Les objets connectés ; pas si sûrs !

Cyberattaque Cybersécurité

Les objets connectés se développent énormément mais ils représentent un risque en termes de cybersécurité. Il est donc impératif de considérer que les constructeurs doivent avoir la responsabilité de protéger les objets connectés.  

 

objets connectés, cybersécurité

L’essor des objets connectés  

Les objets connectés touchent de nombreux secteurs d’activités : automobile, domotique, usine, énergie, santé, transport etc…. Dans tous ces domaines la donnée est clé ; numéro de compte, propriété intellectuelle, code d’accès etc… Cela représente beaucoup d’informations professionnelles sensibles qui doivent être absolument protégées contre les cyberattaques. On peut comprendre l’évolution des objets connectés notamment grâce à la communication sans fil et à la puissance de calcul à haute densité. La concentration des objets connectés a permis de développer de nouvelles capacités pour faciliter le quotidien et gérer les environnements (urbains, professionnels, etc.…)  

Aujourd’hui, on peut par exemple contrôler sa maison sur le bout des doigts ; de la télévision au réfrigérateur en passant par les thermostats des caméras de surveillance, des éclairages etc… Tout cela grâce à son smartphone. Mais comme tout appareils qui se connecte à un réseau wifi et à internet, cela représente un risque. Surtout que dans la plupart des cas, il n’y a pas de système de protection de type antivirus, antimalware etc…  

Des constructeurs pas assez prévoyants  

Les constructeurs de produits connectés préfèrent mettre l’accent sur les coûts de production au détriment de la sécurité du produit. En effet, il y a une très forte concurrence sur ce marché et les fabricants subissent de fortes pressions et doivent sortir des produits innovants et rapidement. Le monde des objets connectés est donc un lieu parfait pour les hackers. Des cybercriminels ont notamment mis en place un logiciel malveillant “Mirai” qui permet de lancer des attaques à partir d’objets connectés transformés en réseau de zombies. De plus, il n’existe aucune norme à respecter, nationale ou internationale, concernant la sécurisation des objets connectés. Aujourd’hui, des objets connectés sont expédiés dans le monde entier alors qu’ils ne respectent pas des principes de base de cyber-protection.  

Beaucoup de fabricants utilisent les mêmes identifiants par défaut pour leurs produits connectés, et les utilisateurs finaux ne pensent pas forcément à les changer. C’est donc parfois très simple pour les hackers de pirater l’objet connecté. C’est comme cela que le logiciel Mirai a infecté des milliers d’appareils. Les objets connectés sont des cibles de choix il est donc indispensable d’optimiser leur sécurité. Les fabricants doivent prendre des initiatives pour limiter un maximum les risques. Par exemple : il faudrait que les consommateurs puissent modifier facilement leurs données d’authentification et en demandant un mot de passe fort obligatoire dès la première installation de l’appareil. Ou encore effectuer des mises à jour régulières des logiciels qui permettrai d’atténuer les failles et de bloquer les attaques.  

 

Le cloud est-il fiable face aux cyberattaques ? 

Cloud Cyberattaque Cybersécurité Sécurité

Plus d’une entreprise sur deux reconnaît avoir été victime d’une cyberattaque au cours des douze derniers mois d’après l’enquête réalisée par l’Usine Nouvelle, Syblob et HubOne. Aujourd’hui l’un des principaux arguments du cloud est la capacité d’offrir aux entreprises un accès sécurisé à des services informatiques. 

 

cloud

 

Avec la menace informatique qui s’accentue, l’objectif des entreprises est double : déjà d’élaborer une vraie stratégie d’anticipation des risques et ensuite associer de vrais partenaires spécialistes à une DSI. Pour cela, beaucoup d’entreprises utilisent le Cloud pour sécuriser leurs données.  

Quand on stocke nos données dans un cloud public, on doit se fier au système de sécurité du fournisseur de cloud. Même si certains fournisseurs prennent la sécurité du cloud très au sérieux et investissent beaucoup d’argent, il faut reconnaître parfois que les méthodes mises en place ne sont pas forcément adaptées aux problématiques du cloud.  

On peut noter qu’il y a eu plusieurs cyberattaques très médiatisées en 2017 qui ont pris pour cible des cloud public. Dans d’une de ces attaques, les cybercriminels ont réussi à dérober des données issues de l’infrastructure d’Amazon Web Service (AWS). Cela pose des questions quant à la fiabilité du cloud public. De plus, tout le monde se demande comment le plus grand fournisseur de services cloud du monde a pu être victime d’une cyberattaque ? Également comment les fuites massives de données peuvent-elles passer inaperçues pendant des mois ?  

A l’heure actuelle, peu de solutions de sécurité font le lien entre le cloud public et les infrastructures internes des entreprises. Ce qui complique fortement la chose quand les hackers arrivent à s’introduire dans le système d’information des entreprises. Une chose est sûre, c’est que ces attaques peuvent durer très longtemps et il est très difficile de détecter les machines participant à une attaque. 

La pertinence d’investir dans le Cloud dépend surtout du profil des entreprises. Généralement, les TPE et PME ont rarement des experts en informatiques dans leur effectif. Il est donc plus judicieux de faire appel à un prestataire labellisé pour protéger leurs données. Contrairement aux grands groupes qui disposent souvent d’équipes dédiées en charge de la sécurité et des systèmes d’information.  

 

Cybersécurité : La menace grandit pour les PME

Cyberattaque Cybersécurité Sécurité

La menace informatique n’a jamais été aussi grande pour le PME. Elles sont en général moins protégées que les grandes entreprises et représentent donc une cible facile pour les hackers.  

 

cybersécurité

 

Ces derniers temps la violation des données s’est multipliée, même le service Ariane géré par le Ministère des affaires étrangères a été affecté. Cette attaque a montré que même au plus haut niveau de l’Etat les risques existent. En majorité ce problème concerne surtout les PME françaises, 45% d’entre elles estiment n’avoir toujours pas renforcé leurs mesures de sécurité selon une étude de Kaspersky Lab. Ce chiffre nous montre que les entreprises n’investissent pas encore assez dans la sécurité informatique.  

Paradoxalement, les PME investissent peu dans la cybersécurité mais leurs dirigeants sont de plus en plus conscients des menaces. Selon une étude de l’IFOP, 3 entreprises sur 4 considèrent la cybersécurité comme une source d’inquiétudes. Les menaces les plus fréquentes sont les campagnes de mails frauduleux, le piratage de données ou encore les attaques via malwares.                                                                

Au-delà du risque informatique que cela présente, le problème soulève de vrais enjeux commerciaux et stratégiques. Les attaques de types hameçonnage ou phishing visent à obtenir des données financières ou des identifiants de connexion d’un email ou des droits d’accès du réseau de l’entreprise. On peut tout de même souligner que le RGPD à permis une nette amélioration dans le renforcement de la sécurité informatique au sein des entreprises. En effet depuis son entrée en application, 55% des entreprises auraient renforcé leurs mesures de sécurité.  

Chez Pérenne’IT nous pensons qu’il est important de prendre en compte les enjeux de sécurité dans le déroulement de chaque projet et processus de l’entreprise, et non de considérer la sécurité comme une couche additionnelle voire optionnelle. Se faire accompagner dans la durée par des spécialistes est aussi un moyen finalement peu onéreux de corriger et d’anticiper les problemes de sécurité, et de répondre aux attentes de plus en plus nombreuses des clients sur ce sujet.

Data Protection Officer : le métier de l’année

Cyberattaque Cybersécurité RGPD

Depuis la mise en application du Règlement Général sur la Protection des Données (RGPD), le métier de Data Protection Officer (DPO) est en énorme évolution.  

 

Data Protection Officer 

 

 

Dans une entreprise, le DPO est le garant de la protection des données personnelles, que ce soient celles des clients ou des salariés. De plus, l’article 37 du RGPD dit rendre obligatoire l’existence d’un DPO dans chaque entreprise qui réalise des opérations de traitement de données. Aucun plancher ni plafond de taille d’entreprise n’a été précisé par la directive européenne. Néanmoins toutes les entreprises ne sont pas concernées, par exemple les artisans car ils ne sont pas forcément amenés à traiter des données personnelles.  

Pour les entreprises concernées, le DPO est le garant de la conformité du stockage et de l’utilisation des données et assume donc beaucoup de responsabilités. Le DPO fournit à la CNIL le recensement du type de données stockées (et non pas les données elles-mêmes). En cas de plainte d’un client, la CNIL pourra ainsi vérifier l’existence de procédures de gestion des données, leur conformité et leur respect.  

En clair, sa mission consiste à se conformer aux nouvelles exigences règlementaires liées à l’évolution digitale. Pour cela il travaille en étroite relation avec d’autres départements de l’entreprise. En effet, le Data protection officer est au contact de tous les membres de son entreprise, les salariés appellent le DPO notamment pour savoir si telle ou telle action respecte bien le RGPD. Il y a également des tâches qui ont été directement définies par le RGPD comme supprimer les données qui ne servent à rien à l’entreprise.  

Un DPO doit-être quelqu’un de très expérimenté. Le profil parfait d’un DPO c’est un tiers de juridique, un tiers d’informatique, un tiers d’organisationnel et de bon sens. Les profils juridiques doivent se former aux rudiments de la gestion de données et les profils plus informatiques doivent s’imprégner des obligations légales et réglementaires. Pour être efficace le DPO doit savoir bien communiquer avec les différentes directions de l’entreprise et avoir une relation étroite avec les CIL, les juristes et les chefs de projet informatique.  

Nous pensons chez Perenne’IT que le Règlement Général sur la Protection des Données est bon pour le monde du numérique. Nous encouragerons les dirigeants à nommer un Data Protection Officer afin d’être assuré de la bonne tenue des données dans leur entreprise.  

Pour les petites structures, un correspondant référent sera désigné, il est aussi possible de recourir à un service DPO externalisé auprès de prestataires spécialisés RGPD.

Microsoft veut une réglementation pour la reconnaissance faciale

Microsoft

Le directeur juridique de Microsoft Brad Smith s’inquiète des avancées technologiques de la reconnaissance faciale et appelle à une réglementation de cette pratique.  

 

 reconnaissance faciale

 

C’est dans un article diffusé sur le site de Microsoft que Brad Smith, directeur juridique, a fait part des risques que pouvait engendrer la reconnaissance faciale. D’après lui, cette technologie peut être très utile comme par exemple retrouver une personne portée disparue. Mais la reconnaissance faciale peut également être utilisée à mauvais escient. Brad Smith fait notamment référence au roman de George Orwell “1984” en soulignant le côté sombre de cette technologie en disant que la reconnaissance faciale soulève des problèmes qui vont au cœur des protections fondamentales des droits de l’homme. Par exemple, un gouvernement pourrait contrôler ses citoyens à un tel point qu’il pourrait savoir tous les déplacements de tout le monde sans la permission de personne. Les entreprises pourraient également se servir de cette technologie pour suivre de près leurs visiteurs et leurs clients à leur insu, puis ainsi récupérer les informations pour prendre des décisions importantes comme des choix d’embauche notamment.  

Des idées pour avancer 

La reconnaissance faciale a déjà été mis en place dans certains pays et certaines villes et des dérives ont déjà été constatés. Il faut donc vite réglementer avant que des gouvernements et des entreprises l’utilise de mauvaise manière.  De plus, Brad Smith trouve plus juste de demander à un gouvernement élu de réglementer des entreprises que de demander à des entreprises non élues de réglementer un gouvernement. Il appelle notamment le Parlement fédéral américain à voter une loi et de mettre en place des solides méthodes de surveillance du pouvoir exécutif. Brad Smith invite les députés à réfléchir sur plusieurs propositions comme proposer aux commerçants de poser des panneaux pour avertir l’usage de la reconnaissance faciale ? Ou bien de permettre aux particuliers d’accéder aux photos qui les identifient ? Également, pourquoi ne pas créer des procédures juridiques qui donnent des recours aux personnes qui ont été identifiées par erreur ? 

Smith souhaite que l’Etat américain pose un cadre et de ne pas donner le monopole aux entreprises qui évoluent dans un environnement très concurrentiel.  

Un problème mondial 

Le danger de la reconnaissance faciale n’est pas seulement aux Etats Unis mais également dans plusieurs pays du monde. La Chine l’utilise afin d’équiper la police de lunettes intelligentes permettant d’identifier et de suivre certaines personnes. L’Allemagne a déjà installé des caméras biométriques dans une gare à Berlin et en Angleterre la technologie est également en phase de test. Quant à la France, elle est très prudente aujourd’hui avec cette technologie. En effet, aujourd’hui la CNIL souligne les dangers que cela implique en matière de libertés individuelles. La France a tout de même émis deux propositions de loi qui ont été portées au Sénat et à l’Assemblée nationale afin que cette technologie soit exploitée par les forces de l’ordre, notamment pour les procédures relatives à la lutte contre le terrorisme. Nous ne sommes donc qu’au début de son utilisation, mais le chemin vers la réglementation semble encore long, très long.