les objets connectés n’ont pas suffisamment de notions basiques de sécurité, notions souvent délaissées au profit de technologies toujours aux fonctionnalités plus innovantes et élaborées.

Pourtant, pour le spécialiste de la sécurité informatique Jean-Christophe Vitu, la solution est très simple et ne demande que quelques ajustements : « Le basique de la sécurité, c’est assez simple comme le fait d’avoir du chiffrement sur les communications mais aussi des mécanismes d’authentification lorsqu’on va arriver aux consoles d’administration de ces objets. »

Trop souvent, ces objets connectés sont laissés « ouverts » à n’importe qui, n’importe où à cause de mots de passe constructeur par défaut comme « adminadmin ».

Cyber-attaques, une menace réelle

Grosse différence avec les environnements informatiques standards où les principaux risques en cas d’attaque sont des interruptions, des vols de données où purement et simplement des serveurs en panne, les objets connectés qui se sont intégrés dans différents domaines allant de la santé à la logistique en passant par les transports, ont un impact réel.

Jean-Christophe Vitu tire la sonnette d’alarme : « il s’agit peut-être de capteurs utilisés dans l’automobile, pour l’aviation ou dans le domaine de la santé. Imaginez le piratage d’un capteur dans le domaine de la santé pour le dérégler, on peut facilement imaginer les conséquences que cela peut avoir en terme d’impact sur la vie réelle ».

Pour les entreprises, il devient vital de reprendre et d’adopter les bons comportements car cette multitude d’objets connectés représente de véritables failles dans les systèmes pourtant généralement complexes de sécurité.

Par exemple, « on a vu des attaques où les assaillants entraient pour se propager sur des surfaces assez importantes à partir d’outils de télé administration de climatisation ».

Shodan, moteur de recherche recensant n’importe quel type d’équipements connectés à internet, est une véritable base de données sous forme de listing.

Utilisées pas seulement par les éditeurs et développeurs, ces sources permettent « dans le pire des cas d’arriver à prendre le contrôle soit parce qu’il n’y a pas d’authentification, soit une authentification de base constructeur ».

Les attaquants sont de plus en plus imaginatifs, un pirate peut prendre contrôle des freins d’une voiture, dans le cas de la domotique, déverrouiller une maison, ou encore utiliser les caméras de surveillance.

« Ces choses peuvent potentiellement concerner les particuliers, pas seulement les entreprises, il ne faut pas tomber dans la paranoïa côté utilisateurs finaux mais plutôt garantir que les constructeurs mettent en place les mesures adéquates » tient à signaler le Professional Service Manager.

Prévenir ces failles

CyberArk, spécialisée dans les logiciels de sécurité, possède une solution, Privilege Account Security, pour prévenir ces failles.

« En fait, c’est une solution qui est dédiée à la gestion de comptes d’administration que ce soit dans l’environnement informatique habituel ou dans n’importe quel type d’environnement » résume Jean-Christophe Vitu. L’objectif est d’automatiser cette gestion d’authentification des mots de passe avec un changement périodique de ces derniers pour une solution sécurité basique mais nécessaire sans toutefois alourdir le mécanisme.

Complément préventif qui vient s’intégrer aux SIEM puisqu’en cas d’intrusions ou de menaces, la solution possède « un mécanisme de traçabilité et d’alerte de l’enregistrement des opérations qui sont effectuées, ensuite vient une analyse comportementale pour chaque utilisateur ».

Une solution efficace à l’heure où, comme l’explique Jean-Christophe Vitu, « une prise de conscience et une garantie du niveau de la sécurité de base pour tous les différents fournisseurs d’équipements et de services dans le domaine des objets connectés sont essentielles ».