Pourtant, plusieurs appareils sont directement connectés aux infrastructures informatiques les plus importantes pour les entreprises. Les robots industriels, les dispositifs qui contrôlent l’équipement de production en usine ou ceux qui aident les employés sur la route à effectuer leurs livraisons en sont des exemples. Des systèmes d’exploitation ainsi que diverses applications sont installés sur ces appareils. Le fonctionnement même de nombreuses entreprises et la sécurité de certains renseignements personnels dépendent de la sécurité de ces appareils et de leurs logiciels. Par exemple :
- Une attaque pourrait viser les systèmes de contrôle d’équipement de fabrication en usine et entraîner une interruption de la production de l’entreprise ainsi que des coûts importants de remise en fonction et des délais de production;
- En visant les équipements de production et les robots industriels, un attaquant pourrait subtiliser les plans et les paramètres de fabrication de différents procédés, ce qui pourrait mettre en péril les secrets industriels d’une entreprise;
- Des lecteurs de codes à barres utilisés pour la livraison de colis pourraient être infectés et transmettre des renseignements, notamment des renseignements personnels, à des pirates informatiques
- Mots de passe faibles ou immuables : certains dispositifs sont vendus avec des mots de passe initiaux connus ou faibles. Il est important de s’assurer que, dès leur installation, ces mots de passe sont changés, puis d’en garder un contrôle serré. Seul le personnel informatique désigné devrait connaître les mots de passe permettant de configurer ces appareils. De plus, il faut éviter d’acquérir des équipements ne permettant pas une gestion de mots de passe (par exemple, dont le mot de passe est immuable).
- Absence de mises à jour : l’Internet des objets repose souvent sur des ordinateurs dont les systèmes d’exploitation ne sont pas mis à jour pendant leur durée de vie. Il en résulte que certains appareils sont vulnérables parce qu’ils utilisent des systèmes d’exploitation et des logiciels ayant des vulnérabilités connues. À cet égard, une saine gouvernance permet d’une part de s’assurer que de tels appareils sont mis à jour, et d’autre part, de n’acquérir que des appareils permettant de procéder aisément à de telles mises à jour régulières.
- Gestion déficiente du parc d’appareils connectés : Certaines entreprises n’ont pas un portrait clair de l’Internet des objets déployés au sein de leur entreprise. Il est impératif d’avoir un inventaire de ces appareils, de leur rôle au sein de l’entreprise, du type de renseignements qui s’y trouvent et des paramètres essentiels à leur sécurité.
- Manque de sécurité physique : Dans la mesure du possible, l’accès à ces appareils devrait être sécurisé. Trop souvent, des appareils sont laissés sans surveillance dans des lieux où ils sont accessibles au public. Des directives claires doivent être données aux employés pour que ceux-ci adoptent des pratiques sécuritaires, notamment en ce qui concerne l’équipement destiné à être déployé sur la route.
- Revoir la composition du conseil d’administration et réviser la matrice des compétences afin de s’assurer que l’équipe possède les compétences requises;
- Offrir de la formation à tous les membres du conseil d’administration afin de développer la cybervigilance et leur donner des outils pour remplir leur devoir d’administrateur; et
- Évaluer les risques associés à la cybersécurité, notamment ceux découlant des appareils connectés, et établir les moyens de mitiger ces risques.
Finalement, une entreprise doit en tout temps s’assurer que les identifiants, mots de passe et autorisations auprès des fournisseurs permettant au personnel informatique d’intervenir ne sont pas entre les mains d’une seule personne ou d’un seul fournisseur. Ceci placerait l’entreprise en position de vulnérabilité si la relation avec cette personne ou ce fournisseur venait à se dégrader.
Sur les auteurs
Éric Lavallée est Associé, Agent de marques de commerce et Avocat chez Lavery;
Serena Lu est Associée, Avocate chez Lavery.
Éric Lavallée est Associé, Agent de marques de commerce et Avocat chez Lavery;
Serena Lu est Associée, Avocate chez Lavery.
Derniers commentaires