Atténuer les cyber-risques de l'IoT et trouver des solutions
La dernière décennie a vu un développement sans précédent du paysage de l'Internet des objets (IoT), rendu possible par les nouvelles technologies de réseau distribué. McKinsey estime que d'ici 2025, le monde possédera 50 milliards d'appareils en réseau, en hausse de 400 % par rapport à 2010, et apportera 11 000 milliards de dollars américains (10 000 milliards d'euros) aux économies.
Bien que cette prolifération d'appareils IoT au cours des dernières années ait créé des opportunités intéressantes pour les entreprises, les gouvernements et les consommateurs individuels, elle a créé de nouveaux risques qui doivent être atténués. Avec un développement et une mise en œuvre aussi rapides des technologies IoT, les menaces et les attaques sont une préoccupation claire pour les individus ainsi que pour les organisations du monde entier.
Andrea Gaglione, experte IoT et responsable technologique chez Brit Insurance , examine les risques potentiels de l'IoT et son collègue, Le souscripteur cyber Ben Maidment identifie les mesures que les utilisateurs, les développeurs et les assureurs peuvent prendre pour s'en protéger.
Quels sont les risques ?
Fondamentalement, la compréhension des risques et des cyber-vulnérabilités potentielles associés à l'IoT évolue encore – et afin de mettre en œuvre des mesures et des solutions d'atténuation, ces risques potentiels doivent être identifiés. Malheureusement, dans de nombreux cas, il devient de plus en plus clair que ces points faibles ne sont identifiés qu'après une brèche ou une cyberattaque.
- Perte de données
La sécurité et les cybermenaces croissent de façon exponentielle en fonction de la taille de la « surface d'attaque » potentielle et des points d'entrée du réseau, ce à quoi les systèmes IoT sont donc particulièrement sensibles. Des données récentes montrent que 26,66 milliards d'appareils IoT étaient actifs en 2019 et que 127 nouveaux appareils sont connectés à Internet chaque seconde.
À mesure que cela s'étend, le principal défi est la gestion et la protection de toutes les données que les appareils IoT capturent, utilisent et transmettent, en particulier à la lumière des récentes violations de données très médiatisées et des amendes punitives associées à la réglementation GDPR (Règles générales de protection des données). . Une préoccupation principale, comme pour la plupart des cyber-risques, est la perte ou la compromission des données, en particulier des données client et personnelles. Des exemples d'appareils IoT collectant de grandes quantités de données personnelles qui peuvent être particulièrement vulnérables incluent les dispositifs portables intelligents qui surveillent, collectent et transmettent des données de santé.
- Perturbation et interruption des activités
À mesure que les chaînes d'approvisionnement et les processus commerciaux dépendent davantage des appareils en réseau pour atteindre une plus grande efficacité, les entreprises sont plus exposées aux attaques. Une interruption d'activité importante, due à la mise hors ligne d'appareils par un piratage, peut entraîner une perte importante de revenus à court terme, ainsi que de réputation et de confiance à long terme.
En plus d'exploiter la vulnérabilité des appareils IoT pour entrer dans un réseau, les acteurs malveillants peuvent également utiliser une série d'appareils IoT non sécurisés pour détourner des données et lancer des attaques par déni de service distribué (DDoS). En 2016, de mauvais acteurs ont compromis plus de 25 000 enregistreurs vidéo numériques et caméras de vidéosurveillance, détournant leurs données afin de lancer une attaque DDoS qui a fait tomber les serveurs de Dyn , l'un des principaux fournisseurs de DNS aux États-Unis, qui a déclenché des pannes d'Internet aux États-Unis et en Europe, entraînant la fermeture de sites Web de grande envergure tels que Twitter, Netflix, GitHub , et Reddit .
- Cyber physique
Enfin, un risque émergent de l'IoT (et plus largement du cyberespace) est celui du cyberphysique, selon lequel une cyberattaque peut entraîner des dommages physiques. Cela peut aller des dispositifs médicaux en réseau tels que les stimulateurs cardiaques aux voitures autonomes ou aux processus industriels coûteux. Un piratage malveillant de ces appareils, prenant le contrôle de ces activités, pourrait entraîner des dommages coûteux et potentiellement physiques ou un danger de mort. Par exemple, l'année dernière, la Food and Drug Administration des États-Unis a émis une alerte avertissant que certaines pompes à insuline sont vulnérables aux pirates informatiques, qui pourraient accéder à distance et potentiellement modifier les paramètres de la pompe.
Comment pouvons-nous atténuer le risque ?
- Sécurité et confidentialité dès la conception
Jusqu'à présent, les fabricants d'IoT ont perçu un compromis entre la vitesse de mise sur le marché d'un produit et la robustesse et la sécurité du système. Comme nous l'avons vu avec la première vague d'IoT, la sécurité n'était pas considérée comme une exigence prioritaire, cependant, nous avons constaté une attention croissante sur la confidentialité à la suite de violations de données très médiatisées et de la nouvelle réglementation des données.
À notre avis, la sécurité doit être primordiale dans la conception de nouveaux appareils IoT, et des mesures continues doivent être mises en place pour maintenir et améliorer la sécurité des appareils nouveaux et existants.
- Meilleures pratiques de cybersécurité
Les utilisateurs eux-mêmes, qu'il s'agisse de particuliers, d'entreprises ou du secteur public, ont la responsabilité d'adopter les meilleures pratiques en matière de cyber-risques, et la sensibilisation et l'éducation sont essentielles. Les organisations doivent trouver un équilibre entre le désir de connectivité et d'efficacité qu'offrent les technologies IoT, avec les risques qu'une telle connectivité crée, en particulier compte tenu du manque d'accent mis sur la sécurité dans le développement de tels produits.
De la même manière qu'ils géreraient un système d'exploitation traditionnel, les individus devraient jouer un rôle actif dans l'élaboration de la politique de l'entreprise sur l'IoT et être responsables et informés des menaces auxquelles leurs entreprises sont confrontées. Bon nombre de ces mesures sont devenues une seconde nature dans l'informatique traditionnelle, mais sont lentement adoptées et prises en compte lors de l'examen des appareils IoT.
Les mesures simples que les utilisateurs peuvent prendre pour réduire les risques (et limiter la responsabilité en cas d'incident informatique) comprennent :l'utilisation de mots de passe forts et de clés de sécurité, mis à jour régulièrement ; surveiller les dispositifs et les systèmes pour détecter et répondre aux événements de sécurité, et ; mise à jour continue de la sécurité des appareils avec le téléchargement de correctifs logiciels des fabricants.
Quelles solutions l'assurance apporte-t-elle ?
Les assureurs ont un rôle crucial à jouer dans l'atténuation de ces risques en éduquant les entreprises afin qu'elles minimisent les risques et fournissent un soutien financier et autre si les appareils IoT sont compromis et entraînent une interruption d'activité, des dommages physiques ou le vol de données.
Les polices d'assurance cyber peuvent couvrir les coûts financiers et de réputation des tiers et des tiers si des données ou des systèmes ont été volés, endommagés ou compromis. La couverture de première partie comprend les frais d'enquête et de récupération après une cybercriminalité, de la perte de revenus encourue par une interruption d'activité, la réhabilitation et la gestion de la réputation aux paiements d'extorsion versés aux pirates. La couverture au tiers comprend les dommages et les règlements, ainsi que le coût de votre défense juridique contre les amendes résultant d'une violation.
Les meilleures formes de cyberassurance ne sont pas seulement un produit, mais un service qui aide les entreprises à progresser davantage sur la voie de la conformité et à minimiser leur exposition aux risques. Un nombre croissant d'assureurs, dont Brit, proposent un certain nombre de services de pré-incident informatique dans le cadre de leurs polices :listes de préparation.
Les auteurs sont Andrea Gaglione, responsable technologique et Ben Maidment, souscripteur cyberclasse chez Brit Insurance.
Technologie de l'Internet des objets
- Sécuriser l'IoT contre les cyberattaques
- La menace croissante de l'IoT compatible Wi-Fi
- Connecter l'IoT – L'opportunité du bas débit
- Cybersécurité et Internet des objets :sécurité IoT évolutive
- Fit and forget :la menace posée par l'IoT non configuré
- Trouver des USP dans l'écosystème IoT – Partie 1
- Trouver des USP dans l'écosystème IoT :2e partie
- L'adoption croissante des appareils IoT est le plus grand risque de cybersécurité
- Le trafic IoT dans l'entreprise augmente, tout comme les menaces