Comment pallier la faible sécurité de l'IoT

Alors que les industriels se livrent à une course commerciale pour connecter toutes sortes d'appareils et de systèmes, des implications sérieuses en matière de sécurité sont apparues. Chaque nouveau dispositif connecté, qu'il s'agisse d'un moteur de porte de garage, d'une sonnette, ou même d'ampoules électriques, peut présenter des vulnérabilités bien réelles.

L'Internet des objets (IoT en anglais) s’est assez largement développé dans notre quotidien. Les consommateurs sont souvent plus immergés qu’ils ne le pensent dans ces technologies, que ce soit dans leur foyer ou dans l’espace public. Selon les données d'IoT Analytics, il existe environ 7 milliards de ces objets connectés à l'Internet et ce nombre va bien entendu augmenter dans les prochaines années, pour atteindre environ 21,5 milliards d'ici 2025.  

Dans le contexte d’objets connectés utilisés pour des applications industrielles - infrastructures urbaines intelligentes, surveillance sanitaire, optimisation agricole, prévention et détection des accidents ou contrôle du trafic - la liste est longue – les failles de sécurité peuvent avoir des conséquences encore plus graves. La moindre erreur de configuration ou de mauvaises pratiques de sécurité peuvent devenir le point d'entrée pour des cyberattaques sophistiquées, et des vols de données. La compromission d’un seul appareil peut faire tomber un réseau entier et paralyser une organisation puisque par nature, ces objets sont connectés entre eux.

Cet état de fait est en partie dû au faible niveau de sécurité des microprogrammes de ces appareils ou à leurs architectures vieillissantes. Dans les organisations, les services informatiques ne sont parfois même pas conscients de la présence de ces dispositifs en nombre sur leurs réseaux, ce qui rend la correction des failles de sécurité presque impossible. Dans un rapport du Ponemon Institute publié en 2017, seuls 15% des répondants déclaraient avoir subi une violation de données liée à l'IoT. Dans l’édition de cette année, qui recense les réponses de 625 experts en gestion des risques et en gouvernance, ils sont 26%. A la question "est-il probable que votre organisation subisse une cyberattaque (par exemple DDoS) causée par des dispositifs ou des applications IoT non sécurisés au cours des 24 prochains mois ?", 87 % des personnes interrogées ont répondu par l'affirmative.

De nombreux dispositifs IoT actuels ont été déployés en utilisant des protocoles de communication propriétaires, ce qui rend la communication entre plusieurs écosystèmes difficile. Cela rend également la standardisation plus compliquée. Avec des dizaines de milliers d'entreprises qui se bousculent pour une place sur ce marché dans des secteurs très divers, la standardisation prendra du temps. Cependant, les équipes informatiques peuvent prendre des mesures dès aujourd'hui et répondre à des exigences de sécurité supérieures sans attendre que les fabricants collaborent. Voici ce qu’il faut savoir sur la gestion des dispositifs IoT et  minimiser les risques liés à des vulnérabilités :   

  1. Chaque appareil est un vecteur potentiel pour les attaques de rançongiciel : en fait, l'IoT pourrait même devenir le vecteur préféré des cybercriminels dans les mois qui viennent. Il est essentiel pour les équipes informatiques de recenser les appareils présents sur leurs réseaux et de s'assurer que seuls des dispositifs fiables et sécurisés y sont raccordés. Vous ne voulez pas que des perturbateurs connectent à votre réseau IoT des appareils qui ne sont pas authentiques, qui n'exécutent pas des logiciels de confiance ou qui ne sont pas sous la responsabilité d’un utilisateur de confiance.
  2. Si vous ne pouvez pas le recenser, vous ne pouvez pas le gérer : le nombre, les types d’appareils qu’une entreprise doit gérer et les outils pour le faire augmentent de manière exponentielle.  Les choses n'ont fait que se compliquer avec l'ajout de BYOD, IoT, les appareils mobiles entre autres. Qui est responsable des appareils qui ne sont pas la propriété de l'organisation ? Les équipes IT doivent-elles être en mesure de comprendre quels sont les appareils qui accèdent aux ressources de l'entreprise ? Avec l'accès au courrier électronique et aux informations de l'entreprise sur nos smartphones et tablettes, comment les services informatiques et de sécurité peuvent-ils savoir si ces appareils sont sécurisés ? Les équipes informatiques doivent travailler avec des plateformes capables de répondre à ces questions. Une solution moderne et complète vous permettra de découvrir tous les appareils de votre réseau, de dresser un inventaire complet, d'identifier les correctifs et les mises à jour de micrologiciels et de les intégrer à votre architecture actuelle pour permettre une gestion complète des actifs et des appareils.
  3. Une hygiène standard est essentielle sur les correctifs (patchs) : de nombreuses personnes et/ou organisations subissent des attaques faute d’appliquer des correctifs pourtant disponibles. La capacité à mettre à jour et à maintenir les logiciels sur les appareils distants est l'un des éléments les plus importants d'une bonne gestion de la sécurité. La grande majorité des attaques réussies utilisent des vulnérabilités pourtant documentées dans des logiciels bien connus, déjà corrigées par les éditeurs. Les victimes sont pour la plupart des organisations qui n’avaient pas appliqué les correctifs.  Cela signifie que la plupart des attaques réussies, comme WannaCry ou NotPetya par exemple, peuvent être stoppées simplement en s’assurant que les failles existantes sont corrigées.
  4. Veillez à respecter le principe du moindre privilège : n'accordez des privilèges administrateur qu'aux utilisateurs et aux appareils qui en ont vraiment besoin. Respecter la règle d’or des droits d’utilisateurs minimums pour remplir le rôle attribué est primordial dans le cas du maintien d’une flotte d’objets connectés. Le principe du moindre privilège doit s'appliquer aux processus, applications, systèmes et appareils (dont IoT), en ce sens que chacun ne doit disposer que des autorisations nécessaires pour n’exercer que des activités autorisées. Forrester Research estime que 80% des failles de sécurité d'aujourd'hui impliquent une mauvaise gestion des privilèges, c'est pourquoi l'application du principe du moindre privilège est devenue essentielle. 
  5. Prendre des mesures immédiates : les organisations sont encore trop peu nombreuses à le faire. Les violations de données sont fréquentes. Pour assurer votre sécurité et celle de votre entreprise, veillez toujours à changer vos mots de passe une fois qu'une violation de données a été découverte. En outre, l'activation de l'authentification à deux facteurs, la mise à jour de la sécurité des comptes d'administration et l'installation régulière de correctifs de sécurité contribuent largement à renforcer votre empreinte de sécurité.

Le secteur de l'IoT continue d'évoluer rapidement et la  pression vers de meilleurs niveaux de sécurité va augmenter. Le réseau est devenu un point central de la sécurité des entreprises. Pour prévenir les intrusions et s'assurer que seuls les dispositifs adéquats y ont accès, la collaboration entre le personnel de sécurité et le personnel du réseau sera essentielle.