Pierre-Edern RAULT

IoT : et la sécurité ?

Les fonctions de l'IoT

L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises.

On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc.

Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant des informations nécessaires aux utilisateurs. Mais comment sécuriser et relier ces dispositifs à un réseau ?

Intégration de l'IoT au sein du réseau informatique

En fonction de leur utilisation et de leurs caractéristiques, les objets connectés pourront être reliés à différents réseaux informatiques. Le réseau LAN de l’entreprise et le réseau LPWAN en filaire ou non ont chacun leurs spécificités et leurs enjeux de sécurisation.

Bien qu’un réseau local (LAN) apporte une sécurité native plus importante, il sera cependant plus difficile à déployer et moins flexible à l’usage.

A l’inverse, les équipements utilisant des réseaux LWPAN seront plus faciles à déployer mais nécessiteront une attention particulière sur la sélection des équipements et des dispositifs de sécurité.

Les réseaux LWPAN utilisent des réseaux déjà déployés comme SIGFOX ou LoRa, qui ne sont pas dédiés aux entreprises c’est pourquoi ces réseaux nécessiteront d’être sécurisés.

Entre les réseaux SIGFOX et LoRa nous pourrons déployer des équipements comme des tablettes de réservation de salle ou des équipements de communication dans les salles de réunion en utilisant le réseau LAN de l’entreprise

Tous ces dispositifs nécessitent d’être interconnectés à d’autres composants de l’entreprise comme la messagerie, l’annuaire, voir même à internet.

Cette nécessité soulève des réflexions. Quelles sont les informations que l’entreprise doit rendre accessible, quelles sont leurs classifications ? Comment mettre à jour et sécuriser les dispositifs ?

Conclusion

Comme nous pouvons le voir, les usages évoluent et les équipements fournissent des services de plus en plus évolués qui sont interconnectés dans des services CLOUD.

Il est nécessaire de sécuriser ces dispositifs et de se poser la question de la sécurité dès la définition des besoins pour l’intégrer dans le cahier des charges.

Le choix d’un composant aussi performant soit-il ne saurait être validé s’il compromet la sécurité du système d’information.

En termes de sécurisation, nous pourrions envisager un cloisonnement dédié par type d’équipement, auquel on ajoutera un filtrage serré communications. Pour ce faire, la première étape est d’obtenir toutes les interdépendances des composants.

Bien que les SI d’entreprise aient pris en compte depuis plusieurs années la nécessité de la sécurité, ce n’est pas toujours le cas pour des équipements destinés initialement aux particuliers ou issus de l’industrie du bâtiment.

Au-delà d’un filtrage réseau classique, certains équipements ont besoin de s’interconnecter avec l’annuaire de l’entreprise ou les calendriers par exemple. La généralisation d’Office 365 offre beaucoup de fonctionnalités, mais doit être manié avec précaution. Il faut appliquer dans ce cas le principe de juste droits afin que les équipements puissent accéder aux informations qui leur sont utiles pour délivrer le service aux utilisateurs, et juste à celles-ci.

Et vous, quels IoT avez-vous déployés dans votre entreprise ? Sont-ils correctement sécurisés ? Parlons-en ensemble !

Articles associés

IoT : et la sécurité ?

10 novembre 2020
L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises. On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc. Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant des informations nécessaires aux […]

Sécurité des clés de chiffrement dans le Cloud

22 juillet 2019
La protection des données, et en particulier celles dans le cloud, est capitale aujourd'hui, d'une part à cause des attaques récurrentes sur lesdites données (cf. l'affaire EquiFax) et d'autre part car de nouvelles régulations telles que le GDPR sont apparues et obligent les entreprises à garantir la confidentialité des données sensibles.
Partager cet article
Derniers articles

Un datacenter perdu : ça n’arrive pas qu’aux autres !

L’incident survenu chez OVH début mars a rappelé à beaucoup qu’un Datacenter n’était pas éternel. Pour rappel, un incendie a détruit un ensemble de salles, et par effet de bord, les autres salles ont dû être éteintes plusieurs jours, pour sécuriser l’opération des pompiers dans un premier temps, et ensuite le temps de reconstruire les […]

LE ou LA Wifi ? On ne sait pas trop mais c’est déjà la version 6

Comme vous l’aurez deviné, on ne va pas discuter ici de l’importance d’utiliser le pronom masculin ou féminin, mais bien de cette “version 6” qui chamboule tout – à commencer par sa nomenclature. Les puristes amateurs de l’apprentissage par cœur des références de RFC telles que les classiques 1145 ou 2549 (sacrés pigeons voyageurs !) déploreront […]

Petit déjeuner table ronde: Pourquoi et comment sécuriser son environnement OT en 2021 ? Rendez-vous le jeudi 18 mars à 9H00

La gestion des mises à jour : Une ligne de défense négligée

EternalBlue (MS17 – 010) est un exploit utilisant une faille de sécurité présente dans la première version du Protocole SMB. Cette vulnérabilité a permis au ransomware ‘WannaCry’ de se propager. En cause, le fait que des utilisateurs Windows n’avaient toujours pas installé le correctif de sécurité publié le 14 mars 2017. Cette cyber-attaque met en […]