Les objets connectés font désormais parti de notre quotidien. Le marché se développe rapidement avec de plus en plus d’acteurs, créant ainsi de nouveaux besoins et de nouveaux usages. Alors que les objets connectés sont de plus en plus nombreux dans les entreprises, celles-ci semblent encore peu enclines à lancer de véritables projets business en profitant d’une utilisation concrète des objets connectés. En effet, ces derniers posent encore trop de questions liées à la sécurité des données, à la capacité des SI existants d’accueillir ce flux de nouveaux objets en toute sécurité, etc. Même si les usages pourraient s’avérer intéressants d’un point de vue business, les dernières études démontrent encore la frilosité des entreprises quant au lancement de projets liés aux objets connectés *.
L’arrivée des objets connectés prend plus de temps que prévu dans les entreprises – où en sommes-nous aujourd’hui ? Quels usages les entreprises font-elles des objets connectés et pour quels bénéfices ? La sécurité, est-elle le frein majeur au lancement de projets ? Et plus encore dans les infrastructures SCADA ?
Où en sont les entreprises dans l’adoption des objets connectés ? Pour quelle valeur ajoutée ?
En termes d’objets connectés nous pouvons parler de plusieurs phases : une 1ère génération « monolithique », une 2ème génération « distribuée », puis une 3ème génération « en réseau », et nous allons aujourd’hui vers la 4ème génération « l’Internet des objets ».
L’adoption des objets connectés deviendra forcément une réalité en entreprise. Cela devrait prendre encore du temps avant que les barrières liées au SI et à la sécurité soient surmontées mais nous pouvons toutefois prédire qu’après une phase de tests, les entreprises, progressivement rassurées, devraient avancer leurs pions pour tirer profit de cette nouvelle manne d’informations dès 2015 – la véritable valeur d’un objet connecté étant la donnée et non l’objet lui même. Ainsi, ces objets et les données qui en découlent, ouvrent de nouvelles perspectives pour l’entreprise : dans la relation client, dans l’amélioration des processus (traçabilité, rationalisation des dépenses d’énergie, IT, prise de décision rapide grâce à une meilleure information), dans la satisfaction des employés, etc.
Aujourd’hui, force est de constater que les usages en entreprise sont peu développés, même si les objets connectés au réseau de l’entreprise sont de plus en plus présents : les nouveaux outils pour gagner du temps et accéder encore un peu plus aux informations (badges ou bracelets connectés, écrans connectés, wearables ou vêtements et accessoires connectés, etc.), bracelets connectés pour connaitre le niveau de stress des employés, ou pour les inciter à faire du sport, thermostats intelligents pour mieux gérer les dépenses énergétiques et le bien-être des collaborateurs, lunettes pour les militaires et autres forces de l’ordre, avec de la réalité augmentée, et un couplage avec une base de fugitifs pour de la comparaison faciale, des caméras connectées pour la sécurité, pour donner la disponibilité d’une salle de réunion, pour aider à l’intervention de techniciens à distance, etc.
De nombreuses études annoncent des milliards d’objets connectés dans les années à venir, et tentent de rassurer sur les risques (la sécurité, comment fournir un accès permanent, quid de la dépendance,…) mais les cas d’usages concrets en entreprise se font encore rares. Finalement, les entreprises qui avaient besoin d’interconnecter leurs outils de production l’ont déjà fait. Pour les autres, elles attendent probablement de voir les cas d’usages se développer ailleurs avant de passer à l’acte.
La sécurité, le frein majeur à l’adoption d’objets connectés par les entreprises ?
Selon une étude menée auprès de 800 RSSI dans le monde (100 en France) que vient de publier le Cabinet Vanson Bourne, 99% des RSSI sont inquiets de la sécurité des objets connectés (petite surprise toutefois, ils sont 86% à encourager l’utilisation des objets connectés dans l’entreprise).
Alors que le grand public voit surtout dans les objets connectés, une mode et de nouveaux usages ludiques et pratiques, les entreprises y voient encore aujourd’hui beaucoup (trop) d’inconvénients :
– Un flux de données de plus en plus important qu’il faut stocker, puis être capable d’analyser pour en retirer de la valeur. Or, tout ceci à un coût et nécessite surtout de revoir son infrastructure (ou de s’exposer à de vraies menaces).
– La sécurité des données à prendre en compte.
– L’ouverture massive des réseaux via l’Internet.
– Les objets connectés sont devenus LA nouvelle cible des hackers. Lancer un projet lié aux objets connectés expose ainsi l’entreprise à de nouvelles menaces.
– La mise à jour à distance peut se révéler compliquée car elle n’a pas été pensée dès le départ… Cette question de la mise à jour permet toutefois d’orienter le débat : la sécurité n’est donc pas dans l’objet, mais au niveau de l’infrastructure globale.
On en vient à la véritable problématique liée aux objets connectés : leur sécurité n’a pas été prévue dès leur création. En effet, les éditeurs n’allouent pas de budgets à la sécurité des objets connectés tant qu’ils n’ont pas générés de revenus. Le manque de connaissance de la part des éditeurs sur les enjeux de la sécurité informatique peut également expliquer l’absence de sécurité des objets.
A partir de ce constat, il est clair que l’entreprise doit prendre ses propres mesures pour assurer la sécurité complète de son réseau dès lors qu’elle y fait entrer des objets connectés.
Quelques pistes existent pour apporter un niveau minimum de sécurité. Les idées ci-après sont en fait issues des bonnes pratiques mises en place au sein des systèmes d’information « classiques » : postes de travail, serveurs, applications métiers, Smartphones…
Même si les mises à jour peuvent s’avérer difficiles car elles n’ont pas été prises en compte par les concepteurs, la première option consiste à mettre à jour régulièrement et automatiquement les logiciels sous-jacents aux objets connectés pour corriger leurs failles de sécurité.
L’entreprise peut ensuite positionner des solutions dédiées à la sécurité des objets connectés et permettant de contrôler leurs accès vers le monde extérieur : Internet bien sûr, mais aussi les Smartphones, les tablettes ou les PC personnels.
Cependant, aucune protection ne permet aujourd’hui une sécurité à 100%. Pour l’entreprise, il est donc important de mettre en place des mesures de protection permettant d’adresser la problématique des objets déjà corrompus, afin de réduire la probabilité qu’ils infectent d’autres équipements, qu’ils aient le temps de recueillir des informations sensibles, voire vitales, ou qu’ils servent de cheval de Troie pour d’autres attaques. Des équipements tels que les firewalls, antivirus, proxy et IPS, qui se retrouvent au sein des systèmes d’information existants, auront ici aussi leur rôle à jouer. Les éditeurs de solutions de sécurité doivent ainsi s’adapter à ce nouveau marché comme ils l’ont fait lors de l’introduction des Smartphones et tablettes au sein des entreprises.
Quid des infrastructures SCADA : doivent-elles craindre les menaces sur les objets connectés ?
Tout d’abord, il convient de rappeler que si le terme SCADA est à la mode depuis quelques temps, il n’était uniquement connu par les entreprises qui possèdent un système SCADA elles-mêmes, il y a encore deux ans. Comme tous les systèmes, les SCADA font ou vont devoir faire face à l’arrivée d’objets connectés. L’avantage des objets connectés dans les environnements SCADA est qu’ils vont permettre d’étendre plus facilement et à moindre coût les réseaux SCADA. Mais les enjeux liés à la sécurité sont également majeurs pour ces environnements qui incluent notamment les organismes d’importance vitale (OIV).
C’est ainsi que depuis 2013, l’ANSSI a fait de la sécurité des systèmes SCADA sa priorité absolue. L’arrivée progressive des objets connectés au sein d’environnements SCADA renforce cette question de la sécurisation.
Nous savons tous aujourd’hui que les réseaux SCADA sont basés pour la plupart sur des systèmes relativement anciens, et qu’ils ne peuvent pas être modifiés facilement, à cause de leur sensibilité. Il est en effet quasiment impossible de réaliser des maintenances logicielles, mais lorsque l’on connait la liste des vulnérabilités des systèmes d’exploitation utilisés, on se dit qu’il vaut peut-être mieux que ces réseaux continuent de fonctionner en circuit fermé…
Et c’est là tout le problème. Aujourd’hui, Internet est le moyen le plus simple d’interconnecter des machines à l’échelle de la planète. Mais il faut pour cela utiliser des mécanismes d’interconnexion sécurisés, capable de garantir la non-répudiation des données, l’intégrité des échanges et l’étanchéité du réseau.
Un objet connecté, qu’il soit connecté à un réseau SCADA ou qu’il soit simplement un objet de notre quotidien doit faire partie d’une réflexion sécuritaire. Quel est le risque de compromission ? Quel est l’impact associé ? Et comment peut-on le rendre le moins vulnérable possible ? Car, à partir du moment ou un objet est connecté, il devient une cible potentielle.
La crainte des menaces est donc particulièrement légitime dans les environnements SCADA et doit faire l’objet d’une vraie réflexion quant à l’approche de la sécurité à mettre en place. Cette réflexion doit également être menée dans toutes les entreprises pour qu’elles puissent enfin se lancer et tirer profit des nouvelles perspectives liées aux objets connectés. Bref, les objets connectés dans le monde de l’entreprise, ça n’est pas encore pour demain.
______________
Arnaud Cassagne est Directeur Technique Nomios