Pierre-Edern RAULT

IoT : et la sécurité ?

Les fonctions de l'IoT

L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises.

On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc.

Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant des informations nécessaires aux utilisateurs. Mais comment sécuriser et relier ces dispositifs à un réseau ?

Intégration de l'IoT au sein du réseau informatique

En fonction de leur utilisation et de leurs caractéristiques, les objets connectés pourront être reliés à différents réseaux informatiques. Le réseau LAN de l’entreprise et le réseau LPWAN en filaire ou non ont chacun leurs spécificités et leurs enjeux de sécurisation.

Bien qu’un réseau local (LAN) apporte une sécurité native plus importante, il sera cependant plus difficile à déployer et moins flexible à l’usage.

A l’inverse, les équipements utilisant des réseaux LWPAN seront plus faciles à déployer mais nécessiteront une attention particulière sur la sélection des équipements et des dispositifs de sécurité.

Les réseaux LWPAN utilisent des réseaux déjà déployés comme SIGFOX ou LoRa, qui ne sont pas dédiés aux entreprises c’est pourquoi ces réseaux nécessiteront d’être sécurisés.

Entre les réseaux SIGFOX et LoRa nous pourrons déployer des équipements comme des tablettes de réservation de salle ou des équipements de communication dans les salles de réunion en utilisant le réseau LAN de l’entreprise

Tous ces dispositifs nécessitent d’être interconnectés à d’autres composants de l’entreprise comme la messagerie, l’annuaire, voir même à internet.

Cette nécessité soulève des réflexions. Quelles sont les informations que l’entreprise doit rendre accessible, quelles sont leurs classifications ? Comment mettre à jour et sécuriser les dispositifs ?

Pour conclure

Comme nous pouvons le voir, les usages évoluent et les équipements fournissent des services de plus en plus évolués qui sont interconnectés dans des services CLOUD.

Il est nécessaire de sécuriser ces dispositifs et de se poser la question de la sécurité dès la définition des besoins pour l’intégrer dans le cahier des charges.

Le choix d’un composant aussi performant soit-il ne saurait être validé s’il compromet la sécurité du système d’information.

En termes de sécurisation, nous pourrions envisager un cloisonnement dédié par type d’équipement, auquel on ajoutera un filtrage serré communications. Pour ce faire, la première étape est d’obtenir toutes les interdépendances des composants.

Bien que les SI d’entreprise aient pris en compte depuis plusieurs années la nécessité de la sécurité, ce n’est pas toujours le cas pour des équipements destinés initialement aux particuliers ou issus de l’industrie du bâtiment.

Au-delà d’un filtrage réseau classique, certains équipements ont besoin de s’interconnecter avec l’annuaire de l’entreprise ou les calendriers par exemple. La généralisation d’Office 365 offre beaucoup de fonctionnalités, mais doit être manié avec précaution. Il faut appliquer dans ce cas le principe de juste droits afin que les équipements puissent accéder aux informations qui leur sont utiles pour délivrer le service aux utilisateurs, et juste à celles-ci.

Et vous, quels IoT avez-vous déployés dans votre entreprise ? Sont-ils correctement sécurisés ? Parlons-en ensemble !

Articles associés

IoT : et la sécurité ?

10 novembre 2020
L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises. On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc. Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant des informations nécessaires aux […]

Sécurité des clés de chiffrement dans le Cloud

22 juillet 2019
La protection des données, et en particulier celles dans le cloud, est capitale aujourd'hui, d'une part à cause des attaques récurrentes sur lesdites données (cf. l'affaire EquiFax) et d'autre part car de nouvelles régulations telles que le GDPR sont apparues et obligent les entreprises à garantir la confidentialité des données sensibles.
Partager cet article
Derniers articles

Chrome remplace l’icône de verrouillage des adresses URL 

Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]