Notre Blog

L’IOT en entreprise ? Oui, mais sous condition.

on décembre 6, 2018

Comment installer de l’iot dans un réseau d’entreprise:

Le mot IOT (Internet des objets) est devenu incontournable en 2018. Si ces objets peuvent rendre des services utiles et légitimes, il est important de comprendre les potentiels risques qu’ils peuvent induire si ils sont mal implémentés dans votre réseau d’entreprise.

Qu’est-ce un appareil IOT ? Selon wikipédia : “L’Internet des objets, ou IdO (en anglais Internet of Things, ou IoT) est l’interconnexion entre Internet et des objets, des lieux et des environnements physiques. L’appellation désigne un nombre croissant d’objets connectés à Internet permettant ainsi une communication entre nos biens dits physiques et leurs existences numériques. Ces formes de connexions permettent de rassembler de nouvelles masses de données sur le réseau et donc, de nouvelles connaissances et formes de savoirs.”

Le marché de l’IOT est devenu vaste et touche tous les secteurs, aussi bien pour des usages personnels que professionnels:

  • assistant personnel
  • santé
  • domotique
  • surveillance
  • jouets

Une mise en garde régulière est faite par des organismes comme l’ANSSI avec dernièrement un article sur les jouets connectés.


Quels IOT peut-on trouver en entreprise ?

Un des principaux usages de l’iot en entreprise est la surveillance.

Plusieurs objets peuvent être installés pour assurer une surveillance de son entreprise :

  • caméra/dvr.
  • détecteur de mouvement.
  • détecteur d’ouverture.
  • contrôle d’accès.
  • détection incendie/gaz/eau.
  • alarme.
  • thermostat
  • capteur température.
  • centrale de gestion domotique.

Comment sont connectés ces IOT sur Internet:

Plusieurs possibilités existent pour connecter ces objets sur Internet et ainsi pouvoir les consulter.

Les plus répandues sont le réseau Ethernet et le réseau sans fil.  

Il existe deux méthodes pour pouvoir accéder à ces objets, soit:

  • Directement sur les équipements avec un navigateur web ou une application dédiée.
  • Au travers d’un point de connexion géré par le constructeur. Votre équipement est connecté chez le constructeur. Avec un navigateur web ou une application dédiée vous vous authentifier chez le constructeur pour accéder à vos objets connectés.

Personnellement, je préfère la première solution qui est indépendante du constructeur pour plusieurs raisons:

  • Si le web service du constructeur est interrompu vous perdez l’accès à votre objet.
  • Aucune donnée n’est remontée vers le constructeur (nécessite un filtrage sur votre accès Internet pour bloquer la remontée d’information éventuelle).
  • Filtrage des accès sur vos objets connectés.

Plusieurs schémas d’implémentations de l’IOT en entreprise:

Une caméra de surveillance dans une TPE:

 

Dans une TPE il est rare de trouver des briques de sécurité informatique, en général la sécurité depuis Internet est prise en charge par le modem ADSL de votre fournisseur d’accès. Les fonctionnalités présentes sur ce boîtier sont limitées et ne permette pas de vous protéger correctement des menaces venant d’Internet. Si vous installez une caméra de surveillance dans votre entreprise, c’est pour recevoir des alertes d’intrusions et de pouvoir vérifier en temps réel si une intrusion a lieu.

Pour rendre la caméra accessible, il faut la connecter sur votre réseau d’entreprise et lui ouvrir un accès depuis l’extérieur. Ce mode de fonctionnement fragilise la sécurité de votre entreprise, car si un problème de sécurité est avéré sur votre caméra, un attaquant peut prendre la main sur la caméra et compromettre votre réseau (vol d’information, virus, malware …)

 

Plusieurs approches existent pour sécuriser votre réseau:

  • Au niveau de votre modem routeur internet chez certains constructeurs il est possible de définir une zone appelée DMZ. Cette zone permet d’ajouter des équipements qui sont normalement isolés du reste du réseau. Les objets placés dans cette zone doivent avoir un plan d’adressage ip pris en dehors du plan d’adressage du réseau de votre entreprise. Les équipements placés dans cette zone sont dans une bulle quasi hermétique avec des droits très restreints :
    1. Pas d’accès à Internet directement (accès par serveur proxy)
    2. Impossible de remonter vers le réseau interne. Pour être certains que les objets de cette zone ne puissent pas remonter dans le réseau de l’entreprise vous pouvez placer un ordinateur dans cette zone DMZ est utiliser la commande PING vers une autre machine du réseau interne pour voir si elle est accessible.

  • Si votre modem/routeur n’a pas cette fonctionnalité, il faut ajouter les fonctionnalités de segmentations et politique de filtrage à un boîtier tiers appelé pare-feu ou firewall. Les premiers prix sont au alentour de 800-1000 euro. L’ajout de ce type de boîtier est un premier pas vers la sécurisation de votre entreprise. Grâce à la mise en place de la segmentation de votre réseau, vous allez pouvoir définir des zones de sécurité différentes avec des politiques d’accès pour passer d’une zone à une autre. Aujourd’hui la plupart des petites entreprises ne segmentent pas leur réseau.

  • Préférez le réseau filaire au réseau sans fil. En utilisant le réseau sans fil comme connectivité pour vos objets connectés, il va être difficile de définir une segmentation efficace et ainsi isoler les équipements à risques.

Objets connectés dans un réseau structuré:

Votre réseau est déjà segmenté avec des zones clairement identifiées (utilisateurs, serveurs internes, invités, imprimantes, serveur internet …) et vous voulez installer différents objets connectés avec des services différents (surveillance, gestion chauffage, détection incendie …).

La meilleure approche est celle par le risque. Posez vous la question que si un de ces objets est piraté quel est le risque sur votre réseau d’entreprise ?

Si ces nouveaux équipements sont installés dans des zones avec des accès contrôlés depuis l’interne et d’internet le risque est faible.

Gardez à l’esprit que si par exemple votre réseau de caméras de surveillance vient à être piraté les conséquences peuvent être nombreuses (espionnage, vols d’informations, pénétration dans le réseau, préparation d’acte malveillant …)

Il faut définir une politique de sécurité d’accès à ces nouvelles ressources :

  • qui a accès depuis internet à ces ressources ?
  • les ressources ont elles besoin de pouvoir aller sur Internet ?
  • sur le réseau internet a t on besoin d’accéder à ces ressources ?

 

Il faut garder et analyser les journaux d’événements produits par ces objets:

  • pour permettre une traçabilité des accès
  • détecter des accès non autorisés
  • détecter un comportement anormal

Schéma d’un réseau segmenté en PME avec accès par VPN:

Un collaborateur de votre entreprise muni du logiciel VPN s’authentifie sur le pare feu de l’entreprise puis accède de façon chiffrée à des ressources présentes dans le réseau de l’entreprise (flèche orange). Sur le réseau de l’entreprise une zone DMZ a été créée spécialement pour les objets connectés. Cette zone DMZ est aussi accessible depuis l’intérieur du réseau avec une politique de sécurité qui filtre les accès.

Grâce à l’utilisation de communication chiffrée (VPN) les objets connectés ne sont pas accessibles directement depuis Internet. Il n’y a que les ayants droit qui peuvent accéder aux services offerts par ces IOT.


Schéma d’un réseau en PME avec accès chiffré (VPN) aux objets connectés:

Ce dernier schéma décrit l’utilisation de plusieurs DMZ selon les services proposés. Ici deux DMZ sont créés, une dite de surveillance (caméra, dvr, capteurs, etc) et une dite de domotique (détection incendie, centrale alarme, centrale chauffage, etc ). Le cloisonnement de ces deux zones apporte un niveau de sécurité supplémentaire:

  • Les deux zones ne peuvent pas communiquer entre elles.
  • Les deux zones ne peuvent pas remonter vers le réseau interne
  • Si la fonction de VPN n’est pas utilisée, les deux zones peuvent être visibles de l’internet avec chacune une politique de sécurité différente.

Les recommandations de l’expert 🙂 :

Préférez des équipements avec :

  • des mises à jour régulières
  • un constructeur européen
  • un support de maintenance
  • une documentation décrivant les flux à ouvrir sur votre réseau

Accès direct sur les objets connectés

Préférez une connexion filaire à une connexion sans fils.

Segmentez votre réseau

Définissez une politique d’accès à ces IOT

Changez les mots de passe mis par défaut

Faites vous conseiller par des revendeurs spécialisés comme Planète Domotique


Conclusion

Le marché de l’iot est en plein essor avec une pénétration de plus en plus poussée dans les réseaux d’entreprises. L’un des premiers objets connectés que vous avez sûrement dans vos réseaux est l’imprimante , qui est devenue au fil des années multifonctions avec un accès souvent complet à votre réseau d’entreprise ! (il a piraté 50.000 imprimantes pour soutenir son idole)

L’ajout d’IOT dans un réseau d’entreprise n’est pas anodin pour la sécurité de votre entreprise et doit être réfléchi en amont. Des coups supplémentaires peuvent être induits si votre organisation n’est pas déjà rentrée dans une politique de sécurisation de son infrastructure.

Dans le doute, abstenez-vous et demandez conseil pour installer ces IOT sur votre réseau d’entreprise.

adminL’IOT en entreprise ? Oui, mais sous condition.