Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Industrial Internet of Things >> Technologie de l'Internet des objets

Sécurité de l'IoT :comment piloter la transformation numérique tout en minimisant les risques

En quelques années seulement, l'Internet des objets (IoT) a radicalement remodelé notre façon de vivre et de travailler. Des gadgets à nos poignets et dans nos maisons aux bâtiments connectés et aux usines intelligentes dans lesquelles nous passons notre vie professionnelle, cela nous rend plus sûrs, plus heureux et plus productifs tout en offrant de nouvelles opportunités de croissance pour les organisations. La technologie est à l'avant-garde d'une révolution de la transformation numérique qui imprègne déjà la grande majorité des entreprises, les aidant à les rendre plus efficaces, agiles et centrées sur le client.

Cependant, l'expansion numérique signifie également un risque numérique accru :les derniers chiffres révèlent une augmentation de 100 % d'une année sur l'autre des attaques IoT. La clé pour les équipes informatiques est donc de soutenir la croissance de l'entreprise tout en minimisant ces cyber-risques grâce aux meilleures pratiques de sécurité adaptées à la nouvelle ère connectée.

Passer au numérique

L'IoT a parcouru un long chemin en un laps de temps relativement court. Gartner prédit qu'il y aura 14,2 milliards d'objets connectés en usage en 2019, avec un total atteignant 25 milliards d'ici 2021. Avec ce volume croissant d'appareils, une explosion de données s'est produite. Cisco estime que la quantité totale de données créées par tous les appareils atteindra 600 zettaoctets par an d'ici 2020, contre seulement 145 zettaoctets par an en 2015. Il s'agit d'une énorme quantité de données :un seul zettaoctet équivaut à 1 milliard de téraoctets.

Pourquoi l'IoT a-t-il commencé à pénétrer si complètement les environnements commerciaux au cours des dernières années ? Un sondage Forbes Insights de 700 dirigeants de 2018 aide à expliquer. Il révèle que 60 % des entreprises développent ou transforment de nouveaux secteurs d'activité, un nombre similaire (63 %) fournissent des services nouveaux/mis à jour aux clients et plus d'un tiers (36 %) envisagent de nouvelles entreprises commerciales. Au cours des 12 prochains mois, presque tous les répondants (94 %) ont prédit que les bénéfices augmenteraient de 5 à 15 % grâce à l'IoT.

Les capteurs IoT, les données collectées et envoyées dans le cloud pour analyse offrent de nouvelles opportunités majeures pour améliorer l'expérience client, rationaliser les processus métier complexes et créer de nouveaux services grâce aux informations révélées. Cela pourrait inclure des entreprises de services publics surveillant les signes avant-coureurs de fuites d'eau ou de pannes de courant, des entreprises de fabrication améliorant l'efficacité opérationnelle dans les usines et des fabricants de matériel fournissant de nouveaux services après-vente aux clients basés sur la maintenance prédictive.

Le risque est partout

Le défi auquel est confrontée toute entreprise augmentant son utilisation de l'IoT et des systèmes IoT industriels (IIoT) est qu'elle aura élargi la surface d'attaque de l'entreprise au cours du processus. Un aperçu rapide des surfaces d'attaque IoT de l'OWASP document illustre à quel point de nouveaux points de faiblesse possibles sont introduits. Celles-ci vont des appareils eux-mêmes, y compris le micrologiciel, la mémoire et les interfaces physiques/Web, aux API principales, aux systèmes cloud connectés, au trafic réseau, aux mécanismes de mise à jour et à l'application mobile.

L'un des plus grands risques pour de tels systèmes est qu'ils sont produits par des fabricants qui n'ont pas une compréhension adéquate des meilleures pratiques en matière de sécurité informatique. Cela peut entraîner de graves faiblesses et vulnérabilités systémiques qui peuvent être exploitées par des attaquants, des failles logicielles aux produits livrés avec des connexions d'usine par défaut. Cela peut également signifier que les produits sont difficiles à mettre à jour et/ou qu'il n'y a pas de programme en place pour publier des correctifs de sécurité.

De telles failles pourraient être exploitées dans une variété de scénarios d'attaque. Ils pourraient être utilisés pour violer les réseaux d'entreprise dans le cadre d'un raid de vol de données ou pour saboter des processus opérationnels clés, soit pour extorquer de l'argent à l'organisation victime, soit simplement pour provoquer une perturbation maximale. Dans un scénario plus courant, les pirates peuvent rechercher sur Internet des appareils destinés au public toujours protégés uniquement par des mots de passe par défaut ou faciles à deviner/craquer, et les enrôler dans des réseaux de zombies. C'est le modèle utilisé par les tristement célèbres attaquants de Mirai et adapté par la suite dans de nombreuses autres attaques de copieurs. Ces botnets peuvent être utilisés pour diverses tâches, notamment le déni de service distribué (DDoS), la fraude publicitaire et la propagation de chevaux de Troie bancaires.

Dans le noir

La difficulté pour les équipes de sécurité informatique est souvent de gagner en visibilité sur tous les points de terminaison IoT de l'organisation, et certains appareils IoT détectés peuvent souvent fonctionner à l'insu du service informatique. Ce facteur informatique fantôme est à bien des égards le successeur du défi BYOD d'entreprise - sauf qu'au lieu de téléphones mobiles, les utilisateurs apportent des appareils portables intelligents et d'autres appareils qui se connectent ensuite au réseau de l'entreprise, augmentant ainsi le cyber-risque. Imaginons simplement qu'une télévision connectée soit détournée par des attaquants pour espionner des réunions à bord, par exemple, ou une bouilloire connectée dans une cafétéria du personnel utilisée comme tête de pont pour lancer un raid de vol de données contre le réseau de l'entreprise.

Pire encore pour les responsables de la sécurité informatique, ils doivent gérer ce cyber-risque croissant avec moins de professionnels qualifiés auxquels faire appel. En fait, la demande de postes IoT a grimpé de 49 % au quatrième trimestre 2018 par rapport aux trois mois précédents, selon un groupe de recrutement.

Les régulateurs rattrapent leur retard

L'impact de toute cybermenace majeure liée à l'IoT pourrait être grave. La perte de données, les pannes de systèmes informatiques, les perturbations opérationnelles et autres peuvent entraîner des dommages financiers et de réputation. Le coût de l'enquête et de la résolution d'une violation de sécurité à lui seul peut être prohibitif. Une panne grave pourrait nécessiter un investissement important de fonds dans les heures supplémentaires du personnel informatique. Les amendes réglementaires sont un autre coût de plus en plus important à prendre en compte. Non seulement le RGPD doit-il être pris en compte pour tout problème affectant les données personnelles des clients ou des employés, mais la directive NIS de l'UE impose également les meilleures pratiques de sécurité pour les entreprises opérant dans des secteurs critiques spécifiques. Les deux sont passibles des mêmes amendes maximales.

Cette surveillance réglementaire empiète des deux côtés de l'Atlantique. Un nouveau projet de loi aux États-Unis obligera le National Institute of Standards and Technology (NIST) à établir des directives de sécurité minimales pour les fabricants d'IoT et exigera que les agences fédérales n'achètent qu'à des fournisseurs qui répondent à ces normes de base.

Visibilité et contrôle

Si elle est adoptée, cette législation américaine pourrait bien s'appuyer sur une norme européenne ETSI TS 103 645, qui elle-même était basée sur un code de pratique proposé par le gouvernement britannique pour l'industrie. C'est certainement un bon début et, espérons-le, poussera l'industrie à être plus soucieuse de la sécurité, tout en permettant aux consommateurs et aux entreprises de rechercher les produits les plus sûrs du marché. Mais en réalité, il faudra un certain temps pour que de telles étapes parviennent au marché, et même dans ce cas, les organisations peuvent déjà exécuter des milliers de points de terminaison IoT hérités non sécurisés.

Les équipes de sécurité informatique doivent agir maintenant, en obtenant une meilleure compréhension de leur environnement IoT. Les outils de gestion des actifs informatiques devraient être en mesure d'aider ici en fournissant la première étape primordiale :la visibilité. Ensuite, assurez-vous que le micrologiciel de l'appareil est à jour via des outils de gestion des correctifs automatisés et que ce processus est surveillé pour s'assurer qu'il fonctionne correctement - certaines mises à jour de sécurité sont enfouies profondément dans le site Web d'un fournisseur et nécessitent une intervention humaine pour s'assurer qu'elles ont été activées. . De plus, les équipes informatiques doivent vérifier que tous les noms d'utilisateur/mots de passe sont immédiatement remplacés par des informations d'identification fortes et uniques. Mieux encore, remplacez-les par une authentification multifacteur. D'autres bonnes pratiques pourraient inclure le cryptage des données en transit, la surveillance continue du réseau, la gestion des identités, la segmentation du réseau, etc. Enfin, n'oubliez pas l'aspect humain de la cybersécurité :les employés doivent apprendre à comprendre les risques de sécurité associés à l'IoT et à utiliser les systèmes et les appareils en toute sécurité.

C'est le moyen de tirer le meilleur parti de toutes les initiatives IoT, sans exposer l'entreprise à des risques supplémentaires inutiles. Il suffit d'une seule faille de sécurité sérieuse pour saper la croissance fondée sur l'innovation, si vitale pour le succès de l'entreprise numérique moderne.


Technologie de l'Internet des objets

  1. 4 étapes de la gestion des actifs IoT et de la transformation numérique
  2. Évaluer votre risque informatique – comment et pourquoi
  3. Comment l'IoT nous rapproche de zéro temps d'arrêt imprévu
  4. Accélérer la transformation numérique avec les données IoT, grâce à Cisco et IBM
  5. Comment tirer le meilleur parti de l'IoT dans la restauration
  6. Comment l'IoT minimise les dommages du changement climatique sur l'industrie agricole
  7. L'adoption croissante des appareils IoT est le plus grand risque de cybersécurité
  8. Comment les plates-formes IoT industrielles stimulent-elles la transformation ?
  9. La transformation numérique basée sur les données propulse Airbus vers de nouveaux sommets