Attaque par déni de service, vol de secrets industriels ou fuite de données personnelles : les dispositifs connectés peuvent se retourner contre l’entreprise qui les utilise. Dans son guide, publié l’année dernière et intitulé Recommandations relatives à la sécurité des (systèmes d’)objets connectés, l’Agence nationale de la sécurité des systèmes d’information (Anssi) précise que « de tels dispositifs présentent des risques qui peuvent être perçus comme nouveaux du fait de leur capacité à produire des effets physiques en dehors des systèmes d’information, ou des effets systémiques résultant de déploiements massifs », en plus des risques classiques associés aux systèmes d’information. Mieux vaut donc respecter quelques bonnes pratiques pour limiter le risque d’incident.
Moins, c’est mieux
Premier enseignement : pour limiter les risques, il faut « minimiser », conseille l’Anssi. Quoi ? À peu près tout ce qui peut l’être, depuis la configuration logicielle des dispositifs connectés jusqu’aux accès permettant d’exécuter des commandes. Un « effort de minimisation » doit ainsi s’appliquer dès la conception du dispositif, en évitant les surcouches logicielles inutiles. « Seuls les applications, exécutables, pilotes nécessaires au bon fonctionnement des dispositifs doivent être présents », recommande l’Anssi. Cela évite que des applications non utilisées ne deviennent rapidement obsolètes, sans mise à jour, et créent ainsi des vulnérabilités facilement exploitables. De la même manière, à l’entreprise d’activer uniquement « les services nécessaires » lorsqu’elle utilise l’objet.
Reste ensuite à limiter d’une part « les commandes que l’infrastructure peut émettre en direction des dispositifs connectés » – afin d’éviter une attaque d’ampleur si le système central est infecté – mais aussi l’accès et les droits des « utilisateurs extérieurs interagissant avec le dispositif ». La sobriété, c’est la clé !
Compartimenter pour protéger
Diviser pour éviter aux pirates de régner, c’est la deuxième recommandation de l’Anssi. D’abord, les services ou applications proposées par un dispositif connecté doivent « être compartimentées », c’est-à-dire que mémoire et périphériques ne doivent pas servir uniformément pour des usages différents. Le but ? « Limiter les conséquences d’une prise de contrôle par un attaquant », qui pourrait alors facilement passer d’une application à une autre.
Le conseil vaut doublement pour les « tâches sensibles », requérant de manipuler des données de nature à compromettre l’activité de l’entreprise. « Il est recommandé de situer la réalisation de tâches sensibles dans un environnement présentant une exposition minimale aux attaques », note ainsi l’Anssi. À la manière des sandbox prévues par les outils de messagerie pour ouvrir les pièces jointes – ces environnements sécurisés indépendants du reste du système – ces tâches doivent être réalisées dans un environnement dédié, qui ne permettrait pas à un attaquant potentiel de s’infiltrer ensuite dans le reste des réseaux.
Les clés de sécurité permettant d’accéder à des informations encryptées – une nécessité pour les plus sensibles – doivent elles aussi être « cloisonnées autant que possible par usage et par identité ». Là encore, l’idée est de « contrarier la propagation latérale d’un attaquant », en ralentissant autant que possible sa progression dans les systèmes et l’accès qu’il pourrait obtenir à des données cruciales.
Garder la main sur les données
La sécurisation des données stockées ou échangées via les dispositifs connectés est donc cruciale. Celle-ci doit être pensée pour l’ensemble du cycle d’existence des données : en local, pour le stockage des données sur l’objet concerné mais aussi lors de la communication entre le dispositif et son environnement puis lors du stockage dans un environnement cloud, s’il y a lieu. Charge à l’entreprise d’utiliser des « moyens cryptographiques à l’état de l’art » pour protéger en confidentialité et en intégrité ses données sensibles, au moment du stockage comme de la transmission.
Mais attention à ne pas relâcher ses efforts en bout de chaîne, lorsque les données sensibles sont envoyées dans le cloud. Elles doivent alors « se voir appliquer une politique de gestion limitant les possibilités d’usage indésirable ». Une telle politique est devenue monnaie courante pour gérer l’ensemble des données sensibles. Mais les entreprises sont encore trop nombreuses à oublier d’inclure celles qui sont collectées ou transmises par leurs dispositifs connectés !