avril 2019

Des précautions à prendre pour l’internet des objets

L’importante montée en puissance de l’internet des objets (IoT) touche au premier plan les systèmes de sûreté dans les entreprises. Les cyber-attaquants ne visent plus seulement les systèmes informatiques traditionnels, mais passent désormais par les « objets connectés » : caméras, alarmes, lecteurs de badge… Et ces objets sont couramment utilisés dans les systèmes de sûreté-sécurité.

Il convient donc en première approche d’appliquer les règles de sécurité indispensables pour se protéger de ces attaques. Les règles de base sont simples, mais pourtant elles ne sont pas toujours appliquées…

  • Changer régulièrement son mot de passe et du nom par défaut
  • Privilégier des objets qui nécessitent un mot de passe, ou un bouton d’accès physique, pour être appareillés
  • Et lors du renouvellement de matériel, il convient d’effacer les données de l’objet, réinitialiser si possible les paramètres d’usine ou encore le dissocier des différents comptes auxquels il a pu être rattaché.

 

Les équipements connectés, un point d’entrée pour les pirates !

Les équipements connectés sont pour les pirates, des points d’accès, vers un réseau inaccessible par ailleurs, il est donc important de rendre plus « sécure » son réseau. Il s’agit entre autres, de la mise à jour des Firmwares, de l’installation des dernières versions du logiciel, du filtrage des adresses IP, par exemple en établissant une liste restreinte.

Le serveur DNS (Distributed Denial of Service ou DDoS) n’est pas à l’abri d’une attaque, il faut penser à mettre une protection avec un filtrage anti-DDoS assez efficace. La box internet doit également être paramétrée en WPA2 ou en mode SSID. Un niveau de protection supplémentaire peut aussi être mis en place en sécurisant la caméra IP avec une connexion VPN (réseau virtuel privé).

Au-delà de la mise en place de mots de passe plus complexes, il faut penser au cryptage des communications. Longtemps les objets connectés, qui ne disposaient que du minimum en matière d’électronique, ne pouvaient prétendre à l’utilisation de la cryptographie. Désormais, la cryptographie peut employer des clés plus petites nécessitant moins de ressources, cela sans perte de sécurité.

 

Normes et certifications

Les fabricants d’objets connectés peuvent suivre les normes liées à la sécurité des systèmes d’information (ISO 27001 et l’ISO 27002) ou les recommandations de l’ANSSI pour développer leurs produits. Ainsi, les objets connectés respectant les normes de sécurité pourront être intégrés, sans risque de piratage (ou avec un risque limité) dans un système connecté et communicatif.

Certains organismes comme l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) proposent de tester la confiance d’un produit de sécurité et de viser l’obtention de certifications à des degrés différents. Aujourd’hui, la Certification de Sécurité de Premier Niveau (CSPN) proposée par l’ANSSI, garantit un minimum de sécurité du produit certifié.

Tout récemment l’organisation internationale de normalisation (ISO) à défini une nouvelle norme (ISO/IEC 30141) « visant à garantir la sécurité des systèmes exploitant l’internet des objets (IoT) ». L’idée est de compléter les autres normes pour « établir une architecture de référence spécifique au IoT ». De quoi permettre aux fabricants de bénéficier d’un cadre de référence, et aux utilisateurs de s’appuyer dessus pour trouver le matériel le plus adapté.

 

Mise en pratique

Un fabricant de systèmes de contrôle d’accès comme Horoquartz a par exemple intégré ces contraintes dans la conception de ses solutions et matériels de contrôle d’accès (les cryptage des communications, sécurité au niveau des matériels, etc…).

 

Franck Chevallier pour Horoquartz

Franck Chevallier