Malgré tous leurs avantages, les appareils IoT n'ont pas été conçus dans un souci de sécurité. Cela peut conduire à d'énormes problèmes.
L'Internet des objets (IoT) a apporté de nombreux avantages. Il a également changé la façon dont les entreprises et les risques informatiques sont gérés. Au cours des dernières années, des rapports ont fait surface sur des caméras piratées, des appareils médicaux piratés et des systèmes de contrôle industriels compromis. Le problème ne fera qu'empirer à mesure que la 5G se généralisera et que les appareils IoT intégrés deviendront plus courants.
L'IoT ajoute une autre couche de sécurité aux protections existantes. C'est ce qui le rend si difficile. Parce que l'IoT touche potentiellement tout au sein d'une entreprise - et vers l'extérieur vers les partenaires et les chaînes d'approvisionnement - il implique le micrologiciel, les systèmes d'exploitation, les piles TCP/IP, la conception de réseau, les outils de sécurité des données et bien plus encore.
Merritt Maxim est vice-président et directeur de recherche chez Forrester. « Les vulnérabilités de ce vaste écosystème sont plus faciles à ignorer », dit-il.
Ceci est un sérieux problème. Il peut être extrêmement difficile d'identifier tous les appareils IoT dans un réseau. Ce n'est pas la fin.
De nombreux appareils IoT n'ont pas été conçus dans un souci de sécurité. "Les personnes qui déploient et configurent des systèmes IoT n'ont pas toujours une excellente compréhension de la sécurité. L'ajout de plusieurs appareils de différents fabricants augmente la complexité", Joe Nocera, responsable du Cyber and Privacy Innovation Institute chez PwC.
Hors de contrôle
Chaque discussion sur la sécurité de l'IoT commence par un fait simple : l'Internet des objets est fondamentalement différent de l'informatique conventionnelle en termes de sécurité. De nombreux appareils IoT n'ont pas d'interface utilisateur, de sorte que les attaques sont souvent menées directement sur l'appareil ou via l'appareil pour accéder à un réseau d'entreprise. Maxim souligne également que les attaques peuvent avoir une dynamique différente de celle des ransomwares ou d'autres attaques.
Il dit: "La motivation est souvent pour une plus grande échelle de perturbations."
En fait, une attaque peut provoquer des appareils qui ne sont pas réparables ou des interruptions d'activité pouvant être motivées par des considérations financières ou politiques. Par exemple, en février, un pirate informatique a violé une usine de traitement de l'eau en Floride par le biais d'un système de contrôle industriel et a tenté de falsifier la qualité de l'eau. En 2018, des cybervoleurs ont piraté un casino de jeu au Royaume-Uni via un thermomètre connecté à Internet dans un aquarium situé dans le hall. Les données des clients du casino ont été volées par des voleurs.
Les fabricants créent souvent leurs propres micrologiciels, protocoles et normes de conception. Ils ne font pas toujours un excellent travail de maintenance et de correction des systèmes. De nombreux appareils IoT dépendent d'anciennes versions de Windows et Linux. L'IoT apporte de plus en plus de maux de tête : les systèmes de contrôle industriels et les machines qui n'étaient pas destinés à être connectés au monde en font désormais partie.
Protège toi
Remarquablement, 74% des entreprises interrogées par le Ponemon Institute en juin dernier ont déclaré que leurs programmes de gestion des risques IoT ne parvenaient pas à suivre le rythme des risques posés par l'utilisation omniprésente des appareils IoT.
Nocera de PwC déclare que connaître les appareils IoT fonctionnant sur le réseau et les données dont ils disposent est la première étape pour établir une protection solide.
Il dit: "Beaucoup d'entreprises ne le savent pas."
Ceci est rendu plus difficile par le fait que certains fabricants utilisent des noms ou des codes obscurs qui n'identifient pas clairement leurs appareils. Nocera vous suggère d'attribuer la responsabilité à un groupe et de réaliser un inventaire pour identifier les points de défaillance et les risques potentiels. Parfois, une organisation peut avoir besoin d'une solution de gestion d'actifs ou de découverte spécialisée.
Il est crucial d'établir une visibilité et un contrôle sur l'ensemble du paysage IoT.
Nocera déclare : « Une organisation doit pouvoir allumer et éteindre divers appareils et les configurer en conséquence. »
Avec les bons outils, il est possible de s'assurer que seuls les services nécessaires s'exécutent sur un appareil et que tous les autres appareils sont éteints. Un autre problème que la gestion de la configuration résout est de s'assurer que les appareils n'utilisent pas de mots de passe par défaut ou de paramètres d'usine.
Ulf Mattsson (stratège en chef de la sécurité chez Protegrity), dit que les mots de passe doivent être changés régulièrement. Il recommande d'utiliser des jetons, l'anonymisation des données et l'authentification multifactorielle (MFA) ainsi que l'authentification biométrique. Le cryptage des données en mouvement et au repos, les pare-feu de nouvelle génération et les systèmes de prévention des intrusions (IPS) sont tous nécessaires. Il dit qu'il est crucial de maintenir ces systèmes à jour et corrigés.
Nocera note également que la segmentation du réseau est un autre outil utile. Il est important d'isoler les systèmes clés tels que les contrôles industriels, les applications d'entreprise et d'autres informations critiques afin que les pirates ne puissent pas pirater les réseaux via des appareils IoT.
Il dit, par exemple, que "si vous êtes une compagnie maritime et une entreprise de logistique, peut-être que les appareils IoT utilisés pour gérer votre flotte n'ont pas besoin de parler à l'appareil IoT et à d'autres systèmes utilisés dans un entrepôt". appareils sont compromis, vous perdez un seul entrepôt et pas tous vos entrepôts.
C'est sûr de jouer à l'informatique
Il existe de nombreuses autres stratégies qui peuvent être utilisées pour construire une infrastructure IoT plus résiliente. Ces stratégies incluent le verrouillage des informations d'identification cloud qui peuvent ensuite être utilisées pour reconfigurer les appareils. Désactivation des fonctionnalités qui ne sont pas utilisées. Auditer régulièrement l'infrastructure IoT et retirer les appareils inutiles. Maintien à jour de la protection contre les logiciels malveillants et remplacement des appareils moins sécurisés. Vous devez également être conscient de l'impact de la 5G sur un cadre IoT.
Maxim dit qu'il est également sage de rechercher des appareils IoT plus récents qui utilisent des technologies sécurisées de silicium et de racine de confiance (RoT). Cela réduit la probabilité que le BIOS ou le niveau du système d'exploitation puisse être modifié. Un autre domaine à observer est l'utilisation croissante de connecteurs, d'interfaces de programmation d'applications (API), qui étendent et masquent parfois les sources de données et les périphériques.
Vous voulez embaucher nos développeurs qualifiés ? Obtenez une estimation gratuite
Une approche holistique qui utilise une gamme d'outils et de stratégies pour sécuriser les appareils et les données est la meilleure défense. Maxim déclare que tout appareil ou système IoT doit subir le même examen rigoureux que les applications d'entreprise et doit être soumis à des normes de sécurité strictes après son déploiement.
Il ajoute que l'IoT pose des risques nouveaux et parfois plus graves, qui pourraient perturber les entreprises ou entraîner la mort.