Problèmes de confidentialité et de sécurité IoT
Nous examinons
ce qui est nécessaire pour vraiment sécuriser les appareils connectés à
Internet.
Ces dernières
années, l'Internet des objets (IoT) est devenu
omniprésent. Alors qu'il y a à peine dix ans, c'était un concept relativement
nouveau, vous pouvez désormais connecter presque tout - de votre réfrigérateur
et machine à café à votre système de sécurité et à votre montre - à
Internet.
Bien que les appareils
IoT apportent de nombreux avantages, il existe également un certain
nombre de risques associés à ces gadgets. Souvent, ils présentent des failles
de sécurité, qui permettent aux pirates de s'y infiltrer, de s'infiltrer
dans le réseau et de voler des informations confidentielles. Cela
devient encore plus préoccupant lorsque ces appareils fonctionnent sur le
réseau de votre entreprise.
HP : 70% des appareils Internet des objets vulnérables aux
attaques.
Kaspersky qualifie le drone d'intérieur d'Amazon de « risque de
sécurité majeur ».
Alors, quelle
est la sécurité de l'IoT, devriez-vous interdire tous les
appareils IoT sur le lieu de travail ou devriez-vous plutôt choisir de
surveiller et de gérer le risque ?
Une menace claire et présente
Il serait
insensé de penser que les thermostats connectés à Internet ou d'autres appareils
intelligents ne constituent pas une menace pour la sécurité des
entreprises, en particulier à une époque où les employés travaillent
principalement à domicile. Le passage au travail à distance de masse a signifié
que le « bureau » moyen est maintenant plein de plus d'appareils connectés à
Internet que jamais, des haut-parleurs intelligents et des sonnettes vidéo
alimentés par l'Intelligence Artificielle (IA) aux ampoules
commandées par téléphone et aux aspirateurs robots.
Les employés
utilisant leur réseau Wi-Fi domestique pour se connecter à des
appareils de travail et utiliser des appareils vulnérables, avoir des
appareils IoT sur le même réseau pourrait mettre en danger les réseaux
d'entreprise.
C'est important
parce qu'il y a eu un manque de réflexion sur la sécurité lors du
développement de produits IoT. Prenons l'exemple de Mirai, un logiciel
malveillant qui utilise des appareils vulnérables connectés à Internet,
tels que des caméras IP et des routeurs domestiques, pour créer
un botnet qui a lancé une attaque
DDoS contre le fournisseur DNS Dyn. Cela a
empêché une grande partie d'Internet, notamment Amazon, Slack et Visa,
de devenir indisponible en Europe et en Amérique du Nord en octobre 2016.
Ces menaces
basées sur l'IoT ont augmenté depuis, et des recherches de la société de
logiciels néerlandaise Irdeto ont révélé que ces attaques coûtaient en
moyenne 244.000 £ aux entreprises britanniques en 2018.
Valeurs par défaut de Daft
La plupart des fournisseurs
IoT ne placent pas la sécurité au premier plan du développement.
Malheureusement, de nombreux fournisseurs et l'industrie de la technologie
rejettent le blâme sur les utilisateurs pour ne pas avoir fait suffisamment
d'efforts pour sécuriser les appareils en modifiant les mots de passe
par défaut. Parfois, les fabricants se trompent gravement sur les fondamentaux
de la sécurité en codant en dur des mots de passe faciles à
deviner dans les appareils.
Certes, les
utilisateurs ne changent pas les mots de passe par défaut en quelque
chose de plus difficile à deviner, mais pourquoi les fabricants ne
devraient-ils pas proposer un mot de passe par défaut unique
et difficile à pirater à la place ?
Les
utilisateurs peuvent trop facilement être blâmés pour ne pas avoir mis à jour
les systèmes avec les derniers correctifs, mais ces mises à jour ne sont pas si
fréquentes et n'arrivent qu'après qu'un appareil a déjà été piraté.
Les appareils
IoT sont conçus pour être faciles à utiliser et dans de nombreux cas, la sécurité
est développée par ceux qui ne possèdent aucun degré raisonnable de
connaissances en matière de sécurité au lieu que ces appareils soient
développés avec des professionnels de la sécurité qui comprennent les
conséquences d'une mauvaise sécurité.
En plus de
cela, l'industrie de l'IoT n'est en aucun cas normalisée ou
réglementée, ce qui signifie que tout est un peu déroutant pour les
utilisateurs finaux. Cela pourrait changer avec la tentative du gouvernement
d'encourager les fabricants d'appareils IoT à adopter une
approche de confidentialité dès la conception pour créer des produits, ce que
le gouvernement pourrait chercher à légiférer si les fabricants d'appareils ne
tiennent pas compte des conseils.
Évolution de la surface d'attaque de l'entreprise
Il est clair
que quelque chose ne va pas dans le monde de la technologie lorsque vos
utilisateurs deviennent le périmètre du réseau, étant donné le rôle consistant
à empêcher les menaces de s'infiltrer plus loin dans le réseau.
Les appareils
IoT ouvrent le réseau à une répartition beaucoup plus large des risques,
servant d'encore plus de points de terminaison à sécuriser, tout en diluant la
ressource mise de côté pour la définition régulière et héritée de la protection
contre les menaces.
La bascule intelligente
Compte tenu de
ce que vous ne pouvez pas faire pour empêcher le compromis des appareils
IoT, quel est le revers de la médaille ? Ce n'est pas tout à fait un
exercice de « longueur de corde » que la variété presque infinie
d'appareils dont nous parlons pourrait le suggérer. Et en parlant de cela,
cette accusation « construite par la lutte contre les haricots » que nous avons
faite plus tôt, en fait, commence déjà à s'effondrer à mesure que les
fournisseurs voient l'opportunité du marché dans la fourniture d'un produit
sécurisé.
Attendez-vous à
ce que la segmentation du réseau et l'authentification d'appareil
à appareil (si ce n'est un cryptage de données suffisamment puissant) occupent
une place importante dans les listes de fonctionnalités des appareils IoT.
Un œil sur l'avenir
Quoi que
l'avenir vous apporte, vous ne devez pas perdre de vue, ni de site d'ailleurs,
de ces appareils. Vous devez savoir quels appareils vous possédez, à quoi ils
se connectent et comment ils le font.
La visibilité
est essentielle pour sécuriser l'IoT dans la mesure où il touche
votre entreprise, et ces points de contact sont là où les attaquants
rechercheront des faiblesses pour combler le fossé entre les appareils et
l'infrastructure d'entreprise.
Mots
Clés :
- Sécurité de l'IoT (sécurité de l'internet des objets)
- Les défis de confidentialité et de sécurité de l'IOT
- Cadre de confiance de sécurité et de confidentialité de IoT
- Quels sont les problèmes de sécurité de l'Internet des objets ?
- Sécurité de l'Internet des objets (IoT) : quels sont les enjeux
- IoT : les grandes questions de sécurité pour les fabricants
Commentaires
Enregistrer un commentaire