Gérôme Billois est spécialiste cybersécurité et digital trust chez Wavestone, un des cabinets de conseil leader en France. Montée en puissance du télétravail, respect de la vie privée et connectivité : il partage ici avec nous son analyse des enjeux actuels autour de la cybersécurité.
En quoi la cybersécurité est-elle aujourd’hui incontournable quand on parle d’objets connectés ?
Les objets connectés sont aujourd’hui présents dans notre quotidien. Ils vont nous être utiles pour ouvrir nos portes avec des serrures connectées, assurer la surveillance de notre maison avec des caméras connectées, gérer le chauffage avec des thermostats, gérer la lumière, gérer les ouvertures. Ces objets connectés vont faciliter et parfois protéger notre quotidien.
C’est pour cela que la cybersécurité est importante, car si ces objets sont détournés, on va pouvoir espionner ces personnes, leur voler des données personnelles et même, dans le pire des cas, s’introduire dans leur domicile. Les cybercriminels savent bien qu’aujourd’hui, ces objets connectés sont des cibles faciles. Prenons l’exemple des caméras connectées, dont le mot de passe n’aurait pas été changé, ça donne tout simplement la possibilité de surveiller à distance le domicile des gens.
Nous avons un cas très récent, de la société “Verdaka”, qui avait connecté des caméras à l’échelle internationale. Des pirates ont réussi à accéder à ces systèmes et ont pu révéler des images capturées dans des prisons, dans des hôpitaux, mais aussi dans les usines de “Tesla” par exemple. Actuellement, il y a une multitude d’attaques sur les objets connectés, aussi bien chez les professionnels que chez les particuliers. Ces derniers étant des cibles encore plus faciles, car ils n’ont souvent ni les équipes, ni les compétences techniques pour sécuriser ces objets. C’est pourquoi il est important que les installateurs de ces objets puissent former et sensibiliser les utilisateurs à la cybersécurité.
Comment la crise sanitaire a-t-elle amplifié ce phénomène ?
La crise sanitaire a amplifié les cyberattaques, car une large partie du monde travaille à domicile. Ce qui ouvre de nouvelles portes aux criminels, car nous accédons maintenant à nos informations à distance. Des portes parfois très peu sécurisées, car installées rapidement.
Mais la vraie raison de l’explosion de la cybercriminalité, c’est l’industrialisation qu’a connue le secteur. Je parle de secteur, car ça devient une véritable industrie qui s’est spécialisée. Avec des experts qui vont être capables de créer des outils qui peuvent être très pointus, passant à côté des protections usuelles comme les antivirus. Ces experts vont ensuite louer ou revendre ces outils d’attaques à des cybercriminels moins expérimentés. Ils pourront ainsi les utiliser et démultiplier le nombre d’attaques.
On voit un vrai mouvement d’organisation du crime de type mafieux autour de la cyber, parce qu’aujourd’hui, c’est le segment du crime qui progresse le plus. Europol l’avait dit lors du premier confinement : le seul crime qui n’a pas été en décroissance et qui a même progressé, c’est le crime cyber. Beaucoup de ces organisations mafieuses l’ont compris, ils se mettent donc de plus en plus au cyber parce que c’est très rentable et peu risqué.
Concrètement, comment cette problématique de la cybersécurité peut-elle se manifester au quotidien chez les particuliers ?
Chez les particuliers, la manifestation première des attaques cyber c’est tout ce que l’on reçoit dans sa boite mail. Les faux e-mails qui nous promettent monts et merveilles, qui se font passer pour notre banque, ou encore l’assurance maladie qui nous propose un remboursement. Ces attaques servent aux cybercriminels car elles peuvent leur donner accès à l’ordinateur des personnes ciblées. Ce qui leur permettra ensuite de voler les données qui y sont présentes, comme leurs identités, leurs données bancaires et qui seront ensuite révélés sur des sites maîtrisés par les cybercriminels.
Les objets connectés peuvent aussi être un canal d’attaque, car ils nous offrent la possibilité de les contrôler à distance. C’est utile pour ouvrir ou fermer ses volets, démarrer son four, sa machine à laver ou encore allumer sa lumière. Mais si cet accès à distance n’est pas bien sécurisé, les cybercriminels peuvent en prendre le contrôle, accéder à un certain nombre d’informations et pouvoir ainsi rentrer dans la vie privée de tout à chacun.
Cependant parmi ces objets, tous ne vont pas avoir la même sensibilité. La capacité de pouvoir allumer ou éteindre une lampe à distance n’a que peu d’enjeux sur votre vie privée. Par contre, quand on parle de caméras de surveillance, là il y a un vrai enjeu. Nous avons vu du chantage basé sur de l’image capturée par des caméras, pour faire croire qu’on a vu des choses que la personne ciblée ne souhaiterait pas voir révéler au grand jour et leur extorquer quelques centaines d’euros. Souvent, cette arnaque passe par la webcam de l’ordinateur, mais elle peut tout à fait s’imaginer à l’échelle d’une caméra de surveillance dans une maison.
Autre scénario possible, la désactivation de l’alarme à distance, ou l’ouverture des volets, pour faciliter un cambriolage par exemple.
Quels sont les points de vigilance, les bonnes pratiques à adopter et les mauvaises à éviter ?
Les bonnes pratiques à adopter sont autour du changement des mots de passe et de la sécurisation de l’accès à distance aux différents objets. Il faut s’assurer que le mot de passe soit solide, et qu’il soit possible de demander d’entrer un code en plus qu’on recevra par SMS.
Il sera aussi important de regarder, sur les systèmes qui vont capturer de la vidéo, la manière dont ces vidéos vont être stockées et la manière dont elles vont être ensuite effacées. Pour ne pas garder indéfiniment des vidéos qui pourraient être volées ultérieurement. S’assurer également que les gens qui peuvent accéder à ses vidéos soient connus et protégés par des systèmes de mots de passe solides.
De manière générale, il y a une chose essentielle, c’est de s’assurer que tous ces objets connectés restent à jour. Les cybercriminels sont très actifs, de nouvelles failles de sécurité sont trouvées très fréquemment. Il y a donc un besoin de maintenir à jour le niveau de sécurité des objets, en s’assurant d’installer les dernières versions des logiciels des différents constructeurs.
Pensez-vous que de faire appel à des constructeurs reconnus est un facteur de protection supplémentaire ?
Aujourd’hui, il est très difficile pour un particulier de savoir si un objet connecté est plus sécurisé qu’un autre. Il nous manque encore une certification ou un label, qui assurerait un niveau de sécurité. Mais cela va changer, car la Commission européenne a lancé un certain nombre d’initiatives dans le dernier “cyber security act”, qui va viser à certifier un niveau minimum de cybersécurité pour ces objets du quotidien.
Il faut être attentif à la qualité de la marque, car même si ce n’est pas à 100% un gage de sécurité, les plus grandes marques ont un intérêt, et les moyens d’investir dans ce sens. Moyens plus importants que ceux de fabricants d’objets lambdas vendus à très bas coût.
Comment les professionnels de l’électricité, qui sont bien souvent des relais chez les particuliers pour les solutions connectées, peuvent-ils aider leurs clients à se protéger ?
Les professionnels de l’électricité qui vont être chez les clients peuvent d’une part, s’assurer que l’installation des objets connectés est faite dans les règles de l’art. Ils peuvent aussi sensibiliser les clients à la cybersécurité, avec des réflexes simples, comme expliquer une fois l’installation finie, montrer comment ça marche, comment changer son mot de passe, comment y accéder à distance de manière sécurisée et puis surtout, comment vérifier régulièrement s’il est à jour et comment le maintenir à jour.
Quelles sont les perspectives (solutions ou défis) qui nous attendent sur la question de la cybersécurité ?
Les enjeux sont majeurs. Nous sommes aujourd’hui dans une situation difficile, car le cybercrime est très rentable. Avec un sentiment d’impunité qui attire beaucoup les criminels. Quand on regarde ceux qui sont chargés de la défense au quotidien, ou de la création de systèmes numériques sécurisés, on se rend compte qu’on manque énormément de bras. Il y a donc un vrai enjeu pour que de nouvelles personnes s’intéressent à ce sujet de la cybersécurité. Beaucoup de formations existent, avec de bons emplois à la clef. Mais malgré cela, les formations dans les écoles sont encore trop peu remplies. On aura donc besoin d’un vrai changement de positionnement pour que la défense ne soit pas dépassée par l’attaque. Le tout pour garantir un futur numérique qui soit sûr et qui donne envie.
Vous êtes intéressés par la connectivité et souhaitez recevoir une newsletter trimestrielle riche sur le sujet ? Devenez Installateur Wiser : en tant que spécialiste de la maison connectée, vous aurez de nombreux avantages exclusifs dont celui-ci ! Pour vous inscrire c’est par ici.
Ajouter un commentaire