IoT Sécurité - Urgence

Dans la plupart des cas, j’essaie de tourner un œil sceptique sur l’hyperbole. Alors quand un expert en cybersécurité me dit que la sécurité de l’ IoT (Internet des Objets) est une « bombe à retardement », ma première réaction est de ne pas m’inquiéter d’une prochaine « apocalypse de sécurité ».

Mais je m’inquiète déjà de la sécurité dans l’Internet des Objets. J’ai donc profité de l’occasion pour demander à Srini Vemula, leader mondial de la gestion des produits et expert en sécurité chez SenecaGlobal, s’il y a réellement des risques alors que nous nous dirigeons vers 2020 avec environ 20,4 milliards d’appareils connectés!

Pourquoi l’IoT est-elle si vulnérable?

Tout d’abord, je voulais savoir pourquoi l’ IoT est si vulnérable? Selon Vemula, ‘l’empreinte minimale’ des logiciels et matériels IoT réduit les stratégies traditionnelles de protection contre les logiciels malveillants. De plus, a déclaré M. Vemula, les acheteurs de produits de consommation – allant des jouets pour enfants aux stimulateurs cardiaques et aux voitures – ne sont pas prêts à penser aux problèmes de sécurité. Sur une plus grande échelle, a t-il ajouté, « les infrastructures critiques comme l’électricité, l’irrigation et la défense sont maintenant connectées », créant des cibles juteuses pour le chaos numérique allant des gangs criminels aux nations voyous.

Les problèmes ne sont guère théoriques. Apparemment, les logiciels malveillants IoT ont déjà infecté plus d’1M d’organisations. Tout, du ransomware (rançongiciel, un type de logiciel malveillant conçu pour bloquer l’accès à un système informatique jusqu’à ce qu’une somme d’argent soit payée) au piratage en passant par les soins de santé, la fabrication et les médias, coûte déjà beaucoup d’argent et entraîne une myriade de poursuites judiciaires.

Les plus gros problèmes de sécurité IoT

Vemula a exposé certains des plus grands problèmes de sécurité liés à l’IdO qui se sont déjà produits:

  • Mirai: L’année dernière, l’attaque par botnet Mirai a ramené au sol une partie importante de l’Internet en exploitant les mots de passe par défaut codés en usine.
  • Attaques DDoS en 2016: Des utilitaires intégrés fonctionnant sur des dispositifs CCTV ont été piratés dans un magasin de bijoux.
  • Attaques DDoS sur un site de journalistes de sécurité: Avec plus de 500 000 caméras connectées à Internet, les attaquants ont généré 660 Gbps de trafic, ce qui a permis à Akamai, la société qui protège le site, d’abandonner.
  • Botnet Persirai: Plus de 100 000 caméras connectées par IP ont été attaquées, permettant ainsi aux hackers d’accéder au flux Internet des caméras.

Malgré ces exemples, et beaucoup d’autres, de nombreuses entreprises pensent toujours que la sécurité IoT est quelque chose dont ils devront se soucier dans quelques années. Sans surprise, Vemula estime que cette approche est dangereusement complaisante.

Comment les entreprises peuvent-elles renforcer leur sécurité IoT?

Heureusement, il n’est jamais trop tard pour que les entreprises prennent des mesures pour réduire les risques liés à l’IoT. Vemula partage une poignée d’actions qui, selon lui, peuvent faire une réelle différence:

  1. Construisez des appareils basés sur des plates-formes endurcies. Il veut dire par endurcies des systèmes d’exploitation bien affiné pour être sécurisé. En outre, dit-il, les architectures IoT doivent prendre en charge la correction de logiciels à grande échelle.
  2. Adopter des contrôles de sécurité standard IoT. Vemula propose le NIST (800-53) à titre d’exemple.
  3. Assurez-vous que les périphériques IoT disposent d’un workflow qui active et encourage la modification des mots de passe par défaut. Comme le note Vemula, les acheteurs d’appareils connectés ne pensent pas automatiquement: « Oh! Permettez-moi de sécuriser ces objets en premier! « Ainsi, les concepteurs doivent faire des précautions de sécurité une partie facile et attendue de l’utilisation du produit.
  4. Abonnez-vous aux services de sécurité et agissez sur tous les rapports de menaces dans la nature. Lorsque les exploits IoT apparaissent dans le monde réel, il est essentiel que les utilisateurs et les fournisseurs IoT appliquent immédiatement les correctifs pour minimiser le plus possible les risques de vulnérabilités. Connaître un problème et ne rien faire ne vous rendra pas plus sûr.
  5. Comprenez que la construction d’une sécurité solide à toute épreuve peut être en contradiction avec la rapidité de la construction et la disponibilité des produits. Il n’est pas toujours possible de créer des produits et des réseaux sécurisés rapidement et à peu de frais. Compte tenu de cela, les entreprises doivent prioriser intelligemment leurs ressources de sécurité en fonction de l’utilisation d’un périphérique donné – pour obtenir le meilleur rendement possible pour leur sécurité.

En fin de compte, je ne suis pas sûr que ces suggestions sont suffisantes pour désamorcer la « bombe à retardement » et pour éviter l’apocalypse de sécurité de l’IoT, mais elles sont beaucoup mieux que de ne rien faire.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here