← Tous les articles

Objets connectés : les portes d'entrée invisibles de votre entreprise

Téléviseurs intelligents, caméras Wi-Fi, thermostats, machine à café connectée : chaque gadget branché à votre réseau est un petit ordinateur que personne ne surveille. Voici comment les isoler intelligemment — sans sacrifier le confort du bureau.

Objets connectés : les portes d'entrée invisibles de votre entreprise

Le piège de l'omni-connectivité : comment les objets connectés créent des portes d'entrée invisibles dans votre entreprise

Faites mentalement le tour de vos bureaux. Le téléviseur intelligent dans la salle de conférence. Les caméras de sécurité Wi-Fi. Le thermostat connecté. Les imprimantes réseau, le système de contrôle d'accès, les haut-parleurs de la réception — peut-être même la machine à café qui envoie une notification quand le réservoir est vide. Les espaces de travail modernes débordent d'objets connectés, et c'est tant mieux : ils rendent le bureau plus confortable, plus efficace, plus agréable.

Le problème? Chacun de ces gadgets est, en réalité, un petit ordinateur branché sur votre réseau. Et contrairement à vos postes de travail, personne ne le surveille, personne ne le met à jour, et presque personne ne le considère comme un risque. Les pirates, eux, l'ont très bien compris.

Des ordinateurs déguisés en électroménagers

Un portable d'entreprise bénéficie d'un antivirus, de mises à jour automatiques et d'une supervision par l'équipe TI. Le téléviseur de la salle de conférence, lui, n'a souvent rien de tout ça. Beaucoup de ces appareils roulent des logiciels que le fabricant cesse de mettre à jour après quelques années — quand il les met à jour tout court. Plusieurs conservent leur mot de passe d'usine des années après l'installation. Et il est généralement impossible d'y installer le moindre outil de protection.

Pire encore : ces appareils échappent souvent au radar des TI. La caméra a été achetée par les opérations, le téléviseur par le marketing, le thermostat installé par le propriétaire de l'immeuble. Résultat : votre réseau héberge une population d'appareils que personne n'a inventoriés, que personne ne surveille et qui ne figurent dans aucun plan de sécurité.

L'aquarium, le thermostat et les 40 millions de cartes

L'exemple est devenu un classique de la cybersécurité. Selon la firme de cybersécurité Darktrace, un casino nord-américain s'est fait voler en 2017 sa base de données de clients fortunés. Le point d'entrée des pirates? Le thermomètre connecté de l'aquarium du hall d'entrée. Une fois ce gadget compromis, les attaquants ont circulé sur le réseau jusqu'aux données sensibles, puis les ont exfiltrées par le même chemin.

Quelques années plus tôt, la chaîne américaine Target avait vécu l'un des vols de données les plus médiatisés de l'histoire du commerce de détail — environ 40 millions de cartes de paiement compromises — à partir d'identifiants volés à son fournisseur de chauffage et de climatisation.

La leçon est la même dans les deux cas : les pirates n'attaquent presque jamais la porte blindée. Ils cherchent la fenêtre du sous-sol restée entrouverte. Et dans un bureau moderne, les fenêtres entrouvertes se multiplient à chaque nouveau gadget branché.

Le vrai problème : tout le monde sur le même réseau

Un objet connecté vulnérable, c'est ennuyeux. Un objet connecté vulnérable branché sur le même réseau que vos serveurs, votre comptabilité et vos données clients, c'est une bombe à retardement. Or, dans la plupart des PME, tout partage le même réseau : postes de travail, serveurs, caméras, téléviseurs et téléphones des visiteurs. Une fois le maillon faible compromis, rien n'empêche l'attaquant de se déplacer vers ce qui a réellement de la valeur.

Et ce n'est pas un risque théorique : les attaques automatisées contre les objets connectés se comptent désormais en centaines de milliers par jour à l'échelle mondiale — des balayages qui testent sans relâche tout ce qui est branché à Internet. Le plus récent rapport de Zscaler sur les menaces IoT le confirme : ces appareils compromis servent avant tout de points d'entrée pour circuler ensuite vers le reste du réseau.

L'angle réglementaire mérite aussi réflexion. Au Québec, vos caméras de sécurité captent des renseignements personnels au sens de la Loi 25 — des images d'employés et de clients. Une caméra compromise qui diffuse ces images à un tiers, c'est un incident de confidentialité, avec les obligations de déclaration qui viennent avec. Et les questionnaires de cyberassurance demandent maintenant explicitement si votre réseau est segmenté.

La solution : isoler sans débrancher

La bonne nouvelle : il n'est pas question de renoncer au confort. La réponse s'appelle la segmentation réseau, et le principe se comprend avec une analogie d'hôtel. Votre carte de chambre ouvre votre chambre, l'ascenseur et le gym — pas les autres chambres, ni les locaux techniques. Chacun circule librement là où il doit aller, et nulle part ailleurs.

Appliqué à votre entreprise, ça donne des réseaux distincts : un pour les postes de travail, un pour les serveurs, un pour les objets connectés, un pour les visiteurs. La machine à café peut parler à Internet pour ses mises à jour, mais il lui est tout simplement impossible d'atteindre le serveur comptable. Le téléviseur de la salle de conférence diffuse vos présentations, mais ignore jusqu'à l'existence de vos données clients. Si un gadget est compromis, l'incendie reste confiné à sa pièce.

C'est d'ailleurs l'application concrète d'un principe que nous abordions dans notre article sur le Zero Trust : présumer que la brèche aura lieu, et concevoir l'environnement pour qu'elle ne se propage pas.

Pour vos équipes, rien ne change au quotidien : le Wi-Fi fonctionne, les appareils aussi. La segmentation est invisible — elle ne se remarque que le jour où elle vous sauve.

Par où commencer?

Première étape : l'inventaire. On ne protège pas ce qu'on ne connaît pas, et un balayage du réseau révèle presque toujours des surprises — des appareils oubliés, des équipements branchés sans que personne s'en souvienne. Deuxième étape : la segmentation elle-même, avec des règles claires entre les zones, en commençant par isoler ce qui n'a aucune raison de côtoyer vos données critiques. Troisième étape : l'hygiène de base — remplacer les mots de passe d'usine, appliquer les mises à jour disponibles, retirer les appareils abandonnés par leur fabricant.

Et une règle d'affaires toute simple pour la suite : tout nouvel appareil qui se branche au réseau passe d'abord par les TI, peu importe qui l'achète.

Le mot de la fin

L'omni-connectivité n'est pas un piège en soi : c'est l'absence de cloisons qui en fait un. Les objets connectés sont là pour rester, et ils rendent réellement le bureau plus agréable. La question pour un dirigeant n'est donc pas « faut-il les bannir? », mais « qui s'assure qu'ils ne mettent pas le reste en danger? ».

Chez MMO Techno, la segmentation réseau fait partie de notre approche standard : inventaire complet de ce qui vit sur votre réseau, architecture de zones adaptée à vos opérations, puis surveillance en continu dans le cadre de nos services TI gérés. Le tout, sans priver personne de la machine à café.

Curieux de savoir combien d'appareils inconnus vivent sur votre réseau en ce moment? Contactez-nous pour un audit — la réponse surprend presque toujours.

Un projet TI ou une question ?

Parlez à un expert MMO Techno. On vous répond clairement, sans jargon.

Contactez-nous