Une prescription humaine pour la sécurité de l'Internet des objets

Alors que la technologie de l'Internet des objets (IoT) fait beaucoup parler de ses applications commerciales transformatrices, en particulier dans le secteur manufacturier, la menace inquiétante de la cybersécurité amène certains à considérer avec scepticisme un réseau aussi large d'appareils, de capteurs, de logiciels et de connectivité. Un flux de reportages détaillant les violations massives de données valide le danger inhérent aux défis de l'IoT.

Avec des estimations selon lesquelles les appareils connectés pourraient atteindre 20 milliards à 30 milliards d'ici 2020, contre 10 milliards à 15 milliards d'appareils en 2015 , selon McKinsey and Co., le risque va sûrement augmenter. Dans mes conversations IoT avec les responsables informatiques de l'entreprise, la principale préoccupation qu'ils expriment est la sécurité.

Mais les organisations axées sur le numérique peuvent prendre des mesures précieuses pour maintenir l'intégrité des données d'une source à n'importe quel point d'analyse et d'aide à la décision , à la fois central et local, pour renforcer la confiance que les actifs de données sont sécurisés. Étonnamment, cependant, les étapes les plus importantes pour aborder la sécurité de l'Internet des objets pourraient avoir moins à voir avec la technologie et plus avec la culture d'entreprise et les comportements des employés.

Donc, quels sont les Internet les plus importants des mesures de sécurité des objets qu'un fabricant peut mettre en œuvre immédiatement pour aider à sécuriser les données et les réseaux ? Examinons les plus importants.

Évaluer la culture . L'étape la plus vitale et celle qui nécessite peu ou pas de coût supplémentaire est une évaluation culturelle honnête. Posez des questions ouvertes, peut-être à l'aide d'un outil permettant l'anonymat, sur les pratiques qui rendent les utilisateurs fous et les motivent à créer le redoutable « shadow IT ».

Par exemple, si cela prend quatre semaines pour le Service informatique pour générer un rapport client pour le service d'expédition, l'équipe d'expédition peut conserver sa propre copie des données client sur un site de stockage en nuage. Tout membre de l'équipe d'expédition peut désormais télécharger le fichier de données client sur son ordinateur portable pour obtenir ses rapports hebdomadaires sur le personnel à temps pour les réunions du personnel. Mais considérez le risque pour votre organisation si l'un de ces ordinateurs portables est perdu ou volé.

Mesures honnêtes . De même, examinez attentivement les mesures organisationnelles et demandez-vous quels types de comportements ils conduisent qui pourraient être contre-productifs pour la sécurité. Si les ingénieurs de maintenance sont de garde et enquêtent sur chaque alarme, quelle que soit sa gravité - même si elle se produit à 2 heures du matin - ils pourraient très bien être motivés à installer une caméra vidéo compatible 4G pour garder un œil sur l'installation depuis chez eux. Ce piratage apparemment inoffensif leur permettrait de « vérifier les choses » sans traverser la ville au milieu de la nuit.

Cependant, ces ingénieurs privés de sommeil peuvent ne pas informer le service informatique de cette solution de contournement. Un point d'accès 4G - ou la caméra elle-même - peut être installé d'une manière qui offre malheureusement aux pirates un point d'entrée vers le reste de votre organisation. Regardez votre organisation de manière holistique et n'oubliez pas l'élément humain.

Shadow IT . La meilleure solution pour les actions informatiques fantômes est une « période d'amnistie » permettant aux utilisateurs de se manifester et de déclarer leur technologie non autorisée sans aucune conséquence négative. Leurs problèmes peuvent alors être traités d'une manière cohérente avec la stratégie de sécurité de l'entreprise. Une fois cette opération terminée et une sécurité renforcée mise en place, il peut également être utile d'embaucher une organisation de pirates informatiques « chapeau blanc » pour tenter de pénétrer les défenses du réseau. Un hacker éthique pensera d'une manière qu'un initié ne pensera pas. Trop souvent, les points faibles détectés sont davantage liés à des facteurs humains qu'à la technologie elle-même.

Cybersécurité en cours . À plus long terme, il est essentiel pour une organisation de comprendre que la cybersécurité est un processus continu et non un exercice une fois fait. Les utilisateurs ont tendance à devenir complaisants avec le temps, des contrôles ponctuels périodiques sont donc essentiels, tout comme les audits de sécurité formels réguliers.

Avec ou sans contraintes budgétaires, une formation efficace en cybersécurité pour tous les membres de l'organisation est essentielle, tout comme l'établissement d'une culture qui valorise la sécurité informatique. Croyez-le ou non, certains membres du personnel ne sont toujours pas conscients du danger de cliquer sur un lien reçu par e-mail.

En outre, les dirigeants d'entreprise doivent démontrer par leur propre comportement qu'il est normal et attendu de remettre en question des choses. Par exemple, montrez comment interroger poliment mais efficacement des étrangers dans les couloirs sur le but de leur visite et sur qui est leur contact avec l'employé, puis dirigez-les vers cet employé. Commencez chaque réunion avec un rappel de sécurité pour le garder à l'esprit, tout comme les entreprises de fabrication l'ont fait pendant de nombreuses années en matière de sécurité physique.

S'il est vrai que les mesures de sécurité ci-dessus sont valables pour tous les déploiements technologiques - pas seulement l'IoT - c'est encore plus vrai pour une entreprise compatible IoT en raison de l'étendue de sa portée. Les éléments humains et culturels peuvent faire ou défaire votre stratégie de sécurité IoT.

Marcia Elaine Walker est la principale consultante industrielle pour la fabrication chez SAS. Suivez-la sur LinkedIn ou @MWEnergy sur Twitter. Suivez l'actualité de SAS @SASsoftware sur Twitter.