D’ici la fin de l’année, le nombre d’objets connectés dans le monde atteindra 8,4 milliards. Les experts estiment qu’on en comptera 46 milliards en 2021. Un tel accroissement pose à nouveau la question sensible de la vulnérabilité de l’Internet des objets.
L’Internet des objets (IdO, ou IoT en anglais pour Internet of Things) désigne l’ensemble des appareils (balises, réfrigérateurs, serrures, imprimantes, jouets, caméras, thermostats, etc.) reliés à un réseau et/ou à Internet, capables de communiquer avec leurs utilisateurs ou entre eux, avec ou sans intervention humaine. Si leurs usages révolutionnaires provoquent un réel enthousiasme, les nouveaux types de risques et les vulnérabilités découvertes sur ces dispositifs suscitent aussi une inquiétude croissante… et justifiée.
Équipés de capteurs et de senseurs intégrés, les objets connectés recueillent, enregistrent, génèrent et transmettent en temps réel des renseignements en fonction de leur environnement et de ses modifications. L’exploitation de leurs données permet aux entreprises, par exemple, de prévoir et d’ajuster en temps réel leur offre de services, d’anticiper des opérations d’entretien et d’approvisionnement, etc.
Selon Roger Ouellet, concepteur de solutions et responsable de la Pratique sécurité chez NOVIPRO, les entreprises accordent trop peu d’importance aux enjeux de sécurité. « “Pourquoi mon entreprise serait-elle attaquée ? Pourquoi investirions-nous dans un système de sauvegarde plus sophistiqué ? Bon nombre de dirigeants sous-estiment encore, assez naïvement, les risques auxquels leur entreprise est exposée”, constate-t-il.
La vulnérabilité de l’infrastructure TI tient d’emblée à celle, inhérente, de l’Internet des objets. La plupart des dispositifs physiques connectés (routeurs, caméras de surveillance, imprimantes, etc.) ne sont pas suffisamment sécurisés : ils sont souvent livrés avec un simple mot de passe par défaut et non modifiable, une connexion non chiffrée ou encore un logiciel interne qui ne peut être mis à niveau.
Une situation que déplore Roger Ouellet : « Les PME qui développent ces dispositifs n’ont généralement pas les compétences pour coder de façon stable et sécuritaire. La sécurité n’est pas la mission de ces entreprises. Elles n’ont ni le temps ni les ressources nécessaires pour surveiller, vérifier et anticiper leurs failles de sécurité. Il faut donc être conscient que nous devons assurer la protection nous-mêmes, car ces dispositifs ne sont pas en mesure de le faire. »
Actuellement, la mise en place de mesures de sécurité appropriées reste également moins répandue qu’on pourrait le penser. « Les entreprises investissent souvent trop tard dans des solutions de sécurité, après un désastre par exemple, explique le concepteur de solutions chez NOVIPRO. Les dirigeants sont de plus en plus sensibilisés aux questions de sécurisation de leur réseau, mais encore trop peu prennent de vraies mesures de protection. »
C’est pourtant la confidentialité des données de l’entreprise, de celles des employés et des clients qui est ici menacée. Ce n’est pas tout : au vol d’informations s’ajoute le vandalisme électronique. « Une panne de serveur à la suite d’une intrusion malveillante, par exemple, peut se solder par la perte d’une semaine de données clés, ou même aller jusqu’à l’arrêt des activités de l’entreprise, illustre Roger Ouellet. Une entreprise peut donc subir de lourds dommages... »
Selon M. Ouellet, étant donné les standards actuels trop faibles en matière de sécurité des entreprises, une prise de conscience et des changements radicaux des pratiques sont nécessaires. Rappelons que des millions d’appareils dits « intelligents », mais vulnérables, se trouvent sur le marché et équipent les centres névralgiques des entreprises et des industries.
Roger Ouellet est catégorique : c’est le facteur humain qui constitue le maillon le plus faible de la sécurité informatique d’une entreprise. « Dans 95 % des cas, le problème est causé par un employé qui ouvre un pourriel ou un fichier infecté. Les antivirus classiques ne servent presque plus à rien. Dirigeants et employés doivent être informés des risques pour savoir les éviter », indique-t-il, en mentionnant d’ailleurs que NOVIPRO développe actuellement un cours pratique sur la question.
Responsabiliser et former le personnel aux bases de la sécurité informatique demeure une démarche essentielle, car le fait d’adopter un ensemble de bonnes pratiques élémentaires permet de limiter les risques. Comment faire ? « La priorité est de réaliser un audit, puis d’établir un plan d’affaires en sécurisation, explique Roger Ouellet. La sécurisation du parc informatique, à l’interne, évite par exemple l’ouverture involontaire d’une brèche par un employé. »
La sécurité d’une entreprise va ainsi beaucoup plus loin que la simple sécurisation des postes informatiques individuels et doit être envisagée dans une perspective globale de continuité des affaires.
Lire l'article suivant de notre dossier Transformation par les TI : Externaliser ses services TI tout en gardant le contrôle.