Cette partie vise la mise en place d'une politique et d'une procédure pour responsabiliser les collaborateurs et les encourager à appliquer les mesures de base. Pour obtenir votre adéquation, pour que vous appliquiez ces mesures, encore faut-il vous expliquer les modes de fonctionnement.
Tout d'abord, il faut considérer la protection de votre mobile comme celle de votre ordinateur, avec en plus, le fait qu'il soit petit : il peut se perdre ou être volé, tomber d'une poche ou d'un cartable ; mais aussi qu'il soit tout le temps avec vous.... et... aussi avec Internet....
Il faudra donc prendre des mesures liées à ses particularités physiques de "petit objet" : perte, vol, accès non autorisés, mais également liées à sa particularité de "petit objet connecté" : forte connectivité, accès via le WiFi , le Bluetooth, Internet ou la 3G/4G et bientôt 5 G.
Mais les objets connectés représentent un enjeu majeur par les services qu'ils offrent.
Saisissez l'enjeu des objets connectés
Un marché énorme en pleine effervescence qui est difficile à évaluer, les chiffres sont flous, mais on parle de plusieurs objets connectés par être humain (plus de 25 milliards) d'ici 2025. Cliquez ici pour consulter un graphique montrant la répartition actuelle du marche des objets connectés.
Ils vous intéressent ? Vous les intéressez !
Ils vous font progresser "en situation" : à tout instant, vous accédez à la traduction de texte, aux meilleurs prix, aux horaires, trafic, météo, itinéraire, santé... Demain, vous accéderez à bien plus de services, de bien meilleure qualité, vous bénéficiez de bien plus, vous êtes connectés et possédez toute la force de vos communautés grâce aux "applis & services".
Objet connecté (orange) : il embarque des composants applicatifs et réseau pour "capter" vos données de vie en contexte : par exemple votre vitesse de marche à 14:00 après une pause repas de 1 heure...
Individu (gauche) : votre objet connecté guide vos actions : choix d'un itinéraire en fonction de l'heure, de la météo, vous ajustez vos décisions, tout cela grâce à toute la connaissance que vous recevez de votre communauté (les flèches vertes : des conseils vous reviennent de vos communautés pour vous guider dans vos décisions). Mais en même temps, vous contribuez à la richesse et l'intelligence collective, vous envoyez les informations sur vos habitudes, que le système central "Applis et Service" collecte (les flèches rouges ).
Collectif : la contribution de chacun permet de centraliser les données dans de gros data centers. Les bases de données du collectif peuvent être détenues par des collectifs à but lucratif (Google), ou non lucratif (Wikipedia).
En somme, on voit que l'objet connecté n'est que l'extrémité du système plus lourd d'intelligence collective.
L'intelligence collective est connectée
Sous cet angle, les usages sont multiples, vous avez déjà sûrement entendu parler de la ville connectée (smartcity), de la maison connectée (smarthome), de la santé connectée.
3 usages de la chaîne d'intelligence collective
Nous allons voir 3 grands usages.
Santé
Le premier usage est la santé, où l’on voit qu’on peut faire de la téléconsultation, téléexpertise, télésurveillance… On peut de cette manière avoir des solutions extrêmement intéressantes dans le domaine de la santé.
On pourra ausculter par exemple un patient à distance, les mesures de sécurité permettront d'être sûr que ce patient est bien celui qu'il dit être, que les informations qu’il nous transmet sont bien les bonnes, c'est-à-dire que les capteurs qui vont prendre la température doivent être fiables et s'insérer dans une boucle de sécurité extrêmement fiable entre l'opérateur de l’hôpital et le patient.
Le collectif est gagnant, ces technologies novatrices constituent des pistes de solutions aux problèmes d'engorgement des hôpitaux, de cadre de vie plus agréable pour les patients ; de plus, l'expérience collective s'accroît sur la survenance de symptômes ou les soins à apporter, les cas des patients vont enrichir la connaissance collective.
L'individu est gagnant, ces technologies, si elles sont sécurisées, permettent aux patients de retrouver un service de qualité chez eux ou à proximité.
Smart city
Un 2e usage très prometteur est la « smart city » : c’est la capacité de pouvoir offrir des services par anticipation aux usagers ; à travers la ville on pourra par exemple vous permettre de payer des services de surveillance à domicile, d’avoir des flux vidéo, d’écouter de la radio mais aussi d’avoir des services d’urgence médicale.
Le collectif est gagnant, les besoins des citoyens sont mieux traités, des services étendus et ajustés sont proposés : au bon moment, au bon endroit, au bon prix, la distribution de ces services est équitable : les citoyens dans le besoin seront servis prioritairement, le collectif optimise ses interventions dans la ville en offrant des services de sécurité adaptés.
L'individu bénéficie des services ajustés, à la hauteur de ses nécessités, pas de gâchis, pas de choses inutiles, il envoie ses données personnelles qui sont traitées par le collectif pour prendre en compte ses besoins.
Smarthome
Un 3e usage est la domotique : vous pouvez d'ores et déjà surveiller votre maison à distance, optimiser la consommation d’énergie, ouvrir votre portail à distance, ce qui peut éviter des bouchons dans les rues très fréquentées, et également vous relier à des services de météo pour voir des cas d’inondation, des services d’incendie, vous relier à votre congélateur pour être sûr qu’il n’y ait pas de panne d’électricité, et de connaître l’heure exacte à laquelle le congélateur a été éteint. Tous ces aspects sont extrêmement séduisants pour l’avenir et encouragent bien entendu les usagers à s’abonner.
Menaces, attaques et vulnérabilités sur les objets connectés
Aujourd’hui, les perspectives sont énormes, mais la maturité des objets connectés laisse encore à désirer ; si bien que les surfaces d’attaque qu'ils offrent engagent des dangers et la responsabilité de chacun, celle des opérateurs également, qui vous offrent un service. De même, l’entreprise pour laquelle vous travaillez ,dans la mesure où vous utilisez vos objets connectés en même temps que des usages de l’entreprise, peut avoir certaines exigences vis-à-vis de vos usages ; nous avons évoqué ce sujet avec le BYOD (BP11).
Menace
Par rapport à cela, on est en droit de se demander ce qui est ici exposé dans un objet connecté.
Tout d’abord, on s’est rendu compte que :
70 % des objets connectés ne chiffraient pas les échanges de données avec leurs hôtes ;
80 % des objets connectés ne nécessitaient pas de mot de passe suffisamment complexe pour y accéder – donc des attaques par force brute étaient possibles ;
60 % ne disposaient pas d’interface de management (permettant de changer des configurations à distance) sécurisée, ce qui peut permettre à un attaquant connaissant la marque de votre objet connecté de pouvoir accéder à des configurations, en vous empêchant de garder la main sur votre objet connecté.
Ça peut être :
vos identifiants stockés en local ;
vos données personnelles (adresse, fichiers de contact…) ;
des données liées à vos usages et vos habitudes, qui permettent de dresser votre profil – par exemple de savoir quels sont les sites sur lesquels vous demandez des comparatifs de prix ;
des données de santé (votre dossier médical informatisé).
Ainsi, les objets connectés offrent des surfaces d’attaque de plus en plus vastes, que les cybercriminels ne manquent pas d'exploiter. Ce qu’il faut savoir, c’est qu'il existe des cartes sur Internet qui fournissent les adresses IP de vos objets connectés ; et tout cela constitue un point d’entrée pour pouvoir accéder aux systèmes d’information de l’entreprise. Par exemple, vous pouvez cliquer ici pour consulter la carte du nombre d'objets connectés fourni par le moteur Shodan - Source : site de Shodan).
Il faut être très prudent, et les bonnes pratiques sont plus que jamais extrêmement importantes, il est recommandé de les appliquer.
Les vulnérabilités les plus importantes sont la fuite de données et d’informations qui concerneraient des sites sur lesquels vous auriez permis l’accès par rebond ; vous avez donc une grande responsabilité en termes de vulnérabilité.
Donc avec toutes ces vulnérabilités, il ne s’agit pas de prendre peur, mais au contraire d’avoir une approche extrêmement importante dans le respect des 12 bonnes pratiques composées par l’ANSII et plus que jamais applicables sur des objets connectés.
Les bonnes pratiques des objets connectés
L'entreprise doit gérer les équipements mobiles et connectés, elle doit mettre en place des architectures et mesures avancées pour la gestion de ces objets mobiles, mais il faudra également gérer :
les habilitations préalables des objets ;
et, sur les actifs,la traçabilité.
Il faudra en plus mettre en place ces 12 bonnes pratiques de la sécurité, pour l'entreprise mais également pour ses utilisateurs ; le plus simple sera de mettre en place une charte d'usage :
1. Choisir son mot de passe de façon suffisamment robuste.
2. Mettre à jour régulièrement vos logiciels.
Nous vous proposons de mettre à jour régulièrement les logiciels, mais également de les télécharger sur les sites officiels, car on n’est jamais à l’abri d’être amené sur un site pirate. C’est plus important de faire cela pour vos objets connectés que pour votre ordinateur. Ainsi, vous pouvez avoir des applications multimédia qui ont des vulnérabilités logicielles parce qu’elles ont été mal développées, dont les bugs seront exploités par les attaquants ; si bien que c’était le cas de la voiture connectée : une Jeep, qui finalement s’est retrouvée entre les mains d’un pirate, et le conducteur avait perdu le contrôle de son véhicule.
3. Bien connaître ses utilisateurs et ses prestataires.
Avec vos objets connectés, vous avez des ressources contraintes en matière de stockage et d’exécution ; donc il vous semble normal de faire appel à des exécutions à distance, sur des clouds ou, par ailleurs, sur des applications collaboratives. Or, c’est extrêmement dangereux parce que vous ne savez si votre cloud est lui-même sécurisé, à part les clouds officiels sur lesquels vous pouvez avoir plus de confiance. Pour les entreprises il faut bien connaître les utilisateurs des données que vous mettez à disposition au sein de votre entreprise. De votre côté, vous devez avoir des bonnes pratiques pour abonner les objets connectés et les autoriser à naviguer dans l’entreprise, désabonner ceux qui ne sont plus utilisés.
4. Effectuer des sauvegardes régulières.
Bien sûr que votre stockage de données est le cloud, mais il faut bien choisir l’opérateur avec lequel vous travaillez, et c’est la même chose que pour les applications.
5. Sécuriser l’accès WiFi (le WiFi est une des interfaces de communication des objets connectés)
Nous vous proposons dès maintenant de faire attention aux réseaux WiFi, il faut absolument identifier le WiFi que vous utilisez, car une majorité des attaques des objets connectés viennent du WiFi (c’est le plus facile). Il suffit simplement de vous faire croire que vous vous connectez à un portail captif WiFi sécurisé alors qu’il est piraté et vous allez donner tous vos identifiants ; l’attaque est très simple et prend 15 minutes. Donc, un objet connecté est beaucoup plus exposé aux attaques WiFi que les autres composants du système d’informations.
6. Être prudent avec son ordi phone, on est au cœur même de l’usage de votre objet connecté qui doit être aussi précautionneux qu’avec votre ordinateur personnel et professionnel.
7. Il faut protéger ses données lors des déplacements.
Le simple fait d’appliquer les 12 bonnes pratiques sur votre objet connecté le rend robuste, et c’est l’ensemble des bonnes pratiques que vous allez mettre en place qui vont rendre votre chaîne de liaisons et votre opérateur robustes.
Le fait de cliquer sur des URL douteux permet d’offrir aux attaquants, soit par le biais de la messagerie? soit par le navigateur, des opportunités de « ransomware ».
8. Être prudent avec l’utilisation de la messagerie;
Les messageries sont parfois difficile à sécuriser, vous risquez de vous faire "hameçonner" par des mails malicieux ou de charger des codes malveillants. En quoi cela consiste ?
9. Télécharger des programmes sur leurs sites officiels.
Cette bonne pratique se couple avec la 10 (être vigilant lors d’un paiement sur Internet), la 11 (séparer les usages personnels des usages professionnels), et la 12 (prendre soin de ses informations personnelles, professionnelles et de son identité numérique), car c'est ensemble que ces précautions d'usage vont vous permettre d’éviter les attaques de type « ransomware ».
10. Être vigilant lors d’un paiement sur Internet.
Souvent, le même objet connecté va engager un paiement avec par exemple 3D Secure, et vous allez recevoir le SMS sur ce même objet connecté ; si quelqu’un est à côté de vous, il sait que vous avez fait le paiement et va guetter le SMS pour connaître le code sécurisé.
11. Séparer les usages personnels des usages professionnels.
Séparer votre messagerie professionnelle de votre messagerie personnelle : de nombreux responsables envoient encore des courriels depuis une boîte personnelle ; cette dernière est bien moins sécurisée que celle de votre entreprise, et vous risquez de vous faire "hameçonner" par des mails malicieux, ou de charger des codes malveillants.
12. Prendre soin de ses informations personnelles, professionnelles et de son identité́ numérique.
Enfin, une attaque de la vie privée et particulièrement redoutable au niveau des objets connectés, sur 1 200 applications mobiles éditées, il y a une carence manifeste des informations faites aux usagers sur le devenir de leurs données personnelles.
Ces 12 bonnes pratiques sont extrêmement précieuses pour pouvoir utiliser les objets connectés dans les bonnes conditions.
La sécurité des objets connectés est une préoccupation, c’est un point d’entrée qui pourrait exposer de nombreuses entreprises comme des particuliers, ou des entreprises par le biais des particuliers. Il faut qu’on ait une approche plus pratique sur les objets connectés, à la fois du côté des usages, de la mise en place des infrastructures (mettre en place des modèles économiques moins ambitieux mais mieux sécurisés), et des développeurs d’applications et d’objets connectés.
En conclusion, comment se protéger contre les attaques informatiques sur nos objets connectés ?
La 1re action est d’appliquer les 12 bonnes pratiques de l’ANSII ; elles protègent à la fois vous et votre entreprise, mais aussi les collectifs.
Un autre point crucial : quand vous développez et démocratisez une application pour objets connectés, finalement on se rend compte qu'il n'est pas si simple de les sécuriser ; dans les faits, elles sont peu sécurisées, pendant leur développement, elles sont ce qu'on appelle en phase de "test"ou de PoC (preuve de concept). Ainsi, ce qu’on appelle la sécurité par conception "by design" est encore un vaste sujet que l'on tente d'améliorer au quotidien par des bonnes pratiques du développement.
Vous êtes arrivé à la fin de ce cours ! Vous devez maintenant être capable de :
identifier les enjeux de sécurité liés aux usages des objets connectés ;
expliquer les principes de sécurité informatique s'appliquant aux outils de production ;
expliquer les principes de sécurité informatique s'appliquant aux réseaux ;
expliquer les principes de sécurité informatique liés à l'usage d'objets connectés.
N'oubliez pas de réaliser les exercices en fin de partie, ils vous permettront de valider ces compétences. Je vous remercie de votre attention et vous souhaite une bonne continuation dans tous vos projets !