Stratégie

Contrer les cybermenaces actuelles sur les systèmes traditionnels comme sur les objets connectés

Retrouvez cet article dans le CIO FOCUS n°113 !

Cybersécurité : faire face aux nouvelles menaces contre le système d'information

Les systèmes d'information n'ont jamais été autant menacés. Et pourtant, les isoler dans des forteresses est toujours moins envisageable. Comment malgré tout assurer leur sécurité ? Le sujet a été largement débattu au cours de la Matinée stratégique CIO du 16 février 2016 sur le thème...

Découvrir

---

Frédéric Carricaburu (SFA) et Benoit Guennec (Eedomus) ont témoigné lors de la Matinée Stratégique CIO « Cybersécurité : les nouvelles menaces contre le système d'information » à Paris le 16 février 2016. Ces deux témoins ont expliqué comment les systèmes d'information classiques et les objets connectés devaient être protégés contre les nouvelles cybermenaces.

PublicitéSur la Matinée Stratégique organisée par CIO le 16 février 2016 et consacrée au thème « Cybersécurité : les nouvelles menaces contre le système d'information », deux témoins sont intervenus sur une table ronde pour expliciter les bonnes pratiques pour protéger les systèmes d'information contre les cybermenaces actuelles. Même si, bien entendu, aucune protection n'est absolument inviolable, il faut se préoccuper de minimiser les risques autant pour les systèmes d'information au sens traditionnel que pour les évolutions récentes telles que les objets connectés.
Le premier de ces deux témoins a été Frédéric Carricaburu, DSI et RSSI du groupe SFA, un groupe disposant de 23 implantations internationales et trois sites différents de production en France. Connu grâce à son sanibroyeur grand public, SFA est une société aux activités bien plus larges. On y côtoie aussi bien la fabrication de produits pour le bâtiment (pompes, broyeurs sanitaires, tuyauterie...) que la presse avec le groupe Challenge (Challenge, Sciences et Avenir, Historia...). Les défis de ce premier témoin sont classiques. C'est nettement moins le cas du second : Benoit Guennec, président fondateur de Connected Object qui commercialise la box Eedomus. Cette box vise à piloter un grand nombre d'appareils électroménagers ou électriques au domicile des clients, notamment via des prises électriques commandées. Ces derniers utilisent leurs smartphones, tablettes ou PC et le SaaS du fabriquant. Objets connectés et cloud sont deux défis particuliers à relever dans cette structure légère. Chacun a donc pu témoigner que les cyberattaques ne sont pas que pour les autres.

Un catalogue complet de cyberattaques

« Ransomwares, fraudes au président, cyberattaques issues de divers pays... nous avons eu droit à tout, aussi bien sur notre activité industrielle que presse » a confirmé Frédéric Carricaburu. Le seul point rassurant pour SFA est l'absence, pour l'instant, d'un site e-commerce grand public mais Frédéric Carricaburu ne s'est guère fait d'illusion : « lorsque nous en aurons un, il sera évidemment attaqué. »
La principale leçon qu'il veut retenir de son expérience, c'est la nécessité de tout remettre à plat tous les six mois. « Comme tout le monde, nous sommes partis d'un petit firewall mais nous nous sommes aperçus qu'il était contourné, certains allant même jusqu'à connecter une Freebox sur une prise téléphonique pour se monter une petite salle de marché » a déploré Frédéric Carricaburu. Les smartphones et les objets connectés sont devenus autant de point de fragilité dans la sécurité des systèmes. Pour le DSI et RSSI, « l'enjeu aujourd'hui n'est plus de savoir qui va rentrer mais plutôt ce qui va concrètement sortir, et pas seulement au travers du firewall. Nous avons donc des sondes réseau, une surveillance des surveillants au travers d'un reporting de qui se connecte à quoi, quand, comment... »

PublicitéEloge de la simplicité

Par contre, il faut rester raisonnable pour que les systèmes d'alertes soient pertinents. « Par exemple, pour les accès aux mails des VIP, nous n'avons que deux alertes : sur une connexion à partir d'un terminal non-identifié et sur un accès simultané à partir de deux zones géographiques distinctes, sinon c'est ingérable » a expliqué Frédéric Carricaburu.
Les technologies mises en oeuvre sont très variées. Certaines reposent sur des appliances, d'autres non. Cette variété est en soi une nécessité. Le Web Application Firewall, bien que gourmand en ressources, permet ainsi de sécuriser davantage les accès à des applications. « On ne peut pas se reposer sur le seul VPN car, si on a accès à une application via le VPN, on peut tenter d'avoir accès à d'autres » a averti Frédéric Carricaburu. Si un terminal accédant de manière légitime au VPN est corrompu, les conséquences peuvent donc être dramatiques et des protections complémentaires s'imposent.

Les objets connectés sous la menace

La corruption d'un système informatique peut avoir des conséquences, aujourd'hui, jusqu'au domicile de particuliers via des objets connectés domestiques. La box Eedomus, par exemple, se connecte d'un côté à Internet et au service web du fabriquant, de l'autre à des objets connectés domestiques, le plus simple étant de simples prises électriques connectées. « Je peux désactiver mon alarme, ouvrir mon portail... avec mon smartphone » a décrit Benoit Guennec, qui revendique 10 000 clients équipés en France. Pour lui, « notre enjeu principal est de concilier les enjeux considérables -l'accès et la sécurité des domiciles- et les moyens d'une toute petite structure comme la nôtre. »
Pour limiter les risques, la box ne peut pas être reliée à une serrure connectée. Cependant, même désactiver une alarme peut mettre en danger un domicile. Bien entendu, le risque est connu et Connected Object protège ses propres systèmes avec les technologies classiques comme celles évoquées par Frédéric Carricaburu. Mais les risques doivent être remis en perspective : un risque de piratage n'est pas le pire. « Il y a environ 300 000 cambriolages par an en France, ce risque est bien supérieur au risque de se faire pirater son système de surveillance » a observé Benoit Guennec.

Eviter le risque du rapprochement d'informations sensibles

Pour éviter qu'un piratage n'ait trop de conséquence, Connected Object applique une règle qui a fait ses preuves dans les réseaux clandestins de résistance politique : ne pas trop en savoir. Benoit Guennec revendique, sur ce plan, une stratégie inverse de celle d'une banque : « nous ignorons tout de nos clients et nous refusons de savoir qui ils sont, où ils habitent, etc. » En savoir le moins possible est la meilleure protection : ne rien avoir à voler permet de ne pas subir de vol. L'infrastructure qui héberge la boutique en ligne est ainsi totalement séparée et cloisonnée de celle gérant le service de gestion des objets connectés, empêchant de fait un vol de numéros de cartes de crédit en attaquant l'infrastructure du service.
Par ailleurs, si un client se fait voler son smartphone doté de l'application Eedomus pour piloter sa box et, par exemple, éteindre une alarme, il faut encore que le voleur connaisse l'adresse physique concernée. Le lien entre identifiant Eedomus et adresse physique n'apparaît pas dans l'application. Malgré tout, si le cambrioleur est bien informé, le client peut être averti que son alarme a été désactivée à partir de son ordinateur. Il peut alors anticiper le cambriolage en prévenant les forces de l'ordre.

Une bonne pratique : la simplicité

Connected Object est une petite structure et s'assume comme telle. Mais Benoit Guennec a attesté : « nous mettons en place des mesures simples mais nous les mettons réellement en place, comme par exemple le chiffrage des données ou la géolocalisation des utilisateurs qui se connectent. » Si un utilisateur se connecte à partir de Chine, alors qu'il devrait travailler en banlieue parisienne, il est probable qu'il y ait un incident à traiter.
« La simplicité est toujours une bonne chose » a confirmé Frédéric Carricaburu. Pour lui, « plus vous introduisez de la complexité, plus vous introduisez des risques potentiels. La complexité de mène à rien. »

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article