Les objets connectés: autant de portes d’entrée vers vos réseaux
Depuis le début de la pandémie de Covid-19, notre dépendance au digital ne fait que grandir. De notre smartphone à notre ventilation en passant par la machine à café, les objets connectés que nous utilisons au quotidien se multiplient et ce phénomène tend à s’accentuer en entreprise… d’où l’importance de sécuriser ces outils pour assurer la résilience de ses activités. Pascal Steichen, CEO de SECURITYMADEIN.LU, pointe du doigt les risques liés à ces objets et nous livre ses recommandations.
Présentez-nous SECURITYMADEIN.LU en quelques mots…
Notre GIE a été fondé en 2010 dans l’objectif d’opérationnaliser différents projets que le ministère de l’Économie avait déjà lancé à cette époque dans le domaine de la cybersécurité. Nos actions se déclinent dans trois catégories principales: dans le domaine technique, nous agissons comme les pompiers d’Internet face aux cyberattaques; au niveau de la gouvernance et de la conformité, nous veillons au respect des normes imposées dans ce secteur; enfin, nous sensibilisons et formons aux compétences et comportements humains permettant de prévenir une attaque ou de mieux réagir face à celle-ci.
Notre équipe de 35 collaborateurs, chacun spécialisé dans différents domaines de la cybersécurité, fournit des services publics et donc gratuits pour les entreprises et les administrations communales. Ces prestations sont destinées à améliorer la sécurité dans le secteur privé afin de faciliter le bon développement de l’économie.
Concrètement, quels sont les services que vous proposez?
Notre premier département, le Computer Incident Response Center Luxembourg (CIRCL), apporte les premiers secours suite à une cyberattaque. Après avoir analysé la situation, nous redirigeons l’organisme touché vers des prestataires du marché qui pourront l’aider à reconstruire ce qui doit l’être. De manière plus proactive, le CIRCL a développé une plateforme de partage d’informations sur les menaces et attaques à l’œuvre au Luxembourg pour diffuser les connaissances accumulées dans ce domaine et aider toute société à s’en prémunir.
Notre département CASES (Cyberworld Awareness and Security Enhancement Services), est quant à lui davantage axé sur la prévention et l’accompagnement des entreprises qui débutent dans le déploiement d’une cybersécurité. Notre service en ligne Fit4Cybersecurity propose par exemple un questionnaire permettant de dresser un état des lieux des pratiques déjà déployées et des priorités à envisager à plus ou moins long terme. En quelques heures, un de nos experts peut également établir un diagnostic précis de la cybersécurité de la société auditée et la rediriger vers des spécialistes du marché en fonction de ses besoins. Notre outil d’analyse et de gestion des risques MONARC vient compléter ces services en prioritisant les actions à entreprendre tout en tenant compte de la réalité de la situation luxembourgeoise.
Le Cybersecurity Competence Center Luxembourg (C3), notre dernier département, est un centre de compétences qui accompagne les organisations à la fois dans leur transformation digitale mais aussi dans l’amélioration des compétences de leurs collaborateurs. Dans ce cadre, nous avons créé en nos locaux la «ROOM#42», un simulateur de cybercrise. Nous y mettons les équipes en situation d’incident selon différents niveaux de difficulté. Il s’agit d’un outil de formation par l’exercice qui permet d’appréhender en situation réelle les bonnes pratiques à avoir face à une attaque.
Quels sont les risques liés à l’interconnectivité qu’implique l’IoT?
Bien que porteur d’opportunités, l’IoT présente de nombreuses vulnérabilités que l’on pensait révolues en informatique pure. Comme ces objets proviennent d’un monde industriel loin des préoccupations de celui de l’informatique, les erreurs de conception que l’on y retrouve ne reflètent pas l’expérience jusqu’ici accumulée en cybersécurité. De plus, dans un monde où les données sont devenues le nouvel or noir, ces objets sont conçus pour en récupérer un maximum. Selon l’utilisation qui en est faite, ils peuvent donc avoir un impact plus ou moins important sur la vie privée et la confidentialité des utilisateurs.
Enfin, leur prolifération favorise l’agrandissement de la surface d’attaque des criminels. Le troisième risque est donc de se voir attaqué par nos propres objets! Le virus Mirai l’a démontré: en peu de temps des milliers d’objets du quotidien peuvent être mobilisés pour perpétrer une attaque à grande échelle sur les réseaux.
Quelles sont vos recommandations pour limiter ces risques?
Nos recommandations sont reprises dans une campagne d’un an, destinée à sensibiliser le public à ces risques. Cette sensibilisation s’opère à deux niveaux: celui des constructeurs qui doivent davantage sécuriser les objets connectés, et à celui des utilisateurs qui doivent mieux sélectionner leurs outils quotidiens et en faire un meilleur usage. En effet, les consommateurs ont leur part de responsabilité quant aux produits qu’ils achètent et doivent trouver un équilibre entre l’avantage recherché et les risques encourus.
L’idéal serait de définir des normes d’acceptation de ces produits sur nos marchés selon des critères liés à la cybersécurité. Toutefois, nous ne pouvons pas attendre l’émergence de telles réglementations pour adapter nos comportements. Parmi les bons gestes à avoir, il faut absolument vérifier que l’objet que l’on souhaite acheter permet la modification de son mot de passe, puis bien sûr, dès son installation procéder à ce changement. On peut aussi s’assurer de la protection physique de l’objet; s’il est placé à l’extérieur, c’est le cas des caméras de surveillance par exemple, il faut veiller à ce que son branchement se fasse à l’intérieur du bâtiment. Enfin, lorsqu’une mise à jour est disponible, il en va de la responsabilité de l’utilisateur de l’installer pour garantir sa sécurité.
En entreprise, il est conseillé de segmenter son réseau informatique pour que les systèmes critiques ne soient pas directement connectés à des outils de domotique ou encore avec des objets tels qu’une machine à café! Si la gestion de ces systèmes est confiée à un prestataire externe, il faut également vérifier sa fiabilité et ses compétences.
Tous ces risques et recommandations se retrouvent sur le site www.secure-iot.lu accompagnés de vidéos explicatives et de mises en situation.