Trois choses que chaque fabricant IoT devrait faire pour améliorer la sécurité

Il ne fait aucun doute que l'Internet des objets est le nouveau champ de bataille de la sécurité. Les webcams connectées à Internet, les systèmes CVC, les voitures, les téléviseurs, les montres, les imprimantes et plus encore permettent aux gens d'utiliser davantage leurs appareils. Mais ces appareils ouvrent également la porte aux pirates qui souhaitent voler des données d'entreprise, intégrer des milliers d'appareils dans des botnets capables de lancer des attaques DDoS, ou même déclencher les 156 sirènes extérieures d'urgence de Dallas.

Voir aussi : Ces satellites chinois offriront-ils une sécurité des données à l'épreuve du piratage ?

En matière de sécurité, les entreprises ont du mal à suivre la vitesse à laquelle les problèmes évoluent. Par exemple, un chercheur de Google Project Zero a récemment découvert une faille dans les puces Wi-Fi Broadcom qui pourrait permettre à quelqu'un d'exécuter du code à distance sur les iPhones, Nexus et appareils Samsung affectés simplement en se trouvant à proximité. Un autre chercheur a découvert 40 vulnérabilités zero-day dans le système d'exploitation Tizen de Samsung pour les montres, téléphones et téléviseurs intelligents. Il a déclaré que le code était peut-être le pire qu'il ait jamais vu.

Pendant ce temps, une nouvelle version du botnet Mirai a récemment été découverte pour être capable de lancer une attaque de couche d'application, pas seulement des sites Web DDoSing, et d'assombrir de larges pans d'Internet.

Pour lutter contre ces problèmes, les entreprises inventent sans cesse de nouvelles solutions. Par exemple, un nouveau projet Microsoft, baptisé Sopris, vise à résoudre certains problèmes de sécurité avec l'IoT en repensant les microcontrôleurs Wi-Fi. Et bien que des efforts comme celui-ci soient utiles, il faut faire davantage au sein des entreprises pour résoudre le problème de sécurité de l'IoT de manière évolutive.

Comment? Voici trois choses que les entreprises qui fabriquent des appareils IoT doivent faire pour améliorer la sécurité de leurs produits :

#1 :Être responsable

De nombreuses entreprises développant des produits IoT ne sont pas des entreprises technologiques, elles ne conçoivent donc pas nécessairement des produits dans un souci de sécurité ou ne connaissent pas les meilleures pratiques pour assurer la sécurité. Les fournisseurs qui se lancent sur le marché de l'IoT doivent se rendre compte que leurs appareils présenteront des vulnérabilités et que leur connexion à Internet augmente la probabilité que les appareils soient attaqués ou utilisés dans le cadre d'attaques. Si les entreprises vendent des produits sans reconnaître cette réalité, elles ont déjà échoué et mettent en danger non seulement leurs clients, mais Internet dans son ensemble.

#2 :Mettre à jour automatiquement

Les produits qui n'ont pas de moyen de se mettre à jour automatiquement sont des canards assis.

Par exemple, au moment où ils ont quitté les étagères des magasins, les appareils vulnérables au botnet Mirai étaient effectivement en fin de vie - il n'y avait aucun moyen de mettre à jour les appareils ou de corriger les vulnérabilités, donc la seule option dont disposaient les propriétaires d'appareils concernés était de acheter un nouvel appareil. Les rappels d'appareils sont coûteux, il est donc essentiel de fournir un moyen de mettre à jour l'appareil pour éviter l'obsolescence instantanée, qui décourage les clients.

Même Windows XP, qui avait un cycle de vie de 10 ans, a envoyé des correctifs de sécurité aux clients pour qu'ils les installent manuellement. Microsoft a planifié le support client et la maintenance, comme l'embauche de plus d'ingénieurs en sécurité, sur le long terme et a pris cela en compte dans les coûts initiaux ou l'abonnement.

Dans le même ordre d'idées, Nest facture 10 $ par mois pour les services d'entretien, ce qui lui permet de créer l'un des appareils IoT les plus sécurisés du marché.

#3 :Adoptez la divulgation

Les fabricants d'appareils IoT doivent également permettre aux pirates informatiques éthiques de leur signaler facilement les vulnérabilités. Les entreprises doivent disposer d'un processus de divulgation des vulnérabilités avec une adresse e-mail ou un formulaire Web faciles à trouver auquel envoyer les rapports de bogues. Si elles souhaitent encourager un examen plus approfondi de la sécurité pour les aider à trouver et à corriger les bogues, les entreprises peuvent également mettre en place un programme de primes aux bogues qui dédommage les pirates informatiques pour avoir signalé des vulnérabilités.

Aucun produit n'est à l'abri des bogues, et étant donné la généralisation des appareils IoT et leur vulnérabilité au piratage, il est essentiel pour les entreprises qui fabriquent des appareils IoT de prendre toutes les précautions nécessaires pour garantir que la vie privée des personnes est aussi protégée que possible.