Coup de chaud en perspective pour certains secteurs industriels. Lors de la conférence DEFCON 2016, la grand-messe des hackers, des experts de Pen Test Partners ont pris le contrôle à distance d’un thermostat intelligent. On passera sur les détails techniques de cette infiltration. Le plus inquiétant est sa conséquence : après avoir pris le contrôle de ce dispositif ils ont contacté la victime en lui indiquant qu’elle devait payer une rançon sinon ils augmenteraient des fortement la température de la salle en question…
Heureusement, il s’agissait d’un captif fictif visant à démontrer les lacunes en termes de sécurité de la majorité des capteurs et autres objets connectés.
Pour les entreprises, la multiplication de ce type de démonstration complique leurs problématiques de sécurité. Mal protégé, voire pas du tout conçu pour résister à, la moindre infiltration logicielle ou physique, un objet connecté peut se transformer en point d’accès au réseau informatique de l’entreprise. Il est aisé d’imaginer la suite…
Pour mémoire, Target (l’équivalent de Carrefour aux États-Unis) a été victime d’un important piratage de carets bancaires de ses millions de clients. Pour arriver à leurs fins, les pirates ont étudié minutieusement la cartographie du réseau informatique de cette de magasins. Ils ont fait une surprise étonnante : le système de ventilation et de climatisation était relié aux… caisses enregistreuses, celles là même où étaient stockées des données bancaires.
Former les salariés
Il est donc urgent de se préoccuper de la sécurité de l’IoT (Internet of Things), car en 2020, 20,8 milliards d’objets connectés devraient être répartis dans le monde. Quatre fois plus qu’en 2016 ! « Le problème, c’est que le marché des objets connectés est concurrentiel, et que les entreprises veulent aller vite. Dès qu’ils sentent qu’un produit peut faire un carton, le marketing devient la priorité et la sécurité des systèmes passe au second plan. Et malheureusement, les industriels attendent souvent de subir des cyberattaques pour se pencher sur le problème », explique Vincent Roquet, qui travaille dans la branche cybersécurité d’EY, un cabinet spécialisé en audits et conseils.
De son côté, Évelyne Raby, à la tête de la start-up française CybelAngel, précise : « avec l’augmentation du nombre d’objets connectés et leur diversité, se mettre à la page est très compliqué pour des entrepreneurs déjà perdus. Cette complexité retarde l’ensemble de la prise de conscience et le moment où l’on se penche dessus. »
A contrario, si demain une entreprise devient le Microsoft de l’IoT ce sera aussi pain bénit pour les pirates ; ils ne devront focaliser leur attention que sur une cible.
« L’erreur est humaine et les humains sont souvent le point faible de la sécurité informatique, explique Évelyne Raby. Il faut apporter une attention particulière aux prestataires extérieurs. Ils sont les plus à même de compromettre la sécurité des objets connectés de par leur manque d’encadrement par l’entreprise. »
Philippe Richard
Dans l'actualité
- Assurance et objets connectés : surveillance ou assistance ?
- Zoom sur… les objets connectés pour le transport
- Objets connectés : à quoi ressemblera le futur ?
- Google réfléchit à utiliser les objets connectés comme de nouveaux supports publicitaires
- Moona, l’objet connecté anti-insomnie
- Une énorme armée d’objets connectés en marche !
- L’Intelligence artificielle au secours de la sécurité informatique
- Cette serrure s’ouvre à l’aide d’une clé lumineuse
- La RSE des grands groupes vue par les Français
- Hackers éthiques et emploi : 11% d’augmentation mais un poste peu accessible
- FIC 2019 : des menaces de plus en plus complexes
- Dispositifs médicaux et piratage : il y a urgence
Dans les ressources documentaires