Qu’est-ce que l’IoT (Internet des objets) ?
C’est un terme très largement utilisé, mais souvent mal compris.
L’Internet des objets est la flotte d’appareils électroniques connectés à Internet, comme :
- Les capteurs de surveillance météorologique
- Les feux de circulation
- L’appareil GPS sur votre vélo, sur votre voiture ou sur votre téléphone intelligent
- Entre autres.
Ces appareils sont littéralement partout.
Nous nageons constamment dans un océan de choses qui ont la capacité de communiquer avec les humains ou avec d’autres appareils.
Cela pose-t-il un problème ?
Je ne veux pas vous ennuyer en vous expliquant la façon dont l’IoT affecte tant de personnes et d’industries.
En faisant une recherche sur Google, vous aurez suffisamment de résultats pour un mois complet de lecture.
Ce dont j’aimerais parler, c’est de ce qui se passe habituellement lorsqu’un appareil est connecté en permanence à Internet.
Ce qui se produit habituellement, c’est qu’il est scanné, sondé, attaqué, forcé brutalement, pris en charge, attaqué par déni de service distribué (DDoS), éteint et/ou détruit.
—————————————————————————————————
« … La prise en charge à distance d’implants ou de dispositifs électroniques à l’intérieur d’un corps humain vivant est complètement différente…. »
—————————————————————————————————
Ce n’est pas une question de « si », mais de « quand » de tels incidents vont se produire.
Comme pour tout ce qui se passe dans notre monde, tout est dans le contexte.
Si vous piratez un panneau d’affichage dans une zone déserte afin d’afficher un dessin animé, cela ne causera pas beaucoup de problèmes.
Mais la prise en charge à distance d’implants ou de dispositifs électroniques à l’intérieur d’un corps humain vivant est totalement différente.
Les fournisseurs et les fabricants ne savent-ils pas ce qu’ils font ?
Il y a une croyance répandue avec laquelle beaucoup de gens sont fondamentalement en désaccord avec le fait que les fabricants et les fournisseurs de produits savent ce qu’ils font en matière de sécurité.
Après tout, ils ont de gros budgets et ce sont des experts auxquels vous pouvez faire confiance. Oui, ils savent comment fabriquer et vendre des produits et des appareils.
En réalité, si leur but est de construire et de vous vendre une poupée capable de parler et de communiquer avec votre fille via Internet, alors ils peuvent faire un travail fantastique. Si c’était tout ce qu’ils devaient faire, tout irait bien.
Eh bien, ce n’est pas le cas !
Les entreprises les plus puissantes et les plus compétentes de la planète n’ont pas réussi à sécuriser les appareils qu’elles construisent et vendent depuis quelques décennies.
Qu’est-ce qui vous fait croire que c’est sur le point de changer maintenant, d’autant que nous construisons et vendons encore plus de choses ?
Nous construisons plus rapidement des choses que nous ne pouvons les vérifier (en supposant que nous nous soucions d’abord de les vérifier). Je peux comprendre pourquoi certains secteurs n’accordent pas trop d’attention à la sécurité.
Après tout, si vous construisez des poupées « intelligentes », vous n’aurez peut-être pas à vous soucier trop de la sécurité, bien que cela n’excuse pas votre ignorance.
Par contre, si vos appareils et gadgets sont utilisés dans des infrastructures critiques, alors en tant que fabricant ou fournisseur, il est de votre devoir absolu de vous assurer que vos produits ne présentent aucun risque pour les humains ou la planète.
Vous devriez le savoir, et là, il n’y a plus d’excuses.
Protéger le réseau
Le phénomène BYOD est au milieu de toute cette polémique. Les employés et les entrepreneurs continueront d’apporter et d’utiliser leurs propres appareils au travail et ensuite à la maison.
Certains prétendent que la gestion du matériel et des logiciels de l’entreprise est déjà assez difficile en soi.
Alors, pourquoi créer plus de maux de tête en ajoutant des périphériques étrangers ?
D’autres soutiennent qu’il est préférable de gérer le processus plutôt que d’interdire les dispositifs.
Les employés continuent donc d’ignorer l’interdiction et utilisent leurs propres dispositifs au travail, quoi qu’il en soit.
Avec le concept de BYOD et l’utilisation croissante d’ordinateurs portables, de Smartphones et de tablettes, nous savons que le périmètre du réseau d’entreprise s’étend, mais la question est de savoir jusqu’où ?
De nombreuses organisations ont du mal à trouver un équilibre entre les besoins de leurs employés et leurs préoccupations en matière de sécurité.
Concept BYOD : Règles de sécurité vs habitudes
Lorsqu’on parle de la bataille entre règles et habitudes, ce sont souvent les habitudes qui gagnent. Vous pouvez avoir toutes les règles que vous pouvez imaginer, vos employés ne vont pas les respecter et les contourneront ou les ignoreront.
À moins que vous ne formiez vos employés à comprendre pourquoi ces règles sont importantes et ce qu’ils peuvent gagner en les respectant.
C’est la dure réalité.
C’est comme si vous deviez participer à une fusillade, alors que vous n’êtes armé que d’un bâton. Dans un tel cas, vous pourriez être témoin d’un miracle, mais encore une fois…
—————————————————————————————————
« …à moins que vous ne formiez votre personnel…C’est comme si vous deviez participer à une fusillade, alors que vous n’êtes armé que d’un bâton.»
—————————————————————————————————
Certains administrateurs système agissent selon les demandes des utilisateurs qu’ils administrent.
Si ces derniers souhaitent travailler sans droits d’administrateur, alors les administrateurs feront tout pour les satisfaire.
Si un utilisateur souhaite avoir accès à un domaine avec son appareil mobile, dans la plupart des cas, l’administrateur se pliera à cette demande.
Dans l’ensemble, les politiques bien conçues de BYOD peuvent fonctionner tant que les utilisateurs n’ont aucun problème avec leurs dispositifs, c’est-à-dire du moment que ces appareils répondent aux (ou dépassent les) exigences en matière de sécurité (filtrage web, antivirus, mises à jour, etc.) et tant qu’ils ne risquent pas de porter atteinte à la confidentialité des données.
Si un utilisateur dispose d’informations sensibles concernant l’activité et la sécurité de l’entreprise stockées sur leurs propres appareils, ils doivent comprendre que l’appareil peut être effacé, vérifié, ou confisqué pour enquête si c’est jugé nécessaire.
Mon avis sur le BYOD est le suivant : L’appareil utilisé a-t-il une connexion Internet ? Oui ? Alors, il a le potentiel de poser problème en quelques secondes et doit être considéré comme un fusil chargé, armé et dangereux.
Peu importe la tâche pour laquelle l’appareil a été conçu, tout ce qui compte, c’est ce qu’il fait ; comment il se comporte ; comment et avec quels outils il a été construit.
En brouillant la définition du périmètre du réseau, à la fois physiquement et en termes de propriété des actifs, le BYOD a un impact significatif sur le modèle traditionnel de sécurité et de protection du réseau d’une entreprise.
La sécurité n’est pas quelque chose que l’on peut « perfectionner ».
C’est une tâche difficile. Même les équipes très talentueuses, disposant de budgets énormes et des experts de renommée mondiale, peuvent encore faire des erreurs lors d’une implémentation d’une solution de sécurité.
Alors, réfléchissez bien aux appareils que vous autorisez dans votre vie, vos bureaux, vos villes, vos maisons, car au bout du compte, c’est votre vie.
Vous serez peut-être intéressé par notre guide gratuit qui comprend des recommandations et des conseils sur la mise en place ou la restructuration de votre infrastructure réseau.