Sécuriser les objets connectés, un enjeu crucial

En hausse constante ces dernières années, le nombre d’objets connectés dans le monde devrait atteindre les 30 milliards en 2020. Une telle prolifération pose inévitablement la question de la sécurisation des données qu’ils collectent. En particulier pour les entreprises lorsqu’il s’agit de données stratégiques.

Qu’il s’agisse de ceux dédiés à l’usage privé, ceux déployés dans l’espace public ou encore ceux utilisés par les entreprises, les objets connectés – ou Internet of Things (IoT) – se sont progressivement imposés comme une technologie incontournable ces dernières années. D’après une étude de l’Idate (Institut de l’audiovisuel et des télécommunications en Europe) diffusée récemment par l’Ademe, il y en aurait ainsi 15 milliards actuellement en circulation dans le monde. Soit plus que le nombre total d’ordinateurs construits depuis les débuts de l’informatique ! Et les analystes prévoient que ce chiffre augmente de façon croissante dans le courant de la prochaine décennie.

Les données, talon d’Achille des objets connectés

Balance connectée, Apple Watch, voiture autonome ou simple Smartphone, tous ces appareils collectent en permanence un grand nombre d’informations – coordonnées, habitudes de consommation ou encore géolocalisation – sans que les utilisateurs ne s’en rendent nécessairement compte.

Problème : contrairement à un ordinateur – PC ou Mac – les objets connectés n’ont pas le même pouvoir de protection et de cryptage face aux tentatives de piratage. Leur faible puissance électrique, leurs capacités limitées de stockage et de traitement des données, en font donc des proies idéales pour les hackers.

Contrairement à un ordinateur – PC ou Mac – les objets connectés n’ont pas le même pouvoir de protection et de cryptage face aux tentatives de piratage.

Impossible par exemple, de mettre en place une infrastructure à clé publique (PKI) – un maillon pourtant essentiel de la sécurité informatique – dans un pèse-personne digital, un produit connecté qui rencontre un franc succès auprès du grand public. Il en va de même pour les caméras et les capteurs, déployés aujourd’hui à grande échelle, qui participent à la sécurité des villes. Quant à l’IoT utilisé par les entreprises, il peut tout aussi facilement être piraté par les cybercriminels. À titre d’exemple, en 2016, une attaque de grande envergure avait paralysé pendant plusieurs heures, les serveurs de Twitter, Paypal et Spotify. Elle avait été menée en utilisant une faille de sécurité présente sur un grand nombre d’objets connectés : webcams, imprimantes et thermostats.

Au-delà de paralyser les serveurs, les hackeurs peuvent également utiliser les objets connectés pour voler les informations stratégiques d’une entreprise dans le but de faire pression sur la direction ou encore de les revendre (à prix d’or) à la concurrence.

Les hackeurs peuvent également utiliser les objets connectés pour voler les informations stratégiques d’une entreprise dans le but de faire pression sur la direction ou encore de les revendre (à prix d’or) à la concurrence.

Michael Bittan, associé leader des activités Cyber Risk Services chez Deloitte, le résume bien :  “Les objets connectés sont des cibles business à forte valeur ajoutée. Les cybercriminels s’adaptent très bien et ciblent tout échange de données. Avec la multiplication des objets connectés, leurs cibles sont innombrables.”

Sécuriser les objets connectés

La question de la sécurisation des objets connectés est donc primordiale. À la fois pour protéger la vie privée des individus mais aussi la notoriété et la bonne santé économique des entreprises.

La CNIL (Commission nationale de l’informatique et des libertés) a émis un certain nombre de recommandations simples à destination des particuliers : sécurisation de la connexion par un mot de passe fort, changement fréquent des paramétrages par défaut (incluant le mot de passe et le code PIN) ou encore vérification que l’objet ne permet pas à un tiers de s’y connecter.

En ce qui concerne les données sensibles des entreprises, leur protection est une priorité stratégique, désormais encadrée par le RGPD (Règlement Général pour la Protection des Données). Dans ce contexte, la mise en place d’un pare-feu 2.0 sur les objets connectés s’impose. Celui-ci peut être construit autour de quelques règles simples : mise en place d’un protocole de chiffrement efficace, choix de technologies dont le protocole est mis à jour régulièrement pour éviter les failles, compartimentation du trafic pour que les données liées à un objet connecté ne circulent pas sur le même réseau que les données sensibles de l’entreprise.

C’est en systématisant les bonnes pratiques, que ce soit auprès des managers, des collaborateurs et des informaticiens, que la sécurisation des objets connectés pourra être efficacement assurée. Et au vu de leur croissance exponentielle, il n’y a pas de temps à perdre !