myAXA Login
Sécurité et droit

La sécurité absolue n’existe pas

Photo: Matthias Jurt
Partager sur Facebook Partager sur Twitter ch.axa.i18.share.google Partager sur LinkedIn Partager sur Xing Partager sur Pinterest Partager par e-mail

Pour des hackers en quête d’un grand coup, des appareils interconnectés sur un cloud constituent une proie de choix. Un fabricant de machines à café a décidé de leur compliquer la tâche.

Du lait en mousse s’écoule de la machine à café. La cliente de l’établissement londonien souhaite un trait de caramel par-dessus. La machine à café envoie les données de la commande vers la plate-forme hébergée sur le cloud, où le fabricant, la société Thermoplan à Weggis (LU), peut les consulter. Ces données sont également accessibles pour le prestataire de service après-vente à Londres. Il sait ainsi que la machine aura besoin d’un entretien tous les 30 000 à 50 000 cafés. Le moment venu, le système lui enverra un rappel automatique. L’exploitant de l’établissement a, lui aussi, accès aux données et peut ainsi gérer avec précision ses stocks de lait et de grains de café. Grâce à des interfaces, il a en outre la possibilité d’automatiser ses commandes de café.

La plate-forme numérique ThermoplanConnect a été mise en service il y a un an et demi. Si toutes les machines des clients dans le monde n’y sont pas encore connectées, chaque machine qui quitte l’usine de Weggis est préenregistrée et apte à envoyer ses données sur le cloud. Sous réserve de l’accord du client, évidemment. En créant ThermoplanConnect, le fabricant de machines à café est aussi devenu concepteur de logiciels. Il a néanmoins dû surmonter quelques obstacles. «Nous nous sommes alliés à un éditeur de logiciels, car nous n’y serions pas parvenus seuls», relate Ueli Schweizer, membre de l’équipe chargée de la numérisation dans la division Développement de Thermoplan. «La principale difficulté du point de vue du matériel était la connectique: comment mettre en place une connexion à Internet simple, stable et sûre à l’échelle mondiale? La vocation première des machines à café est de préparer des cafés, la connexion au cloud et à l’Internet des objets ne devait donc en aucun cas perturber leur fonctionnement.» Cet aspect a posé problème en Chine, car la localisation des machines reposait initialement sur une carte Google, ce que le Grand Firewall chinois ne tolère pas.

Et en quoi des machines interconnectées apportent-elles un plus au client final? «Le client ne voit pas encore la différence», explique Ueli Schweizer. Mais dès que le développement aura franchi une étape supplémentaire vers la personnalisation, la plate-forme basée sur le cloud lui permettra de passer commande via son smartphone. La mise en réseau des appareils est par ailleurs un préalable à la mise en oeuvre de projets de numérisation propres aux divers clients. La conception de la plate-forme a donné du fil à retordre aux informaticiens. Car si toutes les machines à café y envoient leurs données, les gérants d’établissements et les prestataires de service après-vente ne doivent pouvoir accéder qu’à la partie de la plate-forme les concernant. Or répondre aux besoins des uns et des autres avec une seule plate-forme n’allait pas de soi. Autre hic lié à la mise en réseau: plus il y a de machines connectées, plus la probabilité d’être la cible de cyberattaques augmente et plus les dégâts peuvent être graves. Imaginons qu’un pirate informatique diffuse des messages racistes sur les écrans d’affichage des machines à café et porte ainsi atteinte à l’image de Thermoplan et des établissements concernés. Ou qu’un hacker paralyse simultanément l’ensemble des machines.

Pour maximiser la sécurité, Thermoplan a donc fait appel au savoir-faire de Oneconsult, qui a tenté, en toute légalité, de pirater les machines à café et la plate-forme ThermoplanConnect. Avec un succès des plus limités, comme le raconte Tobias Ellenberger, COO de Oneconsult: «La recherche de failles dans le domaine de l’Internet des objets est une tâche aussi captivante qu’exigeante. Nous travaillons souvent sur des appareils familiers, du quotidien. Les failles de sécurité relatives aux objets connectés viennent en général du fait que ceux-ci n’ont pas été conçus dès le départ pour aller sur Internet et pour affronter ses menaces. Ils ne répondent donc pas aux dernières normes de sécurité. Un hacker légal commence par se demander comment un pirate s’introduirait dans un système, puis cherche à utiliser ou à modifier des fonctions ou des commandes de manière à barrer la route à une attaque potentielle.» Tobias Ellenberger préconise de bien gérer les mises à jour et les droits d’utilisateur, de veiller à la sécurité des mots de passe, d’utiliser un codage ayant fait ses preuves et, par-dessus tout, de dissocier les réseaux. Dans le cas de Thermoplan, cela signifie que la production des machines à café est isolée du cloud. C’est seulement juste avant l’emballage que les machines sont connectées au cloud. La séparation des réseaux de production et des réseaux administratifs est également essentielle. «Sans cela, il suffirait d’envoyer un mail infecté vers la production, en passant par le réseau administratif, pour causer de gros dégâts», poursuit le spécialiste. En matière de cybersécurité, le plus difficile est que l’on ne sait jamais d’où va arriver l’attaque ni ce qui la motive. De plus, la créativité des hackers ne connaît pas de limites. Les attaques sont par conséquent d’autant plus difficiles à anticiper. Le seul recours: s’y préparer au mieux.

«La sécurité absolue n’existe pas», observe froidement Ueli Schweizer. Il n’en demeure pas moins primordial de combler les failles à mesure de leur détection, ce qui suppose une mise à jour régulière des machines à café, rendue possible par leur mise en réseau. Quand on sait que la durée de vie d’une machine est de sept à dix ans, les failles de sécurité ont largement le temps de survenir.

Pour Thermoplan, le pire des scénarios serait une fuite de mots de passe chez un technicien de service après-vente. L’humain serait donc le maillon faible? «D’un côté, oui», admet Tobias Ellenberger, avant d’ajouter que l’humain est aussi la meilleure arme contre les attaques. C’est pourquoi Thermoplan a le culte de la sécurité: tous les techniciens de SAV de par le monde suivent une formation avant d’obtenir l’accès au cloud. 

Assurance Cyber d’AXA

La cybercriminalité menace de plus en plus les entreprises: les attaques automatisées au moyen de virus ou de chevaux de Troie se multiplient. Pare-feux et autres logiciels de protection sont souvent à la traîne. En cas de défaillance de vos systèmes de défense, l’assurance Cyber vous protège des conséquences financières.

Si vos données deviennent inutilisables à la suite d’une manipulation, AXA prend en charge les frais de restauration des systèmes et vous indemnise au titre des pertes d’exploitation et des frais encourus pour le maintien de l’exploitation.

AXA couvre aussi les sinistres relevant de la responsabilité civile, par exemple lorsque des commandes en ligne se perdent en raison d’un piratage et que vos clients subissent un dommage.

Une option permet de couvrir aussi la manipulation de l’e-banking ou du système de paiement en ligne.

Si un dommage assuré survient en raison de la défaillance de toutes les mesures de protection, AXA prend en charge: 

  • l’intervention immédiate d’un expert en cybersécurité de Oneconsult;
  • l’intervention d’un expert pour le diagnostic des failles de sécurité;
  • des conseils destinés à prévenir une récidive;
  • l’identification des personnes concernées par une violation des données et l’information de ces personnes;
  • l’intervention d’une agence de relations publiques pour éviter une atteinte à la réputation. 

En cas de soupçon d’incident lié à la cybersécurité, AXA prend en charge les frais de Oneconsult pour la première assistance téléphonique d’urgence ou de crise.

EN SAVOIR PLUS >

Articles apparentés

Nous utilisons des cookies et des outils d'analyse pour améliorer la convivialité du site Internet et personnaliser la publicité d'AXA et des partenaires publicitaires. Plus d'infos: Protection des données