Internet des objets et cybersécurité : une logique à repenser intégralement

Avec l’essor de l’IoT, les professionnels de la cyberdéfense font face à un défi d’un genre nouveau, car les consommateurs ne se soucient pas assez des vulnérabilités que comportent leurs objets connectés.

Alors que l’arsenal judiciaire ne compte que peu de règles engageant la responsabilité des fabricants d’objets connectés, ces appareils reliés au web constituent une voie d’accès privilégiée à des données souvent très confidentielles. En parallèle, les équipes de sécurité tâtonnent pour faire face à des cybermenaces plus complexes et diffuses que jamais, à l’heure où le risque ne concerne plus seulement les ordinateurs de bureau et les serveurs, mais tout appareil connecté de près ou de loin à un réseau.

La plupart des appareils connectés n’ont pas été fabriqués en tenant la sécurité comme priorité. Leurs fabricants ont privilégié la facilité d’utilisation et la rapidité des délais de commercialisation. C’est justement ce qui fait leur charme : les objets connectés sont souvent bon marché, utiles et faciles à configurer. Mais la médaille a son revers.

Nous avons déjà observé des objets connectés utilisés en masse par des pirates, fournissant une voie d’accès idéale aux réseaux non protégés. En septembre dernier, le botnet Mirai a passé au crible tout le web dans le but de dénicher des appareils connectés vulnérables ayant conservé leurs paramètres par défaut. Il en a trouvé des millions dans le monde, qui sont devenus sans le savoir les complices d’une gigantesque attaque par déni de service contre la firme Dyn.

Il faut dire que les appareils connectés ont une valeur intrinsèque pour les hackers. Certaines des cyberattaques les plus sophistiquées détectées par Darktrace partaient d’une simple faille de sécurité d’un objet connecté. Subtiles, silencieuses et insidieuses, ces attaques sont menées la plupart du temps avec une précision toute militaire. Imaginez que le système de vidéoconférence du siège de votre entreprise ait été infiltré et que des informations extrêmement sensibles fuitent tous les jours de vos locaux ? Ou que les membres d’une organisation criminelle aient pris le contrôle d’un scanner biométrique pour ajouter à sa base de données leurs propres empreintes digitales de sorte à accéder à une infrastructure que vous croyiez hyper-sécurisée ? Eh bien, c’est précisément ce qui est arrivé dernièrement à deux entreprises, mais les technologies autoapprenantes ont détecté et tué dans l’œuf ces attaques avant qu’elles ne fassent les gros titres, au grand soulagement des professionnels de sécurité.

Ces piratages exploitant les failles de l’IoT soulèvent une question fondamentale : à qui revient la charge de sécuriser le thermostat accessible à distance ou la machine à café connectée du bureau ? Un système de ventilation connecté à Internet doit-il bénéficier du même niveau de protection qu’un ordinateur portable issu de la flotte de l’entreprise ? En quoi les vulnérabilités dues à l’IoT changent-elles la façon d’aborder la cybersécurité ?

Les limites de ce que l’on englobait hier sous l’étiquette d’informatique ne cessent de s’étendre, si bien que les rôles des équipes de sécurité doivent évoluer pour s’y adapter. Les professionnels de la sécurité et de l’informatique, jusqu’alors responsables de la protéger de l’informatique classique, c'est-à-dire des ordinateurs de bureau et serveurs, sont désormais forcés de voir l’IoT comme une voie d’accès supplémentaire aux réseaux qu’ils sont chargés de défendre.

Pour relever ces défis, les entreprises devront adopter une approche plus holistique de la cybersécurité, en établissant un pont entre les équipes de sécurité informatique et des services comme les achats ou la gestion des locaux, les cadres de la DRH et même les membres de la direction. Elles devront également saisir que, même en rassemblant tous ces talents, un surcroît de vigilance humaine ne suffira plus à protéger des réseaux qui ne cessent de s’étendre.

La grande majorité des outils de sécurité s’appuient sur des modèles dépassés et sur l’expérience passée pour déterminer ce qui doit ou non être placé sous surveillance. Ils font l’impasse sur les imprimantes, sur les systèmes de climatisation, sur les ampoules, les distributeurs de boissons et sur les autres appareils connectés, en oubliant souvent que les pirates s’attaquent toujours au talon d’Achille des entreprises. Dans le paysage actuel des cybermenaces, tout appareil connecté est une proie facile, à commencer par les objets issus de l’IoT. Le fait est que près de 85 % des réseaux sont aujourd'hui infiltrés d’une manière ou d’une autre. Or, colmater l’entrée de votre entreprise dans l’espoir de bloquer le passage aux visiteurs indésirables ne serait plus prudent, ni même possible. Au lieu de cela, les équipes de sécurité doivent s’attacher à mieux visualiser tous les appareils du réseau – pas seulement les ordinateurs – afin de protéger les réseaux de l’intérieur.

Les nouvelles technologies d’IA reposant sur l’apprentissage automatique deviennent donc un must-have pour toute entreprise, car elles leur permettent de superviser 100 % de leurs appareils, où qu’ils se trouvent sur le réseau. Avec cette méthode, l’activité de chaque appareil est répertoriée dans une vue d’ensemble du comportement du réseau. L’intelligence artificielle apprend le « modèle comportemental normal » du réseau et peut détecter tout mouvement qui s’écarte du modèle et ainsi le signaler comme une cybermenace en puissance.

 À mesure que les objets connectés continuent de se multiplier – Gartner estime qu’il y en aura quelque 13,5 milliards d’ici 2020 – les risques de sécurité iront crescendo. À l’heure où la frontière entre ordinateurs et non-ordinateurs se dissipe de plus en plus, les entreprises n’auront d’autre choix que d’envisager la cybersécurité du sommet à la base. La cybersécurité est désormais l’affaire de tous. Or, si la technologie s’installe sur tous les objets, elle nous fournit également les armes pour les protéger. Aujourd'hui plus que jamais, nous devons donc repenser la cybersécurité et adopter des technologies suffisamment modernes pour être à la hauteur des enjeux.