Selon une étude de Statista , il y aura 75 ,4 milliards d'objets connectés dans le monde d'ici 2025. Ils sont en effet arrivés massivement dans les foyers ces dernières années, pour faciliter le quotidien de leurs utilisateurs via l'automatisation. Cependant, ces innovations représentent une véritable porte d'entrée vers le réseau domestique. Avec la généralisation du télétravail, les objets connectés sont ainsi devenus des cibles privilégiées des cybercriminels, qui profitent de leur niveau sécurité généralement faible pour accéder aux informations sensibles des entreprises.
D'après une récente étude réalisée par HP, 70 % des appareils intelligents sont vulnérables. Les exemples d'attaques réussies exploitant l'IoT ne manquent donc pas : les machines à café, les thermostats, les téléviseurs, ou encore les babyphones, peuvent être hackés pour espionner leurs propriétaires, collecter leurs données ou exiger de l'argent - des cybercriminels ont par le passé menacé d'augmenter le chauffage, et donc la facture énergétique, de foyers si une demande de rançon n'était pas payée. Bien souvent, ces compromissions sont facilitées par le fait que les utilisateurs ne changent pas les identifiants par défaut de leurs appareils intelligents.
Mode de travail hybride, la voie royale pour les cybercriminels
En parallèle de cette adoption massive et des vulnérabilités certaines, nous avons été frappés par pandémie du Covid-19. Cette crise a conduit le gouvernement français à demander aux organisations de favoriser le télétravail, voire de l'imposer, au cours de l'année. De nombreux employés se sont donc connectés aux réseaux de leur entreprise depuis leurs réseaux domestiques, peu, voire pas, sécurisés. Cela représente un danger significatif pour leur employeur en cas de manquement aux principes de base de cybersécurité. L'utilisation de plus en plus fréquente d'objets connectés offre en effet davantage de possibilités aux cyberattaquants, en mesure de compromettre facilement un appareil du foyer mal sécurisé puis, via le réseau domestique, et par rebond, de tirer profit de l'appareil professionnel du télétravailleur.
En situation de travail à distance, les employés doivent prendre toutes les mesures nécessaires pour assurer et améliorer la sécurité des objets connectés, en renforçant notamment leur authentification de connexion. Ils doivent accorder une attention particulière aux identifiants. En effet, il est important de modifier les informations de connexion par défaut et de choisir un mot de passe fort. En omettant de le faire, les utilisateurs ouvre la voie royale aux pirates informatiques. En plus de la sécurisation de l'IoT, il est important que les télétravailleurs sécurisent leur poste de travail, au moyen d'une double authentification, qui consiste à présenter deux preuves d'identité distinctes pour obtenir l'accès. Il est également essentiel de redoubler de vigilance sur la protection des ordinateurs professionnels dans le cadre de l'activité en ligne : de nombreuses violations sont le fruit d'erreurs humaines, les utilisateurs cliquant notamment sur des liens malveillants, ou installant des malwares en pensant qu'ils sont sûrs.
Des outils disponibles, au-delà des bonnes pratiques
Au-delà des salariés, les employeurs ont également la responsabilité de mettre en place des procédures destinées à sécuriser les données qui circulent entre les réseaux domestiques et professionnels. Une solution simple consiste en un réseau privé virtuel (VPN), soit un lien chiffré entre l'ordinateur d'un utilisateur et le serveur de l'entreprise. Un VPN empêche toute personne d'accéder à des données sensibles pendant leur transit. Il peut également offrir un environnement sûr si un télétravailleur est amené à utiliser un Wi-Fi public. Même si un pirate crée un faux spot Wi-Fi pour essayer d'intercepter les données, il ne serait pas en mesure de les traduire.
Par ailleurs, la plupart des routeurs domestiques portent un nom standard qui, s'il n'est pas modifié, peut indiquer aux pirates informatiques que l'utilisateur n'est pas rigoureux en matière de sécurité. En modifiant le Service Set Identifier (SSID), et en utilisant un mot de passe long et complexe, les particuliers et les entreprises réduisent considérablement les menaces. Il s'agit d'une modification rapide, mais qui pourrait empêcher un foyer de se retrouver victime d'une attaque généralisée.
La division du réseau domestique en deux est par ailleurs un moyen efficace de renforcer la sécurité de son système informatique. Dans cette configuration, les utilisateurs peuvent se servir des appareils qui présentent des données sensibles, tels qu'un ordinateur professionnel, sur un réseau différent de celui qui supportent les objets connectés pour la maison. En recourant à cette méthode, même s'il obtient l'accès à l'un des appareils intelligent du foyer, un cybercriminel ne peut pas accéder directement à l'ordinateur professionnel s'il est utilisé via le réseau qui est isolé et donc protégé. Le réseau utilisé pour les objets connectés qui ne gèrent pas de données critiques peut aussi être utilisé pour les invités, protégeant ainsi les appareils sensibles, si leur comportement inapproprié en matière de navigation pose un problème de sécurité.
Ainsi, à mesure que les télétravailleurs s'habituent à la « nouvelle normalité », la protection des objets connectés doit faire partie intégrante de leur vie quotidienne. S'ils sont mal sécurisés, ils peuvent rapidement devenir des fardeaux aux conséquences dramatiques. Quelle que soit la manière dont une faille entraine une compromission, aucun utilisateur ne souhaite que ses appareils intelligents se retournent contre lui. Quant aux entreprises, leur stratégie de cybersécurité est à adapter aux nouveaux usages, et il est crucial de mettre en place les outils et procédures adéquates pour soutenir les télétravailleurs. En effet, la vigilance en matière de cybersécurité est plus que jamais une nécessité, tant du côté des collaborateurs en télétravail que des entreprises.