Back
Login Parlons-en

Tout ce dont vous aurez besoin pour gérer votre connectivité IoT

Dans tous les secteurs, nous faisons fonctionner l'IoT

Prêt à vous lancer dans l'IoT ?

Demander un kit d’essai

Curieux d'en savoir plus sur l'IoT ? Nous avons tout ce qu'il vous faut

Vous êtes numéro 1 Nous sommes Tele2

Nous sommes très fiers d'être classés 37ème dans le palmarès du TIME des entreprises les plus durables du monde

A Tele2 IoT White Paper

Livre blanc sur la sécurité de l’IoT de Tele2

IoT et sécurité : ce que vous devez savoir

Warren Buffet affirme que la cybersécurité est la plus grande menace pour l’humanité, encore plus dangereuse que les armes nucléaires. Cela peut sembler un peu exagéré, mais protéger les appareils connectés et les réseaux – et comprendre comment le faire efficacement – sera d’une importance capitale alors que l’IoT continue de devenir une partie essentielle de votre stratégie d’entreprise.

Les entreprises continuent de dire que la gestion des questions de sécurité est importante pour elles et reste en tête de leur agenda – pourtant, peu n’est fait malgré l’augmentation des risques et des vulnérabilités et les conséquences de ne pas traiter la sécurité qui pourraient avoir un impact néfaste non seulement sur leurs propres entreprises, mais aussi sur la société dans son ensemble.

La sécurité de l’IoT ne consiste pas seulement à être sécurisé techniquement, mais aussi à informer les utilisateurs de ce qui se passe avec leurs informations et leurs appareils afin qu’ils puissent prendre des décisions éclairées sur la manière dont ils souhaitent que ces informations soient gérées. Il s’agit aussi d’éduquer les employés à la gestion des données et des appareils.

Les données servent de fenêtre sur nos vies – et lorsqu’il s’agit de votre entreprise, elles peuvent servir de fenêtre non seulement sur votre entreprise, mais aussi sur celles de vos clients. Les données sensibles sont extrêmement précieuses et, entre de mauvaises mains, peuvent représenter une menace sérieuse.

Les implications de ne pas prendre en compte les risques de sécurité sont très larges. Tant que les trois couches de sécurité de l’IoT ne seront pas gérées et sous contrôle, votre entreprise et vos clients resteront vulnérables.

IoT et sécurité : contexte

De nombreuses entreprises ont traditionnellement supposé que toute solution IoT était sécurisée, et bien qu’elles aient eu des départements informatiques qualifiés travaillant globalement en sécurité numérique, elles ne se sont souvent pas concentrées sur l’élaboration d’un plan de mise en œuvre spécifiquement pour leurs solutions IoT. Parallèlement, les experts en sécurité ont longtemps souligné le risque potentiel d’un grand nombre d’appareils connectés non sécurisés, certains affirmant qu’il faudra plusieurs attaques mondiales majeures avant que la sécurité soit prise au sérieux – une fois cela fait, tout le monde réalisera à quel point il est important pour toute entreprise déployant de l’IoT d’avoir une stratégie de sécurité.

Avec l’augmentation de la prise de conscience, la qualité des mesures de sécurité s’est également améliorée. Cela signifie que la plupart des composants IoT bénéficient d’un certain niveau de sécurité, mais c’est toujours à celui qui développe ou conçoit la solution de s’assurer que ces composants fonctionnent bien ensemble. En d’autres termes, il n’y a pas de solution miracle – il faut toujours développer et mettre en œuvre sa propre stratégie de sécurité.

Trois couches de sécurité IoT à considérer :

  • La technologie physique – tout, du matériel au logiciel en passant par l’infrastructure
  • Système de gestion des droits – qui a accès à quoi
  • L’information – comment vous communiquez avec les clients et les utilisateurs finaux – et ce qu’il advient de vos informations

IoT & Sécurité : attaques, risques et protection de soi-même

Les attaques et la protection sont les deux faces d’une même pièce. Et les attaques ou les problèmes (risques) peuvent venir à la fois de l’intérieur comme de l’extérieur, donc les implications de ne pas prendre en compte les risques de sécurité sont très larges.

Les 3 principaux risques de sécurité IoT selon l’IoT de Tele2 :

  • Vol de données et d’appareils
  • Manipulation des données et des dispositifs
  • Conformité au stockage des données

De plus, il peut être très difficile de détecter les failles de sécurité. Si vous n’avez pas la connaissance ou l’expertise en informatique et sécurité, vous ne vous en rendez peut-être même pas compte avant qu’il ne soit trop tard.

Quand on parle de sécurité, on parle de la « surface » de l’attaque – en gros, de l’exposition que l’on a. C’est aussi simple que de savoir que lorsque vous sortez dehors en hiver, plus vous avez de peau exposée, plus vite vous aurez froid. S’occuper de la sécurité, c’est la même chose : moins vous avez d’exposition, moins il y a de risques. Vous ne souffrirez pas d’hypothermie si vous avez la couverture appropriée.

La plupart des appareils sont livrés avec des mots de passe par défaut, et l’utilisation de ces mots de passe est à la racine de la majorité des vulnérabilités. Il est rapide et facile pour quelqu’un de vérifier si vous n’êtes pas correctement protégé par mot de passe, donc changer les mots de passe par défaut est essentiel. Et si votre appareil est sur Internet public, il sera rapidement indexé par les moteurs de recherche, qui créeront alors une liste d’appareils avec la porte grande ouverte, et là ! Tu as un problème de sécurité.

Ne pas mettre à jour est un problème aussi important pour les entreprises qui déploient de l’IoT que pour les non-spécialistes qui ne prennent pas la peine de mettre à jour leur navigateur ou leur système d’exploitation. La mise à jour est un moyen simple et simple d’augmenter la sécurité – mais c’est une étape souvent négligée.

Ne pas avoir de cycle de mise à jour vérifié est également un risque et peut entraîner l’accès à vos appareils et la manipulation – en d’autres termes, les contrôler à distance.

Un autre scénario est que quelqu’un accéderait à vos appareils non pas pour modifier ou manipuler quoi que ce soit, mais pour utiliser vos appareils comme moyen d’attaquer d’autres appareils. En d’autres termes, ils créent une armée d’appareils pouvant être utilisés pour attaquer votre entreprise. Prenons le botnet MIRAI : des appareils IoT peu sécurisés ont fait tomber une grande partie de l’infrastructure Internet centrale des États-Unis, y compris Twitter, Netflix, CNN, etc., et le chaos s’en est suivi.

Le botnet MIRAI peut être un exemple assez extrême, mais regardez votre propre entreprise et demandez-vous où sont les risques. Où dans votre installation pouvez-vous repérer les vulnérabilités et que pouvez-vous faire pour les résoudre ?

Changing default passwords and updating regularly are two steps you should be implementing right away.

En tant que grand public, quand nous pensons à la sécurité, nous nous inquiétons de savoir si nos comptes sur les réseaux sociaux ont été piratés ou que nos informations bancaires aient été compromises, mais le piratage est aussi un problème majeur dans l’IoT.

If you are hacked any data could be modified – and any data that is modified cannot be trusted.

Par exemple, si votre centrale nucléaire signale des comportements spécifiques aux autorités, un pirate pourrait modifier ces données pendant le transport, ce qui entraînerait des décisions basées sur des faits incorrects. Le hacker pourrait modifier les traces d’audit et rendre très difficile et coûteux l’identification des informations correctes et non.

Bien sûr, tous les hacks n’ont pas le potentiel théorique de conséquences aussi drastiques. Prenons le Fermier John fictif, qui a placé de petits capteurs à travers ses vastes champs. Vous ne pensez peut-être pas que savoir à quel point son sol est humide ou quand il récoltera aurait de la valeur pour quelqu’un d’autre que lui, mais si la fenêtre de récolte n’est que de trois ou quatre jours et que ses appareils envoient des informations compromises ou ne fonctionnent pas et qu’il ne sait pas qu’ils ne fonctionnent pas, il pourrait perdre toute sa récolte. Cela n’impacterait pas seulement ses résultats financiers mais aussi la chaîne d’approvisionnement alimentaire.

Au sein de l’UE, un risque important est de ne pas être conforme au RGPD, le Règlement général sur la protection des données de l’UE. Ne pas être conforme n’est pas seulement mauvais pour vous – vous risquez de lourdes amendes, ce qui aura un impact énorme sur vos résultats financiers – c’est aussi mauvais pour vos clients et utilisateurs finaux.

Transmettre des données sensibles entre vos appareils et votre centre d’opérations pourrait entraîner des écoutes clandestines, quelqu’un obtenant des informations sur votre entreprise ou l’un de vos clients que vous ne souhaitez pas qu’il ait – et qu’il ne devrait pas avoir le droit d’avoir.

Un exemple simple serait un pacemaker connecté : selon le RGPD, le patient/client a le droit de voir toute information sensible transmise de manière privée et protégée. Si ces informations sont compromises, dites simplement que parce que quelqu’un a pu pirater votre système, vous faites face à de gros problèmes.

Tous les risques de sécurité ne concernent pas des violations de données, mais toute attaque qui vous empêche de vendre des produits ou services – ou même de facturer vos clients – pourrait vous causer une multitude de problèmes indésirables.

Être conscient de toute vulnérabilité tout en prenant les bonnes mesures pour vous protéger réduira tout risque potentiel de sécurité.

Se protéger soi-même

La plupart des vulnérabilités exploitées par la communauté hacker/hacker sont connues depuis plus de six mois. Bien que les vulnérabilités aient généralement un patch et qu’une mise à jour soit disponible, si vous attendez un an pour la mise à jour, vous avez une grande exposition car plus vous attendez pour mettre à jour, plus les scans deviennent fréquents. En conséquence, de plus en plus d’attaquants seront au courant de votre vulnérabilité, ce qui facilitera la pénétration de votre système.

Il y a deux types d’attaquants à garder à l’esprit :

1. Opportuniste2. Ciblé
Les hackers opportunistes scannent continuellement et profitent de chaque vulnérabilité. Imaginez cela comme un cambrioleur qui traverse un quartier en essayant chaque porte pour voir laquelle est déverrouillée. C’est peu coûteux et ils savent qu’ils peuvent avoir de la chance à tout moment, tombant sur une mine d’informations. Ce qu’ils font de ces informations reste un mystère. En revanche, les hackers menant des attaques ciblées ne jouent pas sur les probabilités. Ils veulent accéder à des systèmes spécifiques et travaillent sur un niveau d’engagement bien plus élevé. Une attaque ciblée demande plus de travail pour pénétrer dans un système spécifique : les hackers doivent la trouver et savoir quoi en faire. Il est beaucoup plus difficile de se protéger contre une attaque ciblée simplement parce que ce type d’attaquants sera beaucoup plus persistant.

Si vous utilisez un dispositif de suivi, il serait idéalement invité à mettre à jour le logiciel, mais même si votre téléphone, votre tablette ou votre ordinateur portable vous enverront des notifications push pour mettre à jour, la plupart des appareils IoT ne sont pas assez intelligents pour s’auto-mettre à jour, donc il se peut que vous deviez le faire manuellement.

Parfois, cependant, il n’est pas possible de mettre à jour vos appareils IoT, ce qui signifie que vous devrez les remplacer pour mettre à jour votre système. C’est un aspect important à prendre en compte lors du choix de votre solution IoT.

A mobile network system makes it difficult to go from one device to another, so someone who compromises one device will have a tough time accessing the rest. This reduces the ability of attacks/infections spreading.

Bien sûr, rien n’intervient de mettre vos appareils sur Internet public. Avec un APN privé, vos appareils ne sont jamais exposés à Internet (public), donc ils n’apparaîtront jamais dans un moteur de recherche. Mais notez que même si vous retirez un appareil compromis d’Internet et le connectez à un réseau privé, il peut tout de même être compromis – mais les dégâts que cela peut causer et le risque d’exposition seront réduits. De plus, vos appareils seront isolés non seulement les uns des autres, mais aussi des autres clients, ce qui élève vraiment la barre en matière de sécurité.

Comment se protéger : La liste de contrôle de la sécurité IoT

  • Mettez à jour votre logiciel régulièrement et à temps.
  • Changez vos mots de passe par défaut.
  • Identifiants d’accès sécurisés.
  • Limitez l’exposition (pare-feux, réseaux privés, etc.).
  • Restreignez l’accès aux systèmes (uniquement aux personnes et ordinateurs qui en ont besoin).
  • Ne mettez pas votre système de contrôle d’usine critique sur le même système que votre siège social. Incluez des processus solides pour les employés.
  • Ayez une équipe informatique compétente, informez-vous et recherchez activement les failles de sécurité.
  • Faites en sorte que la sécurité fasse partie intégrante de votre processus de conception et de stratégie IoT.
  • Analyse des risques – cela vous aidera à différencier les différents niveaux de risque et à évaluer en conséquence.

Boîte d’information privée APN

ServiceAPN privéAPN privé
avec IPSec VPN 		APN privé avec
Interconnexion privée
Transfert sécurisé des données++++++
IndustrieN/A+++++
Augmentation de la capacité de transfert de données++++++

D’un point de vue sécurité, vous devriez avoir zéro confiance et mettre en place des processus solides, des audits, des vérifications, des contrôles et des évaluations des risques solides. Ce n’est pas que vous ne faites pas confiance à vos employés, c’est que vous ne pouvez pas compter sur le fait que rien ne soit compromis. L’ordinateur portable de quelqu’un pourrait être compromis sans qu’il le sache, et cela pourrait suffire à faire entrer les hackers dans un système sécurisé. Dans ce contexte, vous ne devriez pas mettre votre système de contrôle d’usine critique pour l’entreprise sur le même système que votre siège social. Si quelqu’un attrape un virus sur son ordinateur portable à la maison puis l’apporte au bureau, cela peut non seulement affecter d’autres machines de travail, mais aussi infecter votre usine – et il sera très difficile de se débarrasser de cette infection.

Avoir un plan de mise en œuvre bien réfléchi pour votre stratégie de sécurité IoT est aussi important qu’une stratégie globale de l’IoT : vous économiserez de l’argent et réduirez les maux de route potentiels.

Comprendre les risques et les problèmes qui peuvent survenir tout en s’instruisant sur la manière de se protéger est primordial. Tout comme une équipe informatique veille à la protection de vos ordinateurs, vous devriez aussi avoir une équipe qui veille à ce que votre solution IoT ne soit pas vulnérable aux attaques. Choisir la bonne technologie puis prendre les mesures nécessaires pour la protéger aidera à garder votre solution sécurisée ainsi que vos informations et celles de vos clients.

Pour en savoir plus sur la sécurité , cliquez ici.

Si vous souhaitez en savoir plus, n’hésitez pas à nous contacter.

Parlez à un expert IoT

Voir aussi