De la cafetière aux équipements de sport et aux peluches, les objets connectés commencent à se généraliser. Leur utilisation ne concerne pas que les particuliers, mais aussi les entreprises. Tout comme l’informatique gère les imprimantes, les services généraux seraient ravis de pouvoir centraliser la gestion du réassort des cafetières dans les bureaux par exemple. D’après Business Insider, il y aura 41 milliards d’appareils IoT en 2027.
Mais ces nouveaux appareils connectés au réseau de l’entreprise posent un sérieux problème de sécurité. Ils peuvent contenir des mécanismes de protection, mais ce sont en général des protections faibles et qui ne peuvent pas durer dans le temps, avec les mises à jour nécessaires. En effet, ce n’est pas économiquement viable pour un fabricant d’investir pour développer des mises à jour et intégrer des mécanismes de sécurité forts. Face à cette situation, les responsables IT et les RSSI tirent la sonnette d’alarme et préconisent des mesures de grande ampleur pour éviter qu’ils ne servent de vecteurs de piratage des réseaux d’entreprise.
C’est ce qui ressort d’une nouvelle étude commandée par Palo Alto Networks sur les pratiques de sécurisation de l’Internet des objets (IoT). L’étude a permis d’interroger 1 350 décideurs informatiques dans 14 pays d’Asie, d’Europe, du Moyen-Orient et d’Amérique du Nord. Les répondants signalent majoritairement une augmentation du nombre d’appareils IoT s’étant connectés à leur réseau l’année passée (85 % en France contre 90 % au Royaume-Uni).
Une majorité constate que la sécurité doit être améliorée
Cette masse hétéroclite d’objets connectés, poubelles, ampoules électriques et distributeurs de gel nettoyant pour les mains, équipements de sport, consoles de jeu, par exemple, déclenche un signal d’alarme : en France 95 % des sondés indiquent que leur approche de la sécurité a besoin d’améliorations conséquentes, voire d’un remaniement total (10 %).
« Certains appareils qui sont introduits en toute bonne foi par les employés sur le réseau de leur entreprise ne sont souvent pas conçus dans une optique de sécurité et peuvent se transformer en accès facilement exploitable aux informations et aux systèmes les plus importants de l’entreprise », explique Thierry Karsenti, Vice-Président EMEA Systems Engineering chez Palo Alto Networks.
Moins d’un tiers applique les bonnes pratiques de sécurité
Pour la France, 21 % des répondants travaillant pour des entreprises d’au moins 1000 personnes ont déclaré ne pas avoir segmenté les appareils IoT pour les affecter à des réseaux distincts ; 5 % avouent ne pas avoir encore commencé à envisager la sécurité spécifique à l’IoT.
Moins d’un tiers seulement (27 %) des répondants français ont indiqué appliquer les bonnes pratiques de la microsegmentation afin de confiner les appareils IoT à leurs propres zones de sécurité, soumises à des contrôles rigoureux. Et un peu moins de la moitié (45 %) déclarent que leurs appareils IoT sont segmentés sur un réseau distinct de celui qu’ils utilisent pour les appareils principaux et les applications métier clés.