18 janvier 2024
Drone et sécurité de l’information : des enjeux capitaux en cybersécurité
La France compte plus de 2,5 millions de drones. Avec leurs caméras, ils peuvent servir à des missions de surveillance par les autorités ou des services de sécurité ainsi que lors de guerre. Avec une caméra thermique, ils permettent aux pompiers de détecter des victimes ou des départs de feu. Cependant, les drones présentent des risques pour la sécurité des sites, du trafic aérien ou des personnes. Ils peuvent aussi servir à s’emparer de données sensibles de l’entreprise. Voyons l’impact de l’augmentation de l’usage des drones sur la sécurité de l’information et comment limiter les risques.
Brèche de sécurité n° 1 : L’usurpation GPS du drone en vol
Les drones peuvent être piratés à une distance pouvant aller jusqu’à un kilomètre.
Un pirate peut facilement détourner le signal entre l’opérateur et le drone. Il peut alors communiquer de fausses coordonnées GPS au drone. En quelques secondes, il peut précipiter le drone sur quelqu’un pour le tuer ou causer un accident. Il peut aussi détruire le drone, le voler ou s’emparer de sa carte mémoire.
Brèche de sécurité n° 2 : Intercepter en vol les données provenant des caméras d’autres drones
À l’aide d’un drone équipé d’un ordinateur, un pirate peut prendre le contrôle de plusieurs autres drones. Il peut alors intercepter toutes les données qu’ils transmettent sans se faire détecter.
Par exemple, dans le cadre de la surveillance d’une manifestation ou de la couverture d’un événement, les forces de l’ordre et les médias peuvent recourir à des drones. Il leur faut impérativement sécuriser la transmission des données provenant de la caméra.
En effet, un pirate, au moyen de son drone équipé d’un ordinateur, pourrait, hors zones interdites de survol, capter lui aussi les vidéos. Il peut ensuite en faire un usage frauduleux (surveiller l’arrivée des forces de l’ordre pour avertir des pillards, nuire à des manifestants, etc.).
Il va de soi que dans le cadre d’une utilisation militaire des drones, la sécurité de leurs systèmes de transmission des données, y compris de la caméra thermique, est cruciale.
Brèche de sécurité n° 3 : Vol des données au moyen d’un drone
Traditionnellement, il suffisait d’empêcher physiquement l’accès d’une personne à l’entreprise ou à une salle pour empêcher le piratage des réseaux Wi-Fi, du Cloud, du Bluetooth et des puces RFID employées pour la gestion de stock. En effet, ces technologies ne fonctionnent généralement que dans des zones limitées.
Cependant, les drones ont changé la donne. Ceux-ci peuvent facilement se poser discrètement avec un petit ordinateur sur le toit d’un local de l’entreprise. Cet ordinateur peut alors servir à lancer des attaques informatiques exploitant les vulnérabilités du Wi-Fi, de la RFID ou du Bluetooth.
Par exemple, l’ordinateur du drone peut imiter un réseau Wi-Fi. Il s’en sert alors pour voler les données des appareils informatiques connectés en Wi-Fi. En piratant des appareils Bluetooth, comme des souris et des claviers, l’ordinateur du drone peut s’emparer des mots de passe de leurs utilisateurs. Les données de l’entreprise sont alors en danger.
Comment assurer la sécurité des données et de leur transmission face aux drones ?
La réglementation actuelle acte la responsabilité de l’entreprise ainsi que des services de l’État (pompiers, forces de l’ordre, etc.) en matière de protection des données, en particulier des informations personnelles. Le RGPD leur impose d’assurer la sécurité des informations recueillies, d’empêcher les accès non autorisés et de détecter les éventuelles fuites pour en informer la CNIL. Cette obligation est valable, même pour les informations recueillies par drones.
La sécurité d’un drone professionnel et de ses données
Pour assurer la sécurité d’un drone utilisé dans le cadre professionnel, voici 6 solutions.
- Mettre régulièrement à jour le logiciel du drone. Les principaux fabricants de drones publient des correctifs dès qu’ils constatent des failles de sécurité.
- Utiliser un drone qui dispose d’un mode « Retour au point de départ » (RTH). En cas de perte du signal, de signal brouillé ou de batterie épuisée, votre drone pourra revenir à l’endroit que son utilisateur a défini.
- Configurer votre station de base pour la limiter à un seul appareil pouvant s’y connecter. Cela empêche le signal d’être détourné pour contrôler d’autres appareils.
- Employer un mot de passe fort pour votre station de base. Cela aura un effet dissuasif sur les pirates.
- Protéger le smartphone ou l’ordinateur portable utilisé pour contrôler le drone. Comment ? En installant un antivirus, mais aussi en contrôlant le téléchargement d’applications ou de logiciels.
La protection des données contre les attaques de drones par l’espace aérien
Pour éviter les situations où des drones volent les données d’une entreprise, il existe des logiciels anti-drones. Ils assurent la surveillance des lieux en détectant l’utilisation d’un drone dans des zones définies. En matière de prévention, une autre solution existe. Il s’agit de la sécurisation des données. Comment ?
- Imposer l’usage d’un VPN au personnel qui travaille en Wi-Fi.
- Avoir des mots de passe différents pour chaque réseau ou appareil. Même si avec son drone, le pirate interceptait un mot de passe, il ne pourrait pas avoir accès au reste des informations de l’entreprise.
- Connecter les appareils utilisant l’internet des objets à un réseau invité. Le pirate informatique ne pourra plus infiltrer le réseau principal au moyen d’un appareil intelligent.
- Remplacer le mot de passe et le nom d’utilisateur par défaut du routeur Wi-Fi. Ainsi, les pirates ne connaîtront pas le type de routeur ni de réseau et donc ses vulnérabilités.
- Disposer d’un service de cybersécurité pour trouver des solutions aux diverses menaces que les drones font peser sur des sites ou des données de l’entreprise, en fonction des situations.
Les métiers pour assurer la sécurité de l’information face aux drones
Les prestataires de services à base de drones, les services publics exerçant leurs missions à l’aide de drones (secours, forces de l’ordre, etc.) ainsi que toute entreprise ont besoin de s’entourer de professionnels de la cybersécurité. Ils sont indispensables pour se conformer à la réglementation édictée par les autorités françaises.
Découvrez trois métiers d’avenir en cybersécurité :
- Architecte cybersécurité pour concevoir des systèmes informatiques à l’abri des attaques ;
- SOC manager pour surveiller les systèmes de données ;
- Directeur de la cybersécurité pour orchestrer tous les professionnels chargés de la sécurité des informations.