Entreprises, comment protéger votre IoT pour limiter les risques cyber
De plus en plus présents dans les entreprises, les outils IoT sont naturellement devenus une cible davantage prisée des cybercriminels : les cyberattaques les ciblant ont augmenté de 400% au premier semestre 2023 par rapport à à la même période en 2022, d'après Zscaler. Face à cette menace grandissante, se pose la question des bons réflexes à adopter pour protéger ses outils IoT.
Pour commencer, il faut analyser les méthodes employées par les cybercriminels pour cibler l'IoT, explique Olivier Dania, chef de produit marketing pour Sysdream : "Les principales méthodes de compromission des appareils IoT sont les attaques par force brute pour pirater les mots de passe faibles, et l'exploitation des vulnérabilités des services réseaux. Par exemple, un des malwares visant l'IoT est Mirai, un logiciel malveillant qui traque les dispositifs IoT vulnérables (capteurs, sondes, caméras IP, modems, routeurs, ndlr) pour les transformer en bots. Les actifs ainsi transformés en botnets permettant de mener des attaques DDoS de grande envergure."
L'audit, étape obligatoire
Face à ce danger, il faut bien évaluer les forces et faiblesses de cyberdéfense liée à l'IoT. Une étape obligatoire s'impose : un audit de sécurité auprès d'un expert de la cybersécurité comme Sysdream, AlgoSecure, ou Serma Safety & Security. Pour que l'audit soit efficace, il faut s'y préparer. Regardez si vos logiciels de sécurité sont bien à jour, vérifiez le nombre d'endpoints de votre société (un endpoint = un poste). Vous devrez essayer d'augmenter votre bande passante, car les audits peuvent en consommer une grande partie et cela pourrait créer des ralentissements. Pour ce faire, essayez de privilégier les connexions filaires, achetez des amplificateurs wifi. Prévoyez également des sauvegardes des données de votre compagnie.
Pour l'audit, il est préférable d'avoir une cartographie exacte des IoT, à fournir à votre auditeur. Si votre cartographie est inexistante ou obsolète, il est conseillé d'engager un provider dont c'est le métier comme Sysdream, Objenious de Bouygues Telecom ou OpManager. Le prix à payer dépendra du nombre de devices identifiés et de leur taille, mais comptez de 0,35 à 5 euros par objet IoT identifié. Adrien Lillo RSSI chez Sonepar précise : "On tombe la dans la problématique du shadow IT. Pour avoir une bonne cartographie, il est plus simple d'utiliser une solution. Chez Sonepar, nous utilisons la solution Armis." A savoir, on note en moyenne un écart de 15 % entre la vision théorique de son parc informatique et le réel.
Vous voilà prêt pour votre audit. Combien de temps va-t-il durer ? Cela dépend de l'auditeur et du type d'audit demandé. En général, les audits les plus simples comme ceux nécessitant uniquement des tests de pénétration durent cinq jours. En revanche, des audits étudiant plus en profondeur l'architecture IT peuvent durer plusieurs semaines.
Concrètement, comme cela se déroule-t-il ? L'audité (vous) et l'auditeur définissent le cadre de l'audit, la zone autorisée à être auditée et le déroulé. Puis l'auditeur se lance dans son travail. Durant cette période, les équipements sollicités peuvent connaître des phases de bug, ainsi que les applications auditées. Mais si vous avez augmenté votre bande passante, la connectivité ne devrait pas être impactée. A l'issue de cette phase, une nouvelle réunion avec l'auditeur a lieu. Il expose les résultats de l'audit puis donne des conseils pour améliorer votre niveau de cybersécurité.
Mais combien coûte un audit ? Les auditeurs ne fournissent par leur grille tarifaire au grand public, on ne peut vous communiquer qu'une fourchette qui se situe entre quelques dizaines de milliers d'euros et une centaine de milliers d'euros. Ce prix est influencé par trois facteurs : la méthodologie employée, le périmètre sur lequel s'effectue l'audit et sa durée.
Si vous ne souhaitez pas passer par un auditeur externe, vous pouvez réaliser un audit interne. Néanmoins, pour bien le faire vous aurez besoin des atouts suivants. Vous devez avoir des employés formés aux techniques d'audit en cybersécurité, ce qui n'est pas à la portée de toutes les sociétés. Vous allez devoir vous renseigner sur les normes de cybersécurité en vigueur dans votre secteur d'activité et voir si vous vous y conformez. Enfin, vous devrez faire des tests techniques et là aussi, il vous faudra du personnel qualifié. Que votre audit soit interne ou externe, il faudra l'effectuer régulièrement. Les acteurs de la cybersécurité conseillent d'effectuer un audit tous les ans ou tous les deux ans.
La défense : deux impératifs
Quant à la défense des objets IoT en eux-mêmes, elle commence dès l'achat de ces dernier, prévient Adrien Lillo : "Les mots de passe par défaut doivent être changés dès qu'on reçoit le produit, au moment de la configuration de l'objet IoT. Car les constructeurs utilisent un mot de passe simple et sur l'ensemble des produits sortis d'usine. Donc si un cybercriminel découvre ce mot de passe, il pourra accéder à l'ensemble des objets IoT vendus par la marque".
Certains IoT trop anciens ne reçoivent plus de mise à jour, sont-ils indéfendables ? Théoriquement oui, mais une astuce permet de contourner ce problème, explique Théophile de Bouët du Portal, RSSI et CTO chez Finovox : "Tous les appareils peuvent être sécurisés en évitant le stockage de données. En limitant la surface d'exposition, le risque diminue. Il est important d'établir un équilibre entre la vraisemblance et l'impact d'un évènement de sécurité afin de réduire le risque. Si la vraisemblance est difficile à influencer, limiter l'impact en ne donnant pas accès à des données confidentielles est une stratégie efficace."
Par ailleurs, pour renforcer la défense de vos objets IoT, le réseau wifi doit être bien protégé, rappelle Adrien Lillo : "A partir du moment où nous sommes sur du protocole IP, les entreprises vont devoir appliquer le même protocole de sécurité : chiffrer les flux, puis limiter dans certaines zones les accès de certains objets et d'individus. Dans le but de segmenter l'information, il ne faut pas laisser des tiers non maîtrisés dans les zones critiques de l'entreprise. Cette procédure peut être compliquée à mettre en œuvre."
D'autres bons réflexes s'imposent comme une surveillance du trafic, afin de s'assurer qu'il n'y a pas d'échange ou de trafic de données anormal. Appliquez également une différenciation de mots de passe par zone : en clair, n'ayez pas un seul et unique mot de passe pour l'entièreté des pôles de votre société. Enfin, vous devez prendre un provider de cybersécurité dont le métier est de sécuriser le wifi, comme HubOne, Watchguard, ou Arsen. Vous pouvez aussi demander à votre provider de wifi ses offres en termes de sécurisation. Pour une bonne sécurisation du wifi, comptez de 100 à plusieurs milliers d'euros à payer mensuellement, le prix étant influencé par la taille de votre entreprise.