Quels enjeux des actifs connectés pour les organisations françaises ?

L'avènement des périphériques connectés doit aussi s'accompagner d'un questionnement sur leur relative opacité (IOT, IIOT, IoMT, etc.). Une visibilité complète de l'IoT est-elle possible ?

Les inconnues des nouveaux modèles de travail hybrides

Demain, tous travailleurs hybrides. Le récent retour d’une partie du personnel au bureau a réveillé les défis liés au phénomène du BYOD (acronyme américain pour Bring Your Own Device). Comprenez que les employés en télétravail ont souvent utilisé leurs matériels informatiques personnels, non sécurisés, pour accéder aux données de l’entreprise. Or, de retour au bureau, alors même que la plupart des collaborateurs savent la menace (hameçonnage, ransomware, arnaque au président, attaque par déni de service (DOS), malware, etc.) que représente l’usage d’outils informatiques non sécurisés, la pratique perdure. Cette "mauvaise habitude" facilite, bien sûr, la tâche des pirates informatiques qui peuvent pénétrer les systèmes, s’attaquer à des modèles de machine learning ou à d’autres sources pour accéder à des bases de données privées.

Jusqu’ici rien de nouveau, mais c’est sans prendre en compte l’irruption des périphériques IoT post pandémique dans les environnements de travail : dispositifs mains libres, salles de conférences équipées de systèmes vocaux comme Amazon Alexa For Business… Mais alors, quelles ressources ou mesures de protection pour ces nouveaux outils ? Eh bien, qu'il s'agisse de l'Enterprise of Things, de l'IoT ou de l'IoMT (IoT du médical), les outils de sécurité informatiques historiques sont démunis. Disons-le, ces appareils connectés, sont par nature vulnérables ! Les cybercriminels le savent et en profitent pour accéder au cœur des système d’information.

Quels enseignements ? La pandémie a certes bouleversé notre rapport au travail au point que huit actifs sur dix concernés par le télétravail souhaitent conserver la possibilité de télétravailler après la crise, rapporte un sondage Elabe de juin 2013. Nos récentes observations enseignent que passés les débats sur l’avenir du télétravail et ses conséquences socio-économiques (cf. rapport d’information du Sénat), la réflexion doit porter sur la vitesse à laquelle nous sommes entrés dans une nouvelle ère industrielle, sans être préparés aux défis de sécurité.

Sécurité et nouvelle ère industrielle

Il convient de se débarrasser de l’idée qui voudrait que les appareils connectés ne concernent que les férus de gadgets électroniques (montres, enceintes intelligentes, thermostats, potager d’intérieur, etc.). Les industries fourmillent aujourd'hui d'équipements numériques connectés. Et pour preuve, afin de maintenir la continuité des opérations de production, de nombreuses usines misent sur l’automatisation, grâce à des technologies opérationnelles (OT) et les systèmes de contrôle industriel (ICS).  Au cœur de cette nouvelle ère industrielle, l'on trouve donc la convergence entre IT et OT, qui ouvre la voie à l'IIoT (IoT de l'industrie). Or, ces outils, malgré leur efficacité opérationnelle, n’ont pas été conçus avec de solides garde-fous intégrés. Ils ne génèrent pas de compte-rendu et ne prennent pas en charge l'installation d'agents de sécurité. Les risques en cas de cyber attaque, s’il faut le rappeler, peuvent être très lourds, voir conduire au dépôt de bilan : arrêt de la production, pertes financières, atteinte à la réputation…

L’inquiétude face à ce phénomène devient plus importante quand nous savons que, les organisations privées ne sont pas les seules concernées. Les services publics, connaissent aussi une connectivité croissante, avec le lot de menaces que ceci pourrait engendrer pour la sécurité nationale. Aux États-Unis, devant ce phénomène, l’administration Biden a décidé la mise en place du 100-day plan ou plan de 100 jours. Ce projet se concentre exclusivement sur la sécurisation des infrastructures critiques des États-Unis, devenues des cibles de choix pour des "pirates d'état". Ces acteurs chercheraient à provoquer le chaos ou à exacerber les conflits. Cette menace constante qui pèse sur les réseaux électriques, les systèmes de transport ou les réseaux de distribution de l'eau américains, pourrait tôt ou tard concerner la France. Toutes les activités publiques ou privées sont donc potentiellement menacées. Que devrions-nous faire si ce phénomène venait à toucher les hôpitaux publics ? L’industrie 4.0 pourra se relever en cas d’attaque, mais quand il s’agit de santé publique le problème prend une autre dimension.

Protéger les patients, leurs données et l’activité des centres de soins

Il ne s’agit pas de dresser un tableau trop sombre de la digitalisation de nos sociétés. Les dispositifs médicaux intelligents et les dossiers patients en ligne ont permis, par exemple, de sensiblement améliorer les soins aux patients et l'efficacité administrative. Cependant, ces dispositifs constituent, hélas, une cible de choix pour les pirates qui cherchent à atteindre des informations sensibles. Des attaques de cyber sécurité exploitant des workflows cliniques délicats ont pu avoir un impact significatif sur les soins, les bénéfices et la sécurité, quelles que soient la taille et la situation géographique de l'établissement de Santé concerné. A titre d’exemple, en septembre 2020, en Allemagne, une patiente a succombé après la cyberattaque de l’hôpital universitaire de Düsseldorf, rapportait l’agence Associated Press. Autre fait, en septembre 2021, les hôpitaux publics de Paris étaient victimes d’une attaque de grande ampleur, avec le vol des données personnelles d’environ 1,4 millions de personnes ayant subi un test de dépistage du Covid-19 en Ile-de-France mi-2020. 

Il va sans dire que L'IoMT (IoT du médical) doit être une priorité. Elle exige une gestion précise des biens à forte valeur et une intelligence des menaces qui couvre plusieurs réseaux dans l'établissement de Santé. Cependant, la plupart des dispositifs biomédicaux n’ont pas été conçus pour répondre aux attaques informatiques. La mise en place de système intelligents pourrait être très difficile.

Quelles mesures envisagées ?

Tout n’est pas perdu pour autant. Il existe, des plateformes de gestion et de visibilité des biens qui offrent des fonctionnalités indispensables pour collecter efficacement des informations sur les biens gérés et non gérés, et les sécuriser. Cependant, pour véritablement se protéger des menaces, il s’agit aussi de disposer du contexte d'entreprise nécessaire pour savoir comment réagir aux informations collectées. L'une des façons d'y parvenir consiste à collaborer avec un partenaire en mesure de vous orienter. Mais, en cette période critique, il est essentiel de d’assurer que ce partenaire a fait ses preuves et qu'il a une vraie maturité sur le marché. Et, comme avec la plupart des processus de cyber sécurité, pour tirer le meilleur de ces plateformes de gestion et de visibilité des biens, les équipes de direction doivent non seulement s'informer, mais être impliqués aux processus.

Si nous sommes, aujourd’hui, moins naïfs face à l’IoT, toutes les mesures permettant de les contrôler sont encore loin d’être déployées ou connues. Il y a bien sûr toujours la tentation de recourir à la dernière solution de protection vantée par le marché. Mais rappelons qu’elles ne sont rien sans un personnel formé à leur usage et « éduqué » au risque de cyber sécurité.