La multiplication des objets communicants engendre un risque que les entreprises ne doivent pas négliger, surtout si elles autorisent déjà le BYOD.

La déferlante de l’« Internet des objets » (ou IoT) bat son plein. Cette catégorie émergente de terminaux numériques s’appuie sur les capacités des smartphones sans nécessiter d’intervention humaine directe. Programmés pour interagir avec d’autres terminaux, ces outils automatisent la réalisation de tâches ordinaires, laissant ainsi leurs propriétaires humains se concentrer sur des objectifs plus importants. À mesure que de nouveaux terminaux IoT sont déployés, le maintien de la sécurité sur chaque terminal devient un défi de plus en plus ardu à relever.

Une croissance mondiale spectaculaire année après année

Si on reprend les principaux chiffres de Gartner, Le nombre de terminaux IoT a progressé de plus de 30 % depuis 2016, atteignant ainsi le chiffre record de 8,4 milliards de terminaux utilisés dans le monde en 2017. Gartner prédit que ce chiffre sera quasiment multiplié par trois à l’horizon 2020, soit plus de 20 milliards d’objets connectés ! Les applications dans le secteur des biens de consommation arrivent en deuxième position derrière l’industrie automobile pour le nombre d’instances IoT, le prix des objets « autonomes » chutant tandis que leur popularité augmente.

Le défi ? La plupart des terminaux IoT étant livrés sans ou avec très peu de fonctionnalités de sécurité intégrées, chacun de ces milliards d’objets représente autant de vulnérabilités exploitées par les hackers pour compromettre des opérations en principe sécurisées de l’entreprise.

Les risques aussi sont décuplés

Trois régions concentrent à elles seules les deux tiers de ces appareils connectés utilisés dans le monde : l’Amérique du Nord, l’Europe de l’Ouest et la Chine (cette dernière jouant un rôle plutôt trouble). Des événements récents ont en effet mis au jour l’inclusion, possiblement intentionnelle, d’une « porte dérobée » masquée dans des terminaux IoT fabriqués par un constructeur chinois. Or, non seulement cette vulnérabilité permet au fabricant de continuer à accéder au terminal, mais elle pourrait aussi laisser la porte ouverte à d’autres intrusions et exploitations.

Contacté par les chercheurs ayant découvert la faille, le fabricant a opté pour la dissimulation de la porte dérobée plus profondément dans la programmation avant de cesser purement et simplement de répondre aux sollicitations. Il ne s’agit malheureusement pas d’un incident isolé. Ces portes dérobées sont souvent le prétexte à une « administration à distance », mais peuvent occasionnellement servir à des fins moins nobles.

Le défi est accentué par la généralisation de la tendance BYOD (« Bring Your Own Device »), qui consiste à autoriser les employés à utiliser leur terminal personnel dans un contexte professionnel. Si cette solution s’avère à la fois pratique et économique (l’employeur n’ayant plus à débourser le coût de chaque équipement technologique), il faut savoir que chaque terminal individuel connecté représente une faille de plus dans l’environnement informatique de l’entreprise.

En outre, la mise en place de contrôles professionnels sur des terminaux personnels ajoute deux difficultés supplémentaires à la question. La première est que réduire l’accès des employés à leurs outils technologiques de prédilection risquerait d’être contre-productif. La seconde vient du constat que faire reposer la sécurité des terminaux sur le comportement individuel de chaque employé revient à mesurer la sécurité de l’entreprise à l’aune de son utilisateur le moins sécurisé.

Par conséquent, les entreprises qui s’intéressent aux opportunités soulevées par le BYOD et/ou l’IoT doivent mettre au point un système qui sécurise chaque terminal susceptible d’entrer en contact avec leur réseau.

Conclusion

Une stratégie de sécurité appropriée inclura tous les aspects de l’environnement numérique. Les entreprises devraient au moins évaluer leur profil de risque existant et clarifier l’étendue des mesures de sécurité déjà opérationnelles, la question n’étant pas de savoir si des vulnérabilités existent, mais bien de repérer leur emplacement. L’IoT décuple les risques encourus sur tous les environnements informatiques des entreprises. Les sociétés qui se soucient de la sécurité doivent envisager d’investir dans des procédures et logiciels de sécurité complets si elles ne veulent pas devenir le prochain « exemple à ne pas suivre » du marché mondial.

___________
Frédéric Bénichou est Directeur Régional Europe du Sud de SentinelOne