Optimiser le fonctionnement de la production, anticiper les opérations de maintenance des machines… Pour une entreprise, les objets connectés peuvent constituer un avantage concurrentiel lorsqu’ils sont bien utilisés mais leurs intégrations ne sont pas sans risques. « Pour développer et démocratiser le marché des objets connectés, les concepteurs se livrent depuis plusieurs années à une course aux prix bas », explique Guillaume Sylvestre, directeur innovation numérique à l’ADIT, cabinet de conseil spécialisé en intelligence économique. « Intégrer des objets connectés dans les activités de son entreprise est aujourd’hui relativement accessible, mais la conséquence de ces prix attractifs, c’est que la sécurisation devient souvent le parent pauvre. » Ainsi, les logiciels de protection intégrés par défaut aux objets connectés sont parfois moins performants pour détecter des failles.
Intégrer les objets connectés à une stratégie globale
Dès lors qu’un objet connecté fait son entrée au sein d’une entreprise, cela agrandit mécaniquement sa surface d’exposition à Internet… et amplifie ainsi les risques de cyberattaques. « Dans des cas extrêmes, si les objets connectés ne sont pas convenablement protégés, les hackers pourront les exploiter pour mettre en place des attaques par DoS (en anglais, Denial of Service) qui permettent de prendre le contrôle à distance pour accéder à toutes les infrastructures de l’entreprise et potentiellement paralyser ses activités, détaille l’expert. C’est pourquoi il est essentiel d’intégrer les objets connectés à une stratégie cyber globale. »
Pour avoir une cyber-protection optimale, il est primordial de connaître tous les maillons informatiques de ses infrastructures. Mais au fur et à mesure que les objets connectés, les services cloud et autres nouveaux usages se développent, la tâche se complexifie. 75% des dirigeants d’entreprises estiment que leurs systèmes sont trop compliqués pour être convenablement sécurisés, selon une étude PwC publiée début novembre 2021. À moins d’avoir été déjà attaquées, « les entreprises ont encore trop rarement consciences des risques« , regrette Guillaume Sylvestre.
Différencier les droits d’accès
Pour tenter de se prémunir des attaques opportunistes, le meilleur moyen est d’éviter les objets connectés à tout-va. « La première étape est de déterminer si l’entreprise en a réellement besoin. Si oui, elle doit s’assurer qu’un objectif précis sera rempli pour réduire au minimum l’usage des objets connectés, selon des jours ou des plages horaires dédiées par exemple, précise Guillaume Sylvestre. Avant de déployer des objets connectés, il est utile de tester les failles à l’aide de logiciels d’intelligence artificielle. Enfin, l’idéal est de configurer différents droits d’accès, ce qui permet de créer des couches de sécurisation, et bien sûr de définir des mots de passes complexes. »
Alors que la Commission européenne cherche à renforcer la sécurité des objets connectés en imposant de nouvelles normes aux fabricants à horizon 2024, une piste de réflexion pourrait être d’instaurer des certifications. « Il est possible d’imaginer un système de labels, délivrés par l’Anssi (Agence nationale de la sécurité des systèmes d’information) par exemple, ou l’élaboration d’un guide pour aider les entreprises à s’y retrouver », conclut l’expert.