Les objets connectés de vos collaborateurs sont les meilleurs amis des cyberpirates

D’ici 2020, on devrait compter près de 31 milliards d’objets connectés dans le monde. Selon Gartner, plus de 65% des entreprises en auront déployé à cette date. Dans son analyse IoT, Gartner indique que d’importantes attaques par déni de service distribué ont déjà été perpétrées par des cyberpirates.

Ils ont su exploiter les faiblesses de sécurité de milliers d’objets connectés. Et nous avertit : avec leur démultiplication, ces attaques par DDoS vont s’intensifier.

Parce qu’elles utilisent de plus en plus d’objets connectés, les entreprises doivent mettre en place des mesures de sécurité très strictes, équivalentes à celles qui protègent tous leurs autres biens IT, matériels, logiciels et données. Chaque dispositif IoT doit en effet être considéré comme une menace potentielle. Cela peut paraître exagéré mais, comme le souligne également Gartner, plus de 25% des attaques identifiées dans les entreprises impliqueront l'IoT d’ici à 2020 ; et pourtant elles ne leur consacreront pas plus de 10% de leurs budgets de sécurité IT. Comment, dès lors, appliquer à l’IoT les pratiques de gestion sécurisée des biens IT ?

1. Créez une brigade de sécurité IoT

Les responsables de la sécurité sont désormais légion en entreprise, mais travaillent trop souvent indépendamment des services informatiques traditionnels. Or, pour gérer et sécuriser efficacement les objets connectés, les équipes informatiques, de sécurité et de gestion des biens IT doivent collaborer étroitement. La gestion des biens IT doit, par exemple, être tenue au courant de toutes les nouvelles initiatives de sécurité, et travailler de concert avec le service informatique pour les appliquer aussi aux objets connectés.

2. Partez à la découverte exhaustive de vos objets connectés

Tout comme vous inventoriez vos autres biens matériels, vous devez utiliser vos outils de découverte pour connaître tous les objets connectés sur votre réseau. Ils devraient porter un numéro de série et il faut les suivre où qu'ils se trouvent. Car s’ils ne sont pas là où ils devraient être, ils représentent un danger. L’incident de l'aéroport londonien d'Heathrow l'an dernier est un bon exemple : une clé USB trouvée par un passant sur un trottoir contenait 2,5 Go de données non cryptées relatives aux protocoles de sécurité de l’aéroport. L’histoire s'est finalement bien terminée, puisque la clé USB a été rendue aux autorités. Mais imaginez les potentielles implications en termes de risques ou de sécurité publique !

3. Cryptez tout, sans exception

Parce qu’ils sont de plus en plus utilisés au quotidien dans les entreprises, les objets connectés doivent eux aussi dépendre de la gouvernance des données. Les appareils "sauvages", stockant des données non cryptées, sont un vrai cauchemar pour la sécurité et ne doivent pas être les bienvenus sur votre réseau. Vos collaborateurs ne peuvent pas utiliser leurs propres clés USB et y télécharger des données, car celles-ci ne peuvent pas être sécurisées et cryptées. Il est impératif de crypter de manière centralisée tous les périphériques amovibles de votre inventaire, et d'appliquer des stratégies de cryptage à la copie de données vers ces supports.

4. Dites non aux dispositifs "sauvages" !

Pour pallier les risques liés aux dispositifs "sauvages", vous devez mettre en place un système de contrôle d’accès ciblant vos données. Vous pourrez alors définir des règles qui interdisent à tous les programmes (autres que ceux que vous spécifiez) de modifier vos documents ou fichiers sensibles. Par exemple, une règle qui n’autorise que Microsoft Word à modifier les fichiers .doc et .docx empêchera tout logiciel de rançon de les crypter.

5. Gardez un œil sur une cible en mouvement

Les fuites de la NSA sont un exemple classique de ce qui se passe lorsque vous ne connaissez pas l'emplacement de tous vos périphériques à un instant T, ou la façon dont vos collaborateurs les utilisent. Pendant 3 ans, des sous-traitants de la NSA ont en effet pu sortir des bâtiments avec des données classifiées, supposées ne jamais en quitter le périmètre. L’Internet des Objets, et plus globalement tous les dispositifs mobiles et distants, présentent les mêmes risques de sécurité. Vous devez implémenter des pratiques de sécurité avec reconnaissance du contexte, capables de déterminer d’où votre collaborateur travaille, de quelle manière et sur quelles données, afin de déterminer les applications qu'il a le droit d’exécuter.

Dans un monde parfait, on s'assurerait que toutes les données sensibles sont cryptées, que tous les périphériques "sauvages" sont éliminés, que les collaborateurs n'emportent jamais de données sensibles chez eux et n'utilisent jamais leurs propres appareils. A défaut, il est possible de renforcer la sécurité avec une gestion des biens IT performante, de tenir un inventaire précis des terminaux utilisés et d'empêcher les "sauvages" de menacer le réseau.