L'omniprésence des services, objets connectés et des capteurs en entreprise (caméras de surveillance, portiques d’entrée, serveurs, logiciels, imprimantes ou climatiseurs) pose indéniablement un sérieux problème de sécurité.
Connectés en permanence, ces objets sont exposés à tous les risques d’Internet. Cependant, en étant non-sécurisés ou en ne disposant généralement que d’un niveau de sécurité encore très faible, ils représentent une cible de premier choix pour les pirates informatiques et sont de réels vecteurs d’attaques pour récupérer des données sensibles ou mettre à mal le système informatique d’une entreprise.
L’origine du problème
La majorité des nouveaux objets connectés présents en entreprise sont développés par des constructeurs non spécialistes des problèmes de sécurité informatique et difficilement gérés par le pôle de sécurité de l’entreprise. Les concepteurs ne pensent pas forcément à fortement sécuriser les objets qu’ils développent, n’imaginant pas qu’ils puissent être la source de cyberattaques.
Dans son dernier rapport intitulé IBM 2015 Cyber Security Intelligence Index, IBM dresse un panorama global des incidents et cyber-attaques traités par ses services opérationnels. Parmi les statistiques publiées, on y apprend par exemple que plus de 30% des attaques et autres incidents de sécurité sont d’origine interne.
Des vecteurs de cyberattaques…
Par définition, les objets connectés sont capables de collecter, traiter, mettre en forme et transmettre des données ; des fonctionnalités qui constituent une véritable valeur ajoutée pour des personnes malintentionnées. Cela, les hackers l’ont bien compris. D’après une étude IDC, au cours des deux prochaines années, 90% des réseaux informatiques auront subi au moins une brèche liée à l’Internet des Objets.
Mais alors, comment les pirates informatiques peuvent-ils mettre à mal l’infrastructure d’une entreprise via les objets connectés ? Différentes portes d’entrées s’offrent à eux pour y parvenir :
· Le vecteur d’attaque interne
La faible sécurisation de ces nouveaux équipements et autres objets connectés - professionnels ou personnels - représente une véritable opportunité pour les hackers. En effet, un collaborateur qui utilise son smartphone ou sa tablette peut permettre à une personne extérieure d’avoir un point d’accès à l’entreprise. Cette personne peut ensuite utiliser ce vecteur d’attaque pour tenter d’accéder aux informations locales ou profiter de ce support pour cibler les parties sensibles de l’infrastructure. Les premières attaques émises à partir de caméras de surveillance connectées ont été établies.
· Le vecteur d’attaque externe
D’après une étude sur le marché de la cybersécurité menée par PricewaterhouseCoopers (PwC), le nombre de menaces externes augmente et proviendrait de fournisseurs (+32%) et prestataires de service (+30 %). Cette recrudescence de cyberattaques s’expliquent simplement : les entreprises travaillent de plus en plus en collaboration avec des partenaires externes, participant ainsi à l’expansion de la surface d’attaque. Si un partenaire est affaibli par une cyberattaque, l’entreprise en subit les conséquences.
· l’utilisation des protocoles
DNS pour pirater des données Enfin, un autre objectif des hackers c’est le vol des données. Lorsqu’un collaborateur se rend sur un site institutionnel ou grand public, l’ensemble des requêtes transitent par un serveur DNS de façon transparente pour les utilisateurs, mais un malware installé sur un PC pourra au travers du protocole DNS exfiltrer des données petits bouts par petits bouts. Comme la donnée volée est encapsulée dans le protocole DNS la quasi totalité des outils de sécurité ne verront rien puisque le protocole DNS paraît légitime et la sortie de données obligatoire pour obtenir une réponse d’un serveur DNS.
… aux conséquences désastreuses pour l’entreprise
Si le système d’information de l’entreprise est attaqué, tous les objets connectés sont paralysés : portes, caméras, ordinateurs, imprimantes… En effet, l’indisponibilité des données et des services ainsi que la perte définitive des données sont les principales conséquences de ce manque de protection. Ceci engendre inévitablement un risque économique (ex. : perte d’exploitation liée à l’indisponibilité d’un site web marchand par un déni de service le rendant inaccessible). Au-delà de cela, un piratage nuit fortement à l'image de l'entreprise. Etre une entreprise « multi-connectée » dans un monde régi par les datas impose de veiller à la sécurisation de tous les outils connectés et surtout à une vraie sensibilisation auprès de leurs concepteurs, pour se prémunir des cyberattaques.