Les dangers de l’utilisation des objets connectés en milieu professionnel
L’information développée ici a été diffusée par la direction générale de la sécurité intérieure (DGSI) suite aux nombreuses actions d’ingérence économique dont des sociétés françaises sont régulièrement victimes. Ayant vocation à illustrer la diversité des situations auxquelles les entreprises sont susceptibles d’être confrontées, il est ici proposé des règles simples et basiques pour éviter tout danger à votre entreprise.
Les vulnérabilités induites par l’utilisation d’objets connectés en milieu professionnel
Considérés comme la troisième révolution du numérique, les objets connectés (IoT ou internet des objets) sont des objets physiques équipés de capteurs. Générant des données de différentes natures, ces capteurs sont associé à une connexion Internet, permettant la remontée de ces données dans le réseau. Ils sont généralement pilotables à distance à travers une interface (souvent une application mobile dans le cas d’objets grand public)¹.
Il s’agit parfois d’équipements personnels (bracelets, montres, cigarettes électroniques, etc.) apportés et utilisés au sein des locaux de l’entreprise par les salariés / visiteurs. Il peut aussi s’agir de matériels à usages industriels, notamment afin d’optimiser la traçabilité et la logistique des marchandises.
Ces équipements comportent néanmoins des vulnérabilités intrinsèques et génèrent des risques liés à leur connexion à Internet.
La captation des données de l’entreprise par un intermédiaire imposé
Une entreprise extra-européenne propose à ses clients, parmi lesquels figurent des sociétés françaises, un accès à sa plateforme opérée à distance. Celle-ci permet de stocker d’analyser et de gérer en temps réel les données issues des capteurs industriels connectés. Les clients peuvent ainsi en théorie développer grâce à cet outil des solutions adaptées à leurs problèmes, et ce en toute autonomie.
Or, l’entreprise étrangère conserve l’intégralité du contrôle de cette plateforme, tout en bénéficiant des données collectées et des applications développés par ses clients.
Au-delà des risques de captation de données et de dépendances techniques et commerciales susceptibles d’en découler, ce type de solution connectée confère à son détenteur, ou à toute personne susceptible d’y accéder, l’opportunité d’identifier les processus industriels clés des clients et leurs vulnérabilités grâce à l’analyse des flux de données, et la possibilité d’influer sur le paramétrage des processus industriels des utilisateurs, à des fins de déstabilisation, voire de sabotage.
Les équipements électroniques des entreprises utilisés comme porte d’entrée des hackers
De nombreuses entreprises françaises s’équipent avec du matériel « connecté » dédié à la sécurité physique (alarme, détecteur de fumée, serrure, caméra de vidéo-protection, etc.). Ces systèmes sensibles sont reliés aux réseaux informatiques de l’entreprise, et peuvent être accessibles depuis Internet.
Ces équipements de sécurité présentent également des failles de sécurité (identifiant et mot de passe par défaut, protocoles de communication non chiffrés, interface d’administration reliée à Internet, etc.) qui les exposent à des attaques informatiques. Ces vulnérabilités peuvent être exploitées aux fins de désactiver l’équipement, mais également comme vecteurs d’accès aux réseaux informatiques de l’entreprise.
Ce risque est accru par la possibilité d’avoir recours à certains sites Internet ou moteurs de recherche spécialisés qui référencent tout type d’équipement connecté à Internet.
La sécurité des objets connectés de vos salariés pour garantir celle de votre entreprise
Des chercheurs en sécurité informatique ont montré qu’il était possible de compromettre à distance des montres connectées afin de prendre le contrôle de leurs capteurs (microphone, mesure du rythme cardiaque, etc.) ou d’accéder aux données échangées entre la montre et le smartphone auquel elle est reliée.
Ces vulnérabilités pourraient être utilement exploitées à des fins malveillantes, notamment en direction d’un salarié préalablement ciblé d’une entreprise sensible, et donner accès à certaines de ses informations stratégiques.
Préconisation de la DGSI
Afin de réduire les risques liés à l’utilisation d’objets connectés en milieu professionnel, la DGSI recommande d’appliquer les bonnes pratiques listées ci-dessous.
Pour les objets connectés industriels :
1. Recenser et réaliser une veille sur les vulnérabilités des objets connectés en activité dans l’entreprise ;
2. Interroger les fournisseurs d’objets connectés sur les mesures de sécurité implémentées dans leurs produits. Si possible, réaliser ou de faire réaliser un comparatif de différents modèles d’objets connectés en intégrant une évaluation technique de leur niveau de sécurité.
3. Engager une analyse de risque avant d’autoriser et de déployer des objets connectés sur les systèmes d’information de l’entreprise.
4. Créer des réseaux Wi-Fi ou filaires dédiés à l’utilisation des objets connectés et cloisonnés.
Pour les objets connectés grand public :
1. Encadrer l’usage des objets connectés personnels dans une charte de bonnes pratiques ou l’intégrer dans la politique de sécurité des systèmes d’information (PSSI).
2. Sensibiliser les salariés aux vulnérabilités liées aux objets connectés et notamment sur les données à caractère personnel qu’ils sont amenés à collecter, générer et transférer sur des services de Cloud.
D’une manière générale :
1. Désactiver l’interface d’administration sur Internet, si elle est proposée par le fournisseur du produit. Changer le cas échéant les mots de passe par défaut.
2. Déployer régulièrement les mises à jour des produits, quand celles-ci sont proposées par le fournisseur.
3. Consulter, entre autres, la fiche pratique « Objets connectés : Les risques à connaître » de la Direction générale de la concurrence, de la consommation et de la répression des fraudes, le site de la CNIL, et celui de l’ANSSI.
Pour toute question relative aux dangers de l’utilisation d’objets connectés en milieu professionnel ou si vous souhaitez contacter le service de la DGSI concerné, merci de vous adresser à :
securite-economique@interieur.gouv.fr