IOT Cybersécurité

, le 16 octobre 2021

5 février 2021, Oldsmar en Floride, une cyber-intrusion dans la station de traitement des eaux de cette ville de 15 000 habitants permet à un pirate d’augmenter le taux de soude caustique dans l’eau potable, au-delà du seuil de dangerosité.

Ce fait divers démontre la réalité des risques liés à la sécurité informatique des objets connectés. Ces derniers se comptent aujourd’hui en dizaines de milliards au niveau mondial et ne cessent de se multiplier. Ils concernent quasiment tous les secteurs : sites industriels, réseaux électriques, gestion technique du bâtiment, vidéosurveillance, …

Même si peu de cas d’attaques sont rendus publics, elles sont de plus en plus nombreuses et la mobilisation de l’ANSSI, l’Agence nationale en charge de la sécurité des systèmes informatiques, est à la hauteur de l’enjeu.

Faire appel à des sociétés spécialisées s’avère nécessaire pour nombre d’entreprises d’autant plus que les risques économiques rentabilisent cette dépense. La réalisation d’audits et de tests de pénétration permettra de mettre en évidence les vulnérabilités. Dans tous les cas, des règles élémentaires doivent être respectées pour éviter les attaques les plus répandues.

1- Modifier le mot de passe « usine » de l’objet connecté

La plupart des objets électroniques connectables (caméra, écran, capteur, …) sortent de l’usine avec un mot de passe par défaut, soit générique pour toute la production soit personnalisé en fonction du numéro de série. Il est impératif de le modifier et de le remplacer par un mot de passe respectant tous les critères de sécurité (unicité, complexité).

2- Mettre à jour les firmwares

Les failles de sécurité détectées sont régulièrement corrigées dans la dernière version logicielle de l’équipement proposée par le constructeur. Ne pas mettre à jour le firmware de l’objet électronique fait courir un risque, surtout que certaines failles sont révélées au public après leur correction.

3- Segmenter les réseaux

Les objets connectés apportés dans une entreprise par des prestataires ne doivent pas communiquer avec le système d’information. Que ce soit un écran d’affichage dynamique, une caméra de vidéosurveillance ou une machine à café, le prestataire doit faire appel à un réseau autonome et séparé du réseau de l’entreprise.

4- Protéger physiquement les objets  

Des équipements connectés sont parfois visibles et accessibles à des personnes étrangères à l’entreprise. Il suffit de brancher un câble ou d’introduire une clé USB pour importer un virus dans le système. Une protection physique des équipements éloignés et situés en extérieur est donc nécessaire.

5- Éviter les réseaux Wi-Fi

Cette technologie radio est séduisante pour la facilité d’installation qu’elle apporte. En revanche, sa portée est parfois importante (plusieurs centaines de mètres) et la protection des flux parfois légère. La liaison peut également être facilement brouillée.

Ces bonnes pratiques ne sont bien sûr pas suffisantes pour déjouer les actions malveillantes de certains cybercriminels qui mettent parfois en œuvre des moyens énormes. Elles sont en revanche nécessaires face à l’augmentation exponentielle des objets connectés dans l’entreprise.

IOT cybersecurite

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *