La Cybersécurité – EPISODE 8
Dans un entretien au Parisien, Guillaume Poupard, le directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a déclaré que : « Il y a parfois des produits avec tellement de vulnérabilités qu’il n’y a pas besoin de portes dérobées pour que ces équipements soient dangereux. » Il convient donc de garantir un certain niveau de sécurité de ces équipements du quotidien. La SBA contribue à la mise en place de solutions, via son groupe de travail ″Équipements″ de la commission Cybersécurité, piloté par Patrice Ferrant.
En matière de sécurité numérique, l’équipement (automate, objet connecté, poste de travail) constitue généralement le maillon faible, comme le confirme Patrice Ferrant, Regional sales manager chez le pionnier des technologies vidéo IP MOBOTIX. « Effectivement, dit-il, selon une intéressante étude récente, 22 % des cyberattaques viennent de ″l’homme du milieu″, c’est-à-dire d’interception de communications entre deux parties, lors d’une opération de télémaintenance par exemple dans le cas d’un équipement connecté dans un bâtiment. »
Quatre fois plus de cyber-victimes en un an
La sécurité dans le Smart Building s’applique à trois niveaux : l’infrastructure numérique, les postes utilisateurs (ordinateurs, tablettes ou smartphone) et les objets connectés. « La sécurité numérique est un enjeu majeur, lance Patrice Ferrant. On assiste à une augmentation importante des failles potentielles, car les particuliers, les sociétés, leurs salariés et les collectivités sont de plus en plus connectés. Le stockage de données personnelles ou professionnelles attire les personnes mal intentionnées, qui cherchent à se les procurer pour en tirer parti. » Pour l’ANSSI, l’heure est grave actuellement. Depuis le début de l’année 2020, la cybercriminalité explose, multipliant par 4 le nombre de victimes à périmètre constant.
Un manque de protection des produits connectés
Des études ont montré que les développeurs de produits numériques ne protègent pas assez leurs produits. « C’est tout l’inverse chez MOBOTIX. Nous fabriquons des caméras Security by design, rapporte Patrice Ferrant. Cela nous permet de constater l’importance des attaques. Citons l’exemple d’une attaque par un agent logiciel conçu par un hacker, qui a réalisé en 1,30 minute plus de 1 200 tentatives de connexion, dont 570 avec le login Admin tout simplement, sur une installation en Espagne, heureusement sans dommage, puisque nos caméras sont protégées par des fonctions d’alertes. »
Shodan : une mine d’informations sur les vulnérabilités des équipements librement accessible
Les hackers n’ont pas forcément de grandes difficultés pour accéder aux vulnérabilités des équipements connectés. Connaissez-vous le moteur de recherche Shodan ? Il s’utilise comme Google, Bing ou Qwant, mais il recherche les équipements connectés à internet, les localise et récupère leur adresse IP. « Entre le web et le deepweb, Shodan permet aux hackers d’accéder à tous les ports ouverts, déplore Patrice Ferrant. Il est ainsi devenu en 12 ans un acteur clé dans les recherches de vulnérabilités sur internet et dispose d’une centaine de filtres pour trouver précisément un service, un équipement au sein d’une ville, une faille informatique… » Il peut aussi localiser des caméras de vidéosurveillance, des installations de traitement d’eau, des automates, des appareils médicaux, des feux de circulation, des téléviseurs intelligents… C’est tellement facile !
La SBA veut améliorer la confiance en matière de sécurité numérique des produits
Pour contribuer à réduire les vulnérabilités des équipements connectés, la SBA a constitué un groupe de travail ″Sécurité des équipements″ au sein de la commission Cybersécurité, lancé en mai 2021. L’objectif ? Répertorier les bonnes pratiques en matière de cybersécurité, évaluer la robustesse des équipements vis-à-vis de risques, définir des critères de confiance sur la sécurité numérique… « Nous n’allons pas réinventer les moyens et méthodes déjà développés par des organismes experts comme l’ANSSI, ou le CNPP[1], conclut Patrice Ferrant, mais nous allons nous inspirer de leurs bases de travail. Nous avons la chance d’accueillir justement, au sein du groupe de travail de la SBA, un représentant du CNPP, pour que l’on avance ensemble et pour intégrer à terme un haut niveau de sécurité dans le label R2S. »
[1] La Certification Produit par le CNPP apporte une évaluation de la confiance. Elle est basée sur un référentiel et une organisation reconnue par les assureurs et les professionnels du métier.
Rétroliens/Pings