Archive mensuelle 30 septembre 2020

La 5G arrive en France et dans le monde en 2020.

Elle s’ajoute aux autres générations, la première pour les services de pagination, la 2^ème pour la téléphonie mobile, la 3^ème pour l’accès internet, et la 4^ème pour le streaming.

Couplée au développement rapide et massif de l’IoT (Internet des Objets), du big data et de l’intelligence artificielle, la 5G offrira des opportunités d’innovation très prometteuses qui bouleverseront les usages et généreront de nouveaux modèles économiques.

Toutefois, son déploiement et son utilisation présente des défis et des enjeux de cybersécurité majeurs.

Qu’est-ce que la 5G ?

La 5G est la nouvelle génération de standard en matière de téléphonie mobile.

Cette technologie apporte notamment :

• Une vitesse de téléchargement allant jusqu’à 20 gigabits (Gb) par seconde, 20 fois plus rapide qu’avec la technologie 4G actuelle.
• Une capacité à gérer une densité de connexion beaucoup plus élevée, allant jusqu’à un million d’appareils par km² (100 000 pour la 4G).
• Une connexion haut débit possible lors de déplacement à grande vitesse (dans un TGV par exemple)
• Un délai de transmission des données de la source à la destination de moins d’une milliseconde, (10 millisecondes pour la 4G) donc en temps réel permettant un délai de réaction immédiat.
• Une grande efficacité énergétique. Pour la même quantité de données transportées la 5G consomme jusqu’à 100 fois moins que la 4G.
• …

Opportunités apportées par la 5G

La 5G, grâce à ces apports permet de connecter un grand nombre d’objets connecté (IoT), à de partager des données en temps réel pour un coût faible et une consommation d’énergie « modérée » par objet connecté (mais démultipliés par le nombre d’objets connectés).

Cela permet l’apparition de nouveaux usages pour les particuliers, les entreprises et les collectivités.

• Pour les particuliers, par exemple, le travail à distance, la maison intelligente ou la voiture autonome.
• Pour les entreprises, par exemple, la surveillance, la gestion et l’optimisation des chaines de production (usine 4.0).
• Pour les collectivités, par exemple, le suivi des réseaux électriques (smartgrid), la ville intelligente (smartcity).

Risques liés à la 5G

Les risques liés à la 5G concernent les objets connectés via la 5G, le réseau lui-même.

Les risques concernant les objets sont démultipliés du fait du nombre potentiel important d’objets connectés. Or, à ce jour, de nombreux objets sont peu sécurisés par défaut.

Parmi les faiblesses communément constatées actuellement (comme pour les IoT) :

• Pour les objets connectés
  • L’absence de chiffrement des données de l’objet connecté ou des données collectées et partagées. Elles sont ainsi exposées lors de leur transmission sur le réseau. Le risque est d’autant plus important lorsqu’il s’agit de données personnelles ou de données stratégiques.
  • L’utilisation de logiciels non mis à jour présentant ainsi des vulnérabilités souvent connues.
  • Des mots de passe standards (mot de passe utilisé par défaut par l’objet à sa « sortie d’usine ») ou faibles et donc faciles à identifier.
• Pour le réseau
  • Défaut de sécurisation du réseau.
  • Compte tenu du volume de trafic et du nombre d’objet potentiel dont sont issus les données, la surveillance est plus difficile.

Ainsi :

• Les données peuvent facilement être exploitées à des fins malveillantes par des pirates informatiques.
• Un attaquant peut prendre le contrôle de l’objet connecté soit, par exemple pour le détériorer (une machine-outil ou une infrastructure critique), soit pour l’intégrer dans un réseau de botnet pour mener des attaques informatique type déni de service (DDoS).
• L’objet connecté peut servir à de l’espionnage, savoir ce que vous faite chez vous, dans votre bureau, votre salle de réunion.
• L’objet connecté peut servir de point d’entrée pour un pirate dans un réseau informatique et mettre en danger l’utilisateur, l’entreprise, la collectivité concernés.
  
  

Toutefois n’oubliez pas que vos utilisateurs sont dans la majorité des cas à l’origine de bon nombre des cybermenaces soit involontairement, par manque de vigilance et/ou de formation, soit par malveillance.

Comment sécuriser la 5G ?

Il est très difficile de sécuriser son réseau 5G. Il faut sécuriser l’ensemble des objets connectés et le réseau de bout en bout. La sécurité du réseau 5G est aussi forte que la sécurité de ses maillons les plus faibles.

Les objets connectés sont souvent nombreux, de natures très différentes, utilisant des modes de connexion au réseau variés (Bluetooth, Wi-Fi, Ethernet…).

Tout d’abord, il vous faut recenser et cartographier l’ensemble des objets IoT que vous utilisez, ainsi que leur état de sécurité ou de vulnérabilité. A défaut, il sera difficile de les protéger.

Puis, il s’agit d’appliquer les bonnes pratiques de cybersécurités :

• Pour les objets connectés
  • Utilisez des mots de passe robustes.
  • Mettez à jour les logiciels utilisés par chaque objet.
  • Testez vos vulnérabilités.
• Pour le réseau
  • Chiffrez les données.
  • Utilisez des protocoles d’échange de données sécurisés (VPN).
  • Protégez votre réseau par l’utilisation de pare-feu, de systèmes de détection d’intrusion (IDS), d’antimalware…
  • Surveillez le trafic notamment les demandes d’accès aux ressources du réseau qui devront être vérifiées, et authentifiées
  • …

Plus d’informations sur les bonnes pratiques de cybersécurité : le guide ANSSI CPME.

Ainsi, la 5G couplé à l’IoT génère de nombreuses opportunités d’utilisation et de modèles d’affaire innovant mais ils s’accompagnent également de nombreuses menaces de cybersécurité. Il faut s’en prémunir ou le risque de piratage informatique est grand.

L’avenir est au tout connecté. Les objets de la vie personnelle (balance, réfrigérateur, montre, téléviseur, caméra, véhicule…) ou de la vie professionnelle (machine-outil, capteur, imprimante…) deviennent des objets connectés. L’avènement de la 5G va permettre l’accélération de cette connexion massive des objets qui nous entourent.

C’est l’internet des objets = IoT (Internet of things).

Cette perspective offre de formidables opportunités pour le développement des affaires. Toutefois, elle s’accompagne aussi de menaces.

En effet, la multiplication de ces objets connectés dans les réseaux offre une surface démultipliée aux cybermalveillances.

Qu’est-ce que l’IoT ?

L’Internet des objets (IoT = Internet of Things) fait référence aux millions d’objets physiques dans le monde désormais connectés. Chacun de ces objets est doté d’une puce informatique et d’une adresse IP unique lui permettant, en toute autonomie, de collecter et d’échanger des informations en temps réel. L’IoT institue un lien entre monde réel et monde numérique. L’utilisation des données collectées permet d’offrir aux utilisateurs de nouveaux services et aux entreprises de nouveaux modèles économiques innovants.

Le terme IoT est essentiellement utilisé pour les objets qui ne sont généralement pas connectés. Ainsi, les PC, tablettes ou smartphones ne sont pas considérés comme des IoT.

Les applications de l’IoT

Les applications sont infinies. Pour les applications domestiques, il sera par exemple possible de piloter un thermostat, une ampoule et finalement tous les objets connectés de la maison via son smartphone.

Pour les entreprises, il sera possible par exemple de suivre le fonctionnement, grâce à de multiples capteurs d’une machine-outil, d’anticiper les disfonctionnements et donc de planifier les réparations avant même qu’une panne survienne.

A une échelle encore plus grande, il sera possible de piloter un réseau électrique (smartgrid), une ville intelligente (smartcity)…

L’avènement des IoT est dû à la miniaturisation des puces basses consommation et la baisse de leurs coûts, la disponibilité croissante de réseaux de communication haut débit sans fil. L’avènement de la 5G va doper cette généralisation.

D’ici 2025, le nombre d’IoT dans le monde est estimé autour des 50 Milliards.

Toutefois, ces objets sont très nombreux et collectent et partagent parfois des informations hautement sensibles dont des données personnelles. C’est pourquoi, assurer la cybersécurité de ces objets et de leur environnement et réseau de communication est fondamental.

En effet, la compromission de certains de ces objets pourraient avoir de graves conséquences, par exemple : espionnage industriel dans le cas d’une machine-outil ou attaque visant à la détériorer, prise de contrôle d’une voiture autonome par un pirate lors d’un trajet, dérèglement de capteurs de température pour une centrale électrique dont les données erronées pourraient conduire à de mauvaises décisions…

Quelles sont les principales faiblesses constatées des IoT ?

Les IoT doivent être sécurisés. Toutefois, ils présentent actuellement de nombreuses faiblesses faciles à exploiter.  Ce qui attire, par conséquent, les cybercriminels. Parmi les faiblesses communément constatées actuellement :

• L’absence de chiffrement des données collectées et partagées. Elles sont ainsi exposées lors de leur transmission sur le réseau. Le risque est d’autant plus important lorsqu’il s’agit de données personnelles ou de données stratégiques.
• L’utilisation de logiciels non mis à jour présentant ainsi des vulnérabilités souvent connues
• Des mots de passe standards (mot de passe utilisé par défaut par l’objet à sa « sortie d’usine ») ou faibles et donc faciles à identifier.
• Défaut de sécurisation du réseau

Ainsi :

• Les données peuvent facilement être exploitées à des fins malveillantes par des pirates informatiques.
• Un attaquant peut prendre le contrôle de l’objet connecté soit, par exemple pour le détériorer (une machine-outil ou une infrastructure critique), soit pour l’intégrer dans un réseau de botnet pour mener des attaques informatique type déni de service (DDoS).
• L’objet connecté peut servir à de l’espionnage, savoir ce que vous faite chez vous, dans votre bureau, votre salle de réunion.

Comment sécuriser vos objets IoT

Il est très difficile de sécuriser les objets IoT. Ils sont souvent nombreux, de natures très différentes, utilisant des modes de connexion au réseau variés (Bluetooth, Wi-Fi, Ethernet…).

Tout d’abord, il vous faut recenser et cartographier l’ensemble des objets IoT que vous utilisez, ainsi que leurs caractéristiques. A défaut, il sera difficile de les protéger.

Puis, il s’agit d’appliquer les bonnes pratiques de cybersécurités :

• Pour l’objet connecté
  • Utilisez des mots de passe robustes.
  • Mettez à jour les logiciels utilisés par chaque objet.
  • Testez vos vulnérabilités.
• Pour le réseau
  • Chiffrez les données.
  • Utilisez des protocoles d’échange de données sécurisés.
  • Protégez votre réseau par l’utilisation de pare-feu, de systèmes de détection d’intrusion (IDS), d’antimalware…
  • Surveillez le trafic
  • …

Plus d’informations sur les bonnes pratiques de cybersécurité : le guide ANSSI CPME.

L’utilisation des objets connectés se généralise. Le défi de leur sécurisation est très important. Entreprise ou particuliers, vous devez protéger vos objets connectés ou subir et assumer les conséquences de cyberattaques.

L’omniprésence des cybermenaces

Aujourd’hui l’usage de l’informatique s’est généralisé. Dans cet environnement, les cybermenaces sont désormais omniprésentes. Qu’il s’agisse de malveillance ou d’espionnage, elles peuvent impacter significativement vos activités et parfois remettre en cause la pérennité même de l’entreprise.

Il ne s’agit plus de savoir si votre entreprise, quelle que soit sa taille et son activité, sera attaquée, mais comment s’en prémunir et, le cas échéant, comment réagir.

La cybersécurité, c’est-à-dire la protection de vos données et de vos SI (Systèmes d’Information) face aux cybermenaces est donc indispensable à la résilience et la pérennité de vos activités.

Elle est également nécessaire à la protection des données personnelles conformément au RGPD (Règlement Général sur la Protection des Données – mai 2018. Elle est aussi, par la confiance et la réputation qu’elle apporte à vos utilisateurs, un vecteur de compétitivité et de croissance.

Les TPE et les PME ont souvent peu de compétences et de moyens à consacrer à la cybersécurité.

Certaines bonnes pratiques faciles à mettre en œuvre et nécessitant peu de moyen, permettent de faire face aux principales cybermenaces.

Voici une liste de quelques guides et formations gratuites à consulter et utiliser sans modération !

Bonnes pratiques en matière de cybersécurité

Le « Guide des bonnes pratiques de l’informatique« . Il est issu de la collaboration entre la CPME (Confédération des PME) et l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information).

C’est un excellent guide dont les mesures sont faciles à appliquer. Il recense les bonnes pratiques informatiques de base à la protection de vos SI. Il vous permettra de vous prémunir de nombreuses cybermenaces.

Sensibilisez et formez vos utilisateurs

La plupart des attaques réussies le sont en raison d’un manque de vigilance des utilisateurs.

Concernant les cybermenaces

Comprendre les cybermenaces, comment elles se manifestent et fonctionnent permettra aux utilisateurs de savoir comment les repérer et les éviter.

L’ANSSI encore (Agence Nationale de Sécurité des Systèmes d’Information) a créé une excellente formation en ligne gratuite. Très complète et très pédagogique, vous pouvez cibler sur les domaines qui vous intéressent le plus.

La rubrique des risques cyber qui présente différentes cybermenaces et comment s’en prémunir.

Concernant les bonnes pratiques informatiques

Comprendre les principales mesures de cybersécurité et donc de protection de vos données et SI facilitera leur compréhension et par conséquent leur application par les utilisateurs.

Le « Guides des bonnes pratiques de l’informatique » (CPME / ANSSI) à diffuser auprès de vos utilisateurs.

A compléter, si besoin, par le « guide des bonnes pratiques de sécurité numérique à observer en déplacement » de l’ANSSI.

Si vous avez des questions sur la mise en œuvre de ces pratiques, sur les outils de cybersécurité recommandés, sur l’audit de vos mesures de cybersécurité ou aller plus loin, contactez-nous.