La technologie portable peut-elle menacer la sécurité de votre entreprise ?

De nos jours, le point le plus vulnérable de la cybersécurité de votre entreprise entre et sort de votre porte d’entrée plusieurs fois par jour.

En effet, il est loin le temps où vos données se trouvaient en sécurité derrière des pare-feux. Les informations sensibles se trouvent désormais dans les vêtements et accessoires mobiles, tels que les bracelets de suivi de la condition physique, les dispositifs permettant des transactions et même les soutiens-gorge.

Bienvenue dans le meilleur des mondes, celui des « wearables », qui fait l’objet du dernier article de la Travelers Indemnity Company, ou simplement Travelers, dans sa série Global Technology’s Risk Advisor, « The Wearables Revolution Has Arrived » (PDF).

Décortiquer les types d’appareils portables

Dans son rapport, Travelers a réparti les wearables en cinq catégories :

1. Lunettes et casques intelligents – par exemple les lunettes Google et le Gear VR de Samsung ;
2. Montres intelligentes – par exemple les montres Apple et Android et ;
3. Traceurs d’activité physique – par exemple Fitbit, Nike FuelBand et Microsoft Band ;
4. Dispositifs médicaux portables – par exemple le système de surveillance continue du glucose de Medtronic et le patch sans fil ZIO ; et
5. Vêtements et accessoires intelligents – par exemple les produits Visijax et le soutien-gorge OMSignal susmentionné.

Selon Travelers, « indépendamment de leur taille physique ou de leur application commerciale, les dispositifs portables possèdent trois technologies habilitantes qui les rendent « intelligents » : »

De nombreux produits portables sont capables de suivre plus que les simples informations pour lesquelles ils sont commercialisés. En voici deux exemples :

1. Les trackers de fitness haut de gamme qui peuvent suivre non seulement les pas mais aussi d’autres paramètres de santé et même offrir une fonctionnalité et une connectivité avec le courrier électronique et les médias sociaux ; et
2. Les montres intelligentes qui offrent une fonctionnalité de paiement mobile par transmission (par exemple, payer son Starbucks sans avoir à se trimballer avec son portefeuille).

Problèmes de sécurité liés aux technologies portables

Travelers répartit les risques posés par les « wearables » en trois « classes » :

1. Cyber ;
2. Dommages corporels ; et
3. Erreurs et omissions technologiques.

Chaque catégorie de risque pose ses propres problèmes aux entreprises, bien que la deuxième, « dommages corporels », ne concerne que les fabricants de vêtements et ne sera pas abordée ici. Les sections suivantes examinent les risques commerciaux des deux autres catégories et énumèrent des approches visant à minimiser ces risques.

Classe 1 : Cyber-risques posés par les produits portables

Si vous vous inquiétez des problèmes de sécurité liés à la technologie portable, vous n’êtes pas seul. En fait, les cyberrisques et les violations de données ont été la deuxième préoccupation des entreprises américaines en 2015 :

Les deux « scénarios de risque illustratifs » suivants, fournis par Travelers, montrent que les problèmes de sécurité liés à la technologie portable entraînent leur propre lot de risques pour les entreprises :

Note : le rapport mentionne également des scénarios de risques personnels – nous nous concentrerons ici sur les exemples spécifiques aux entreprises.

• Interception des signaux : Un employé apporte au travail ses propres lunettes intelligentes, qui sont connectées à son smartphone. Ce dernier est à son tour connecté à un réseau d’entreprise où sont stockées des données sensibles sur les clients, telles que les numéros de carte de crédit et de compte. Un voleur intercepte le flux Bluetooth de l’écran des lunettes intelligentes en route vers un magasin de données dans le nuage, et vole les identifiants de connexion des clients pour vider les comptes bancaires.
• Espionnage d’entreprise : Un cadre entre dans son immeuble en portant un authentificateur d’identité sans fil. À son insu, un espion d’entreprise habillé de la même façon entre quelques pas derrière lui, armé d’un intercepteur de signaux sans fil. Après avoir saisi le code PIN non crypté du cadre à partir de la signature électronique, l’espion peut maintenant se déplacer dans le bâtiment avec toutes les autorisations dont bénéficie le cadre, y compris l’accès à la propriété intellectuelle, qu’il vend ensuite à ses concurrents.

Pour minimiser les problèmes de sécurité liés à la technologie portable, Travelers suggère aux entreprises de rechercher les caractéristiques suivantes dans les dispositifs portables qu’elles autorisent et, si elles ne les trouvent pas, de les exiger des fabricants :

• Niveaux de sécurité personnalisés : donnent aux utilisateurs la possibilité de choisir le niveau de sécurité qui leur convient lorsqu’ils installent leur appareil ou l’associent à leur smartphone. Les utilisateurs prennent rarement en compte la sécurité lorsqu’ils portent leur appareil, de sorte que le choix par défaut des paramètres les moins sûrs ouvre une faille que les pirates peuvent exploiter.
• Fonction d’effacement à distance : permettre aux utilisateurs de wearables d’effacer et/ou de désactiver leur appareil à distance en cas de perte ou de vol. C’est ce que fait Apple avec la version la plus récente de l’iPhone. Les fabricants de dispositifs portables devraient envisager de proposer la même fonction.
• Cryptage Bluetooth : Bluetooth offre une API de cryptage lors de l’échange de données entre un appareil et son magasin de données cible, mais peu d’entreprises en tirent parti car cela réduit la durée de vie de la batterie.
• Chiffrement des éléments de données critiques : Les éléments de données les plus critiques transférés entre les dispositifs portables et les magasins de données sont les identifiants d’utilisateur, les mots de passe et les numéros PIN. Aussi incroyable que cela puisse paraître, la plupart des dispositifs portables transmettent ces éléments de données en texte clair, sans aucun chiffrement.
• Sécurité dans le nuage : Les données sont souvent transmises d’un dispositif portable à un smartphone, puis à un magasin de données en nuage. Les nuages virtualisés peuvent sécuriser les données avec plusieurs systèmes d’exploitation différents, chacun fonctionnant dans un contexte de sécurité différent. Les banques sécurisent souvent les données de paiement des déposants de cette manière ; les entreprises de wearables devraient envisager une fonctionnalité similaire et votre entreprise devrait l’exiger.

Classe 3 : Risques d’erreurs et d’omissions technologiques posés par les produits portables

Bien que l’on suppose que les fabricants de wearables prennent toutes les précautions possibles pour mettre sur le marché un produit irréprochable, il est inévitable que des erreurs se produisent et que des détails soient oubliés.

Les deux « scénarios de risque illustratifs » suivants, fournis par Travelers, démontrent que les wearables apportent leur propre marque de « loi de Murphy » aux entreprises :

• Fermeture d’un site de commerce électronique : L’utilisateur d’une montre intelligente se connecte au réseau de l’entreprise. La montre intelligente est infectée par un logiciel malveillant en raison d’une vulnérabilité dans le logiciel de l’appareil. Le logiciel malveillant infecte le réseau de l’entreprise et exécute une attaque DDOS qui met hors service le système de commerce électronique de l’entreprise pendant deux jours.
• Défaillance du logiciel d’un appareil de réalité virtuelle : Une entreprise de transport routier passe un contrat avec une société de formation qui utilise des dispositifs de réalité virtuelle portables pour former les routiers au permis de conduire commercial (CDL). Un problème dans le logiciel de l’appareil empêche l’achèvement du programme CDL, ce qui fait que l’entreprise de camionnage ne dispose pas d’un nombre suffisant de chauffeurs. L’entreprise de camionnage ne parvient pas à honorer ses contrats d’expédition, ce qui lui fait perdre des revenus et des clients. En outre, la société de formation subit une atteinte à sa réputation et une perte d’activité.

Bien que les suggestions de Traveler pour réduire les risques dans cette catégorie visaient principalement à limiter la responsabilité des fabricants de vêtements, voici quelques recommandations de bon sens que vous pouvez utiliser pour réduire les risques pour votre entreprise dans ces scénarios :

• Dans le cas des logiciels malveillants, votre solution de commerce électronique doit être équipée de la solution de détection et de mise en quarantaine des logiciels malveillants la plus récente et la plus performante, qui protège vos systèmes quelle que soit l’origine de la menace.
• Tout système de formation doit être testé de bout en bout une fois mis en place. Cela permettrait de détecter rapidement les erreurs et d’y remédier rapidement.

Conclusion

Le nombre croissant de produits « intelligents » à porter sur soi ne manquera pas d’ouvrir une nouvelle ère de problèmes de sécurité pour les entreprises. Bien que cela puisse vous amener à bannir complètement les produits portables, leurs avantages en termes de productivité et de fonctionnalité sont indéniables.

Comme pour toutes les nouvelles technologies, la clé réside dans la gestion des risques et la réduction des dommages qu’une nouvelle technologie peut infliger à votre entreprise. En gardant cette approche à l’esprit, votre entreprise pourra plus facilement explorer la révolution des « wearables ».

Montre intelligente Photo via Shutterstock