Smart Office

Facilitez votre travail, pas celui des hackers.

Le Smart Office est un concept en pleine évolution. Il consiste à intégrer des technologies dans les environnements de travail, afin de faciliter une série de tâches courantes dans l’organisation quotidienne du travail. Le but étant de gagner en souplesse et en productivité afin de permettre aux employés de se concentrer sur leurs tâches essentielles. Beacons, capteurs et applications mobiles constituent les briques de base du Smart Office qui permettent de fluidifier voire d’automatiser un grand nombre de processus.

Exemple: une machine à café connectée permet de mieux gérer son fonctionnement ainsi que l'approvisionnement en café, mais, soyez vigileant: Une machine à café peut comporter des risques pour votre vie privée et la sécurité de vos données

Les avantages :

  • le confort sur le lieu de travail,
  • la sécurité,
  • la productivité des collaborateurs,
  • l'utilisation optimisée de l'espace,
  • une consommation d’énergie réduite.

Les ingrédients du Smart Office sont notamment :

  • Des capteurs intelligents (ex : pour mesurer la qualité de l’air, les mouvements, la température…),
  • Des applications de contrôle à distance
  • Des applications de réservation d'espaces en temps réel, pour optimiser l’occupation des locaux,
  • Des applications avec localisation indoor
  • Des badges d'accès numérisés, garantissant une sécurité simplifiée
  • Des applications collaboratives qui simplifient le travail en équipe
  • Des systèmes de vidéoconférence.

Les risques principaux

Artboard 2

Fuite d'informations

Peut faire autant de dégâts qu’une fuite d’eau...

Fuite d'informations

La multiplication des appareils connectés et leur interconnexion croissante génèrent un nombre croissant de données qui sont transmises entre les appareils et ensuite sur Internet. Cela augmente considérablement le risque de voir des failles des sécurités être exploitées. Un système IoT est comme une chaîne dont le niveau de sécurité correspond à la solidité du maillon le plus faible. Il faut également être méfiant envers certaines interfaces ou technologies, comme le Bluetooth, qui sont également vulnérables de par leur conception. Elles peuvent être compromises aisément, ce qui peut mener à une fuite d’information. Malheureusement, le risque d’une fuite d’information provient souvent d’une négligence dans l’utilisation de l’objet IoT dans son environnement numérique. Les raisons en peuvent être multiples :
  • achat de matériel aux protocoles de communication archaïques et non sécurisés,
  • configurations de sécurité informatiques insuffisantes,
  • mots de passe faibles ou inexistants,
  • mise à disposition volontaire ou involontaire des données par l’utilisateur,
mais le résultat est le même : Une fuite d’information peut mettre en péril des organisations entières ou les vies privées des individus.
Artboard 1

Détournement

Une armée de robots qui nous veut du mal…

Détournement

Les objets connectés peuvent également faire l’objet d’attaques qui ne les visent pas directement, mais visent à les transformer en « zombies » pour former des réseaux de robots « Botnets » contrôlés à distance. Ces Botnets servent en général à lancer des attaques par déni de service (DDOS – Distributed Denial of Service). En effet, si l’attaquant arrive à contrôler assez de dispositifs IoT pour former un Botnet, il peut les activer simultanément afin de générer un flux de données artificiel aussi intense que les réseaux sont en surcharge. Il en résulte une non-disponibilité des réseaux ou systèmes d’information, parfois vitaux pour les individus, entreprises ou collectivités.
Artboard 4

Tracking

Où que vous soyez, on le saura…

Tracking

L'usage d'objets connectés de plus en plus intrusifs permet de contrôler les individus, que ce soit moyennant l'usage de caméras, de la géolocalisation ou du monitoring des appareils connectés. Certains dirigeants peu scrupuleux peuvent ainsi voir dans cette technologie une possibilité d'accroitre la productivité de leurs employés en appliquant un contrôle constant du lieu de travail.

Conseils de protection

Artboard 1

Mot de passe

0000 c’est nul comme mot de passe...

Mot de passe

La première précaution à prendre est d'assurer un niveau élevé de complexité des mots de passe. Ceux-ci doivent contenir des majuscules, des minuscules, des chiffres et des caractères spéciaux. Vous pouvez tester la robustesse de votre mot de passe au travers d'outils gratuits tels que https://howsecureismypassword.net/. Les objets connectés contiennent pour la plupart des comptes par défaut dont les identifiants et mots de passe sont généralement connus et figurent dans les documentations publiques. Il est dès lors très aisé pour un attaquant de tester ces portes d’entrées pour tenter de prendre le contrôle d’un IoT. Dès le premier accès à la configuration du dispositif IoT, il est conseillé de créer ses propres comptes administrateur nominatifs et d’ensuite effacer les comptes par défaut. De cette façon, on se prémunit contre des attaques visant ces cibles faciles
Artboard 7

Mises à jour

Patch, Patch, Patches…

Mises à jour

L'un des problèmes majeurs est un suspect habituel de la cybersécurité : la mise à jour logicielle (« patch »). Il est particulièrement important d'utiliser les patchs fournis par les fournisseurs. Cela est d'autant plus important pour les objets connectés qui sont par définition exposés en permanence à de attaques potentielles. Au cas où une mise à jour régulière et automatique peut être activée, il est fortement conseillé de l’activer, sous réserve que le protocole soit sécurisé et le site distant digne de confiance. En absence de fonctionnalité de mise à jour automatique, il convient de vérifier manuellement et à fréquence régulière la disponibilité d’une mise à jour logicielle. Ceci permet de minimiser la probabilité de se faire attaquer via des vulnérabilités connues qui peuvent être corrigées par des mises à jour logicielles régulières.
Artboard 10

Fabricants reconnus

« Clever Akafen »

Fabricants reconnus

Afin de réduire les risques, il est conseillé de choisir des produits reconnus issus de fabricants réputés. Ces fabricants ont généralement les moyens d’investir dans le développement de produits de qualité.
Artboard 2

Réseau

Fermez la porte d’entrée...

Réseau

Une fois que l’on a fait son choix pour des produits IoT, il convient de bien les identifier et de savoir quelles sont les propriétés de ces produits que l’on intègre dans son réseau informatique. En dressant un inventaire de tous les dispositifs connectés et de leurs caractéristiques particulières, on pourra dissocier les activités normales des activités suspectes ou indésirables. Une surveillance régulière du réseau local (Wi-Fi), des appareils connectés et de leur activité permettra également de détecter d’éventuels problèmes et de fermer des portes lorsqu’elles ne sont plus utilisées.
Les multiples failles de sécurité de l’IoT ne peuvent pas toujours être contrôlées. Le risque résiduel qu’un potentiel attaquant puisse exploiter une de ces failles et ainsi interférer dans le réseau informatique local reste très élevé. Au cas où d’autres applications vitales sont hébergées dans ce même réseau interne, il est fortement conseillé de diviser ce réseau en plusieurs segments. Un segment ou réseau logique pourrait alors héberger et/ou interconnecter les IoT tandis qu’un deuxième réseau dissocié servirait exclusivement à l’hébergement des systèmes d’information critiques.
Certains éléments réseaux (routeurs et firewall par exemple) permettent de filtrer les informations qui circulent entre deux réseaux ou segments de réseaux. Le filtrage peut par exemple porter sur les adresses et portes source ou destination, les protocoles de communication, le contenu, la bande passante ou bien le volume des informations. Dans le cas d’une segmentation de réseau, on pourrait ainsi filtrer les informations échangées entre deux segments et p.ex. n’accepter que les connexions entre dispositifs identifiés et connus au préalable suivant un protocole d’échange bien défini.
Artboard 11

Désactivation du dispositif

Car un oubli peut devenir une faille...

Désactivation du dispositif

Tout dispositif IoT intégré dans le réseau présente des failles et vulnérabilités potentielles. Un dispositif qui n’est pas utilisé risque en outre d’être oublié dans l’inventaire ou bien dans les mises à jour de sécurité. Par conséquent, il ne faut pas hésiter à désactiver tout dispositif qui n’est pas utilisé. Par ailleurs, un dispositif IoT peut présenter une variété d’interfaces de communication, dont l’utilisation se définit en fonction du scénario de déploiement. Encore pour limiter son exposition à des vulnérabilités potentielles, il est recommandé de désactiver ou de retirer les types d’interfaces qui ne sont pas nécessaires au bon fonctionnement de l’objet IoT dans son environnement numérique.
Artboard 12

Mise au rebut

Car tout a une fin...

Mise au rebut

En cas de non usage prolongé ou bien en cas d’obsolescence, il convient de sortir les dispositifs IoT du réseau et de les mettre au rebut. Souvent les dispositifs IoT ont une mémoire qui stocke des informations ou bien des configurations qui révèlent des aspects liés à la sécurité de votre réseau. Il ne faut pas oublier de supprimer ces données des appareils.
Artboard 6

Contrat

Dura lex sed lex…

Contrat

Comme pour tout contrat, une lecture attentive s’impose. Les conditions générales d’utilisation (CGU) d’un objet connecté peuvent se révéler longues et complexes mais elles ne sont pas anodines car elles engagent légalement leurs utilisateurs. Il en va de même pour les conditions d’utilisation des services en ligne associés à ces objets.