A l’âge du BYOD (Bring Your Own Device), les réseaux d’entreprise font continuellement face à de nouvelles menaces. Fini le temps où des smartphones indélicats dominaient les conversations. Place désormais aux objets connectés et aux accès non contrôlés qu’ils peuvent générer. Car conçues plus pour le confort et la convivialité que pour la sécurité, les technologies intégrées dans les objets connectés constituent potentiellement une vraie menace pour les réseaux d’entreprise.

Partant de là, comment se préparer à leur multiplication dans les années à venir ?

Les montres et autres accessoires connectés (lunettes intelligentes, bracelets connectés, etc.) se connectent aux réseaux d’entreprise à un rythme record. En fait, IDC prévoit que d’ici 2019, plus de 89 millions d’objets connectés auront été livrés dans le monde. Ce qui représente plus du double de l’estimation de 2015 qui n’est que de 33 millions. Et sur le seul marché américain, les ventes devraient atteindre 19 milliards de $, soit plus de dix fois plus que la valeur de ce marché il y a 5 ans.

Ces objets offrant un grand nombre d’applications destinées à des utilisateurs professionnels en entreprise, ce qui avait commencé comme un phénomène amusant et ludique s’immisce aujourd’hui dans les réseaux d’entreprise avec des fonctions telles que l’email ou la messagerie instantanée. Malheureusement, ces fonctions très simples à utiliser, même si elles peuvent avoir un impact positif sur la productivité, fournissent aussi souvent accès à des données sensibles. Et c’est là que le bât blesse.

Les objets connectés se sont équipés de Bluetooth, du WiFi et même dans certains cas d’une connexion directe aux réseaux mobiles. Les applications du smartphone avec lequel ces objets sont synchronisés sont automatiquement téléchargées. Ceci veut dire que lorsqu’ils sont utilisés au sein d’une entreprise et associés à des applications professionnelles, une simple vulnérabilité les concernant peut se transformer en quelque chose de bien plus préoccupant. Par exemple, imaginez la fuite par inadvertance de l’état de vos ventes et de vos coordonnées client.

Malheureusement, il est difficile d’empêcher aux employés d’emporter des objets connectés sur leur lieu de travail, comme de désactiver le Bluetooth et le WiFi sur leurs smartphones. La véritable valeur ajoutée des objets connectés dans les environnements de travail est aujourd’hui en débat dans beaucoup d’entreprises. Ces objets accélèrent-ils la formation, le partage d’informations et la productivité ? Sans doute, car aujourd’hui la plupart des utilisateurs acceptent que ces objets puissent offrir :

–          Un accès d’un seul coup d’œil à tout moment et en tous lieux à une variété d’informations (email, calendrier, données commerciales, CRM).
–          Des fonctions de travail collaboratif entre employés (messagerie instantanée, partage de connaissances).
–          Des fonctions d’authentification pour des accès physiques et logiques.

 

Mais ils présentent aussi de vrais risques pour la sécurité, parmi lesquels :

–          La perte d’un objet connecté ayant enregistré en mémoire des données sensibles.
–          Des malwares résidant sur les objets connectés, qui peuvent facilement siphonner des données et d’autres informations vers d’autres équipements.
–          Des attaques de « phishing » peuvent récupérer le code PIN d’un objet connecté, qui peut ensuite être utilisé pour accéder à des données sur d’autres équipements personnels ou d’entreprise.

Les services informatiques des entreprises disposent déjà des outils nécessaires pour empêcher des smartphones débloqués d’accéder à leurs réseaux, via des solutions EMM (Enterprise Mobility Management), mais ces solutions ne les protègent pas contre les nouveaux objets connectés intelligents. Même si plusieurs attaques contre l’Apple Watch ont déjà été largement relatées dans la presse et sur Internet, son déblocage complet n’a pas encore été constaté. Mais ce n’est probablement qu’une question de temps.

Toutefois, il n’est même pas nécessaire qu’un objet connecté soit débloqué pour pouvoir avoir accès à des informations sensibles. Une simple connexion à l’objet, ajoutée à quelques techniques de base suffit. En plaçant mon téléphone hors de ma vue (éteint et dans l’immeuble d’en face), avec un simple code PIN à 4 chiffres, je peux accéder à des emails contenant des données financières enregistrées en cache sur ma montre connectée. Ceci révèle la plus basique des vulnérabilités associée à ce type d’objet.

Dès lors, comment réduire les risques pour votre entreprise associés aux objets connectés ?

Voici quelques mesures de base à mettre en place sans attendre :

–          Rédigez une politique de sécurité fixant les règles d’utilisation des objets connectés au sein de votre entreprise et faites la connaître en interne, afin que tous la comprennent et l’appliquent.
–          Imposez des mots de passe non triviaux (1234 ou 1111 par exemple) sur les objets connectés accédant aux données d’entreprise.
–          Assurez-vous que les pertes ou vols d’objets connectés sont notifiés immédiatement.
–          Eduquez les utilisateurs à reconnaître et à signaler les attaques par harponnage ciblant les objets connectés.

Gardez à l’esprit que les objets connectés n’ont pas que des défauts. Ils peuvent être de très bons outils de productivité offrant aux utilisateurs de nouvelles fonctionnalités prometteuses qui à terme amélioreront la sécurité dans les entreprises. Par exemple, l’utilisation de données biométriques ((rythme cardiaque par exemple) pour authentifier les accès à des équipements, des ordinateurs ou des réseaux, ou de nouvelles méthodes d’accès physique pour ouvrir des portes ou remplacer des badges sur les lieux de travail.

Les objets connectés feront dans l’avenir partie intégrante de nos vies. Au fur et à mesure de l’évolution des technologies et de leur implantation dans les entreprises, ils révolutionneront le partage des informations dans beaucoup de secteurs. Mais ce qui semble être une simple montre ou paire de lunettes inoffensive pourrait se transformer en cauchemar sécuritaire demain. Des objets à partir desquels il est facile d’accéder à des informations de valeur attireront nécessairement les ‘hackeurs’ et les cyber criminels. Même s’il est excitant d’exploiter les avantages des objets connectés, il est tout aussi important sinon plus de prendre en compte les nouvelles menaces pour la sécurité que posent ces équipements au fur et à mesure de leur adoption, et de déterminer comment les combattre.