Internet des objets : Trousse d'information pour les petites et moyennes entreprises

La connectivité et l'automation que permet l'Internet des objets (IdO) favorisent le développement de tous les secteurs d'activité, mais elles comportent d'importants risques. Les appareils de l'IdO se connectent à un réseau pour communiquer entre eux et échanger de l'information, créant ainsi de nouveaux points d'accès à l'information sauvegardée sur le réseau et aux appareils utilisant celui-ci. Pour protéger votre petite ou moyenne entreprise (PME) des effets potentiellement dévastateurs de cyberincidents éventuels, vous devez la rendre cybersécuritaire.

En tant que propriétaire ou dirigeant d'une PME, vous croyez peut-être que celle-ci est à l'abri des cyberincidents, mais l'IdO augmente le risque de cyberincident ainsi que la complexité de la cybersécurité.

Dans ce guide, vous apprendrez comment l'IdO fonctionne et quelles incidences il aura sur votre entreprise, en plus des risques qu'il présente pour la sécurité de l'information, la confidentialité et la sécurité en général. Notre stratégie de cybersécurité en cinq étapes vous aidera à mettre en œuvre l'IdO dans votre entreprise de façon sécuritaire et à élaborer une politique sur la sécurité de l'IdO qui s'harmonise à celle sur la cybersécurité déjà en vigueur.

La sécurité de l'IdO est une responsabilité partagée par la direction, le service des TI et le personnel.

En plus du présent guide, vous trouverez, dans la trousse d'information #IdOAuTravail,
d'autres ressources à partager au sein de votre entreprise. Ce guide fait référence à des sections du Guide Pensez cybersécurité pour les petites et moyennes entreprises, dont il est le compagnon.

L'Internet des objets

Articles de blogues connexes

L'IdO est un réseau créé à partir d'appareils intelligents qui sont connectés et qui communiquent entre eux via un réseau comme Internet. Les appareils connectés recueillent et échangent de l'information entre eux grâce à des logiciels, caméras et capteurs capables de détecter la lumière, les sons, la distance, les mouvements, etc. Ils peuvent être contrôlés et surveillés à distance, mais la plupart fonctionnent automatiquement. Parmi les appareils intelligents, on trouve des électroménagers, des serrures, des caméras de sécurité, des équipements de production et des véhicules connectés.

L'Internet multidimensionnel est un prolongement de l'IdO qui englobe le système plus complexe constitué de la communication de machine à machine, de personnes et de processus. Autrement dit, l'Internet multidimensionnel est un réseau composé de personnes, de données, de processus et d'appareils.

L'Internet des objets industriel (IdOI), quant à lui, désigne l'intégration des technologies de l'IdO, de capteurs en réseau et de logiciels dans du matériel de fabrication, etc. On l'appelle aussi l'Internet industriel.

Les secteurs d'activités qui emploient l'IdO

L'Internet des objets est utilisé dans des secteurs d'activité variés, de l'agriculture aux soins de santé en passant par celui de la fabrication.

Voici quelques progrès réalisés grâce à l'IdO :

L'IdO et les risques pour la sécurité de l'information

La mise en œuvre de l'IdO au sein d'une entreprise comporte un obstacle de taille qu'il importe de surmonter : la sécurité. Une atteinte à la sécurité pourrait avoir d'importantes répercussions sur la réputation et la crédibilité de l'entreprise, et se traduire par une perte de temps et d'argent, en plus d'avoir des conséquences juridiques.

Les appareils de l'IdO se connectent entre eux, mais aussi au réseau de votre entreprise et aux autres appareils qui utilisent celui-ci, sans oublier le fournisseur de l'IdO et les appareils de votre personnel et de vos clients. En raison de cette interconnectivité et de cette automatisation, un cyberincident pourrait avoir des répercussions sur les affaires de votre entreprise, depuis son siège social jusqu'à vos clients en passant par sa chaîne d'approvisionnement.

Qu'il s'agisse d'incidents ciblant des appareils en particulier ou d'incidents indirects causés par des menaces virales comme des logiciels malveillants, les cyberincidents peuvent avoir des effets en aval sur la sécurité des TI de votre entreprise et affaiblir toute l'infrastructure des TI. Par exemple, si votre entreprise possède un parc de camions de livraison pour son système de transport intelligent et que le programmeur ou constructeur des camions est touché par un logiciel malveillant, celui-ci pourrait aussi perturber indirectement tous vos camions connectés. Pour de plus amples renseignements sur les logiciels malveillants, consultez la section Sécurité sur le Web — Programmes malveillants.

Chaque connexion augmente le degré de vulnérabilité de votre entreprise. Il est impossible de protéger l'information qui circule sur votre réseau si vous ne contrôlez pas l'accès des personnes et des appareils qui s'y connectent. Pour de plus amples renseignements sur la sécurité de l'information, consultez la section Sécurité des données.

L'IdO et la confidentialité

Qu'il soit lié à l'IdO ou non, tout cyberincident augmente considérablement les risques de vol, de divulgation ou d'altération de l'information. Ainsi, l'information concernant votre entreprise, vos employés et vos clients pourrait être détruite, altérée, volée ou publiée, ou même « retenue en otage » jusqu'au versement d'une rançon.

Les appareils connectés collectent de grandes quantités de données, ce qui représente un motif de préoccupation pour la confidentialité et l'intégrité des données de l'entreprise. Assurez-vous d'utiliser des appareils connectés qui font preuve de transparence en ce qui a trait à leurs politiques sur la collecte des données. Ces politiques devraient préciser quelle information sera collectée, combien de temps elle sera conservée et à quoi elle servira (à des recherches marketing, etc.).

Si vous déployez l'IdO dans votre entreprise, vous devriez mettre à jour vos politiques concernant la confidentialité. Vous devriez envisager de recourir à une organisation professionnelle spécialisée en cybersécurité pour mener une étude d'impact en matière de confidentialité, établir des normes pour l'IdO et définir des degrés de sécurité pour les rapports entre les utilisateurs et les machines ou appareils. Par exemple, l'utilisation par un employé sûr d'un appareil non sécurisé devrait être considérée comme non sécuritaire et être soumise à des restrictions. Vous pourriez également vous adresser à un conseiller juridique pour comprendre et réévaluer les exigences et responsabilités légales, les déclarations de confidentialité des appareils connectés et les dispositions contractuelles.

Par ailleurs, la sécurité et la confidentialité de l'information concernant vos employés pourraient aussi être compromises par le biais des appareils personnels connectés au réseau de l'entreprise. En informant vos employés sur l'IdO et en leur offrant une formation sur le sujet, vous contribuerez à protéger leur vie privée. Dans cette optique, vous pourriez élaborer une politique sur l'IdO, semblable à une politique « Apportez votre équipement personnel de communication » (AVEC), qui traite de l'accès au réseau, des appareils autorisés, des mots de passe, des sites Web sécurisés, etc. Pour de plus amples renseignements sur les politiques, consultez la section Questions de gestion — Élaboration de politiques et de normes.

L'IdO et la sécurité

Quand un appareil connecté contrôle des biens matériels et des opérations, comme un véhicule intelligent ou une pompe à insuline, la menace que fait planer un cyberincident éventuel ne se limite pas à une brèche dans la sécurité de l'information. L'utilisation non autorisée ou la prise de contrôle à distance d'un objet connecté pourraient endommager les données et l'équipement de votre entreprise ou causer des dommages physiques à des personnes. Ces dommages pourraient s'avérer coûteux, si vous devez réparer les systèmes et équipements de votre entreprise et rétablir sa réputation. Le rôle que jouent de nombreux objets est bien plus important que l'information qu'ils emmagasinent. Pensez aux conséquences juridiques et financières que pourraient entraîner la défaillance ou le piratage d'un appareil connecté, par exemple. Pour de plus amples renseignements sur la sécurité, consultez la section Sécurité matérielle.

Pour protéger votre équipement, votre personnel et vos clients, le cadre de sécurité de base pour l'IdO devrait tenir compte de l'appareil, de l'aspect contrôle à distance et l'infrastructure des TI, et comprendre :

L'IdO et votre entreprise : stratégie de cybersécurité

L'implantation de la nouvelle technologie de l'IdO nécessite une démarche descendante par étapes. Les cinq étapes de notre stratégie de sécurité couvrent les mesures de base pour mettre en oeuvre l'IdO dans une entreprise. Elle peut également servir pour les processus et contrôles relatifs aux TI dans l'entreprise, qu'ils soient établis en réseau ou non. Pour de plus amples renseignements sur les cyberstratégies, consultez la section Questions de gestion — Planification de la cybersécurité.

Étape 1 : Évaluer les risques

La première étape consiste à procéder à une évaluation rigoureuse des risques pour mettre à jour les politiques de sécurité. En raison de l'IdO, des cybercrimes peuvent être commis à des endroits inattendus. Le profil de risque de votre entreprise devrait tenir compte de l'IdO.

Étape 2 : Déterminer les nouveaux enjeux juridiques

L'implantation de l'IdO dans votre entreprise pourrait être une source de préoccupation de nature juridique. Vous devriez connaître les responsabilités légales de votre entreprise dans le monde réel comme dans l'univers virtuel.

Étape 3 : Élaborer une politique pour l'IdO

Pour protéger toutes les activités de votre entreprise, harmonisez votre politique relative à l'IdO à celles concernant la cybersécurité.

Étape 4 : Mettre en oeuvre des mesures de sécurité

Voici une liste de conseils pour assurer la sécurité des objets connectés avant, pendant et après l'implantation de l'IdO.

Selon une étude réalisée en 2017 par Sécurité publique Canada, 57 % des propriétaires ou dirigeants de petites entreprises sont aussi responsables des TI1. Envisagez de faire appel à des professionnels ou à des organisations spécialisés en cybersécurité.

Avant l'implantation :

Durant l'implantation :

Après l'implantation :

Étape 5 : Surveiller et mettre à jour l'IdO

Surveillez vos réseaux d'IdO et objets connectés.

La mise à jour des logiciels et systèmes d'exploitation ainsi que l'installation de correctifs doivent être effectuées en permanence. Par conséquent, ces étapes devraient être répétées fréquemment et pour chaque nouvel objet connecté. Gardez les voies de communication ouvertes entre la direction et le service des TI. Enfin, assurez-vous que vos employés respectent votre politique sur l'IdO. L'augmentation des objets connectés sur le lieu de travail accroît d'autant le degré de vulnérabilité et de risque dans l'entreprise.

L'IdO et les programmeurs, fabricants et fournisseurs de services

La sécurité de l'IdO devrait être une priorité des programmeurs et fabricants d'objets connectés ainsi que pour les fournisseurs de services et les exploitants de réseaux. Durant la conception, la programmation et la mise en oeuvre d'objets connectés, on devrait accorder un degré de priorité élevé aux mesures visant à assurer la sécurité et la confidentialité.

Parmi les pratiques exemplaires relatives à l'IdO, on recommande aux programmeurs et fournisseurs de services de fournir aux consommateurs toute l'information possible sur la sécurité dans un langage simple. On devrait pouvoir consulter l'information sur la sécurité et les déclarations de confidentialité à ces endroits :

Pour de plus amples renseignements et des conseils en matière de cybersécurité dans l'entreprise, consultez l'équipe de l'organisme américain Computer Emergency Readiness à l'adresse https://www.us-cert.gov/ncas/tips (site accessible en anglais seulement).

Téléchargez votre présentation #IdOAuTravail à l'intention des employés (PPT 7,59 Mo)

Date de modification :