Sept risques informatiques auxquels personne ne pense
La société NTT Security, spécialisée dans la protection contre les risques informatiques, met en garde contre les dangers que représentent pour les réseaux d'entreprise les systèmes informatiques "non classiques", notamment ceux issus de l'Internet des objets.
Tout le monde sait désormais qu'il ne faut pas ouvrir la pièce jointe d'un e-mail d'un expéditeur inconnu ou qu'il ne faut pas utiliser une clé USB trouvée. La plupart des collaborateurs ne sont plus aussi naïfs depuis longtemps. Mais il existe aussi des risques informatiques dont même les experts en sécurité ne sont souvent pas conscients. C'est surtout l'Internet des objets (IoT) et l'intégration dans les réseaux d'entreprise de nombreux systèmes qui ne font pas partie de l'informatique classique qui ont créé de nouveaux points d'attaque potentiels. Le problème principal est que la plupart des fournisseurs de ces systèmes, par exemple les constructeurs d'ascenseurs ou les fabricants de domotique, ne sont pas à l'aise avec les techniques de sécurité informatique - pourtant, leurs installations et leurs systèmes sont très pertinents à cet égard.
Deux types de risques informatiques
En règle générale, deux dangers menacent : D'une part, les systèmes concernés peuvent eux-mêmes être perturbés, endommagés ou paralysés par des attaquants, ce qui peut avoir des conséquences désagréables, voire dévastatrices, selon leur nature ; d'autre part, les attaquants peuvent utiliser les systèmes concernés comme tremplin - "system hopping" - pour pénétrer dans les réseaux de l'entreprise.
Selon NTT Security, les entreprises devraient surtout garder à l'esprit les scénarios suivants :
- Les ascenseurs sont un exemple parfait de l'éventail d'applications de l'IoT - le dépannage ou la maintenance à distance qu'ils permettent d'effectuer augmentent considérablement l'efficacité des installations. Peu de gens réalisent que les entreprises de maintenance, qui n'ont peut-être pas leur propre concept de sécurité, ont ainsi un accès généralement non contrôlé à l'informatique.
- Les climatiseurs modernes sont souvent accessibles via Internet à des fins de maintenance - de cette manière, il n'y a pas seulement un accès dangereux au réseau de l'entreprise ; toute manipulation d'un climatiseur - par exemple dans un centre de calcul - peut provoquer des dommages dévastateurs par surchauffe ou panne du système.
- Les systèmes de détection d'incendie ne sont généralement pas non plus pris en compte dans les concepts de sécurité - les manipulations peuvent perturber considérablement les processus d'exploitation, par exemple par de fausses alarmes ; elles peuvent également causer des dommages considérables, par exemple par l'activation d'un système de sprinkler.
- Les systèmes de contrôle d'accès sont souvent intégrés dans l'infrastructure informatique, mais cela crée une porte d'entrée qui permet aux pirates d'obtenir non seulement un accès non autorisé, mais aussi un accès aux réseaux de l'entreprise.
- Toutes les entreprises dépendent plus ou moins d'une alimentation électrique ininterrompue. Les conséquences d'attaques réussies sont d'autant plus graves ; dans la plupart des cas, une alimentation sans interruption (ASI) ou des systèmes de gestion de l'énergie ne sont pas perçus comme des points d'attaque potentiels.
- Les systèmes de divertissement sont exploités dans de nombreuses entreprises : par exemple, les téléviseurs habituels dans la salle de conférence. Les téléviseurs intelligents courants disposent d'une connexion au web qui peut être facilement attaquée ; par exemple, les caméras des téléviseurs intelligents peuvent également être activées à distance. Mais peu d'entreprises se préoccupent de la sécurité de leurs téléviseurs.
- Même dans les cantines, les appareils sont désormais souvent connectés, comme les machines à café intelligentes, qui disposent parfois d'écrans pour les campagnes de sensibilisation ou les actualités générales de l'entreprise. Pour le dépannage ou le réapprovisionnement en café, de nombreux fabricants disposent d'un accès à distance aux machines, mais ces accès ne sont généralement pas contrôlés. Comme on se préoccupe de la disponibilité de la machine à café, mais pas des mises à jour logicielles et des configurations de sécurité correspondantes, cela crée une nouvelle porte d'entrée dans le réseau de l'entreprise.
Élargir le champ de vision
"La philosophie de la sécurité informatique se focalise traditionnellement sur les systèmes et les réseaux informatiques", explique Christian Koch, Senior Manager GRC & IoT/OT chez NTT Security. "Mais cela ne correspond plus à la situation actuelle des dangers : à l'ère de l'Internet des objets, tout ce qui fonctionne à l'électricité est potentiellement un composant système adressable via Internet et donc automatiquement une cible d'attaque potentielle. Les entreprises doivent donc d'urgence élargir leur champ de vision et envisager également ces risques".
Source et informations complémentaires