Attention aux entreprises :les appareils IoT sont une porte d'accès aux cyberattaques

L'Internet des objets offre aux entreprises un niveau de visibilité et de contrôle sans précédent sur leurs chaînes d'approvisionnement. Mais cela ouvre également la porte à des cyberattaques potentiellement invalidantes.

Une nouvelle étude du Ponemon Institute révèle une forte augmentation des violations de données causées par des appareils IoT tiers non sécurisés. Et cela suggère que les meilleurs experts en sécurité ne font pas assez pour les arrêter.

La troisième étude annuelle de l'institut sur le risque IoT de tiers est sous-titrée « Les entreprises ne savent pas ce qu'elles ne savent pas ». En effet, la méconnaissance des dangers des cyberattaques semble avoir accru la vulnérabilité de nombreuses entreprises. Les violations liées à l'IoT ont augmenté d'au moins 26% depuis 2017, selon l'étude. (Le nombre pourrait être encore plus élevé, notent les auteurs, car la plupart des entreprises ne sont pas au courant de tous les appareils ou applications non sécurisés dans leurs locaux qui proviennent de fournisseurs tiers.)

À une époque où les violations de données deviennent endémiques, la cybersécurité ne semble pas être une priorité particulièrement élevée pour de nombreuses entreprises, du moins lorsqu'il s'agit d'investir des ressources dans ce domaine. La surveillance par la haute direction fait particulièrement défaut. Selon l'étude, moins de la moitié des membres du conseil d'administration des entreprises ont approuvé des programmes destinés à réduire les risques de cyberattaques des tiers. Seulement 21 % comprennent parfaitement la nature de ce risque et sont « hautement engagés » dans les mesures de sécurité nécessaires pour y faire face.

Lorsqu'il s'agit d'anticiper le cyber-risque, l'attitude dominante semble être celle du fatalisme. L'étude a révélé que 87 % des personnes interrogées pensaient que leurs propres organisations subiraient une cyberattaque causée par des appareils ou des applications IoT non sécurisés au cours des 24 prochains mois. Et 84 % s'attendent à subir une violation de données dans le même laps de temps.

La dernière version de l'étude s'appuie sur 600 répondants qualifiés et environ 450 entreprises uniques, selon Larry Ponemon, co-fondateur du Ponemon Institute. Dans ce qu'il appelle un « échantillonnage éclectique mais intéressant », les participants comprenaient des experts en informatique, en protection des données, en technologie tierce et en réglementation.

« Tierce partie » désigne l'ensemble des fournisseurs, sous-traitants, partenaires de distribution et sociétés affiliées internes externes au service informatique d'une entreprise. l'environnement, note Charlie Miller, conseiller principal du programme d'évaluations partagées, une unité du groupe Santa Fe spécialisée dans l'évaluation des risques liés aux tiers.

Les appareils extérieurs à l'IdO prennent généralement la forme de capteurs, d'appareils intelligents, d'imprimantes, d'appareils photo, de thermostats Nest, d'assistants numériques personnels à commande vocale, bref, de tout ce qui contient de l'électronique capable de se connecter au réseau d'une entreprise.

Malgré cette panoplie de technologies non sécurisées, dont une grande partie est introduite dans le réseau via les appareils personnels des employés, la direction ne la considère pas comme un risque énorme, explique Ponemon. Miller ajoute que le problème est aggravé par une énorme augmentation du nombre d'appareils IoT qui ont frappé le marché ces dernières années.

Chacun de ces appareils a une adresse IP unique et représente un point de vulnérabilité potentiel à travers lequel les pirates ou les cyber-voleurs peuvent accéder à des données propriétaires. Avant d'autoriser l'introduction de l'un d'entre eux dans le réseau, les entreprises doivent comprendre précisément ce que les appareils étaient censés faire, quels types de données ils sont censés collecter et comment ces informations seront transmises.

"Toutes ces choses sont des concepts fondamentaux qui ne se sont pas encore cristallisés dans cet immense espace IoT", déclare Miller.

Face à cette vague d'attaques, pourquoi les entreprises ne sont-elles pas plus proactives pour les prévenir ? Ponemon suggère que le problème réside dans un manque de responsabilité au sein des organisations. De plus, les appareils IoT sont séduisants à utiliser, les propriétaires ne pensant guère à la façon dont ils pourraient compromettre la sécurité de l'entreprise.

Miller voit des signes d'éclaircissement parmi les équipes et les organisations de sécurité. Certaines industries telles que les fabricants de dispositifs médicaux sont plus focalisées sur la question que d'autres, en grande partie parce qu'elles sont soumises à une réglementation lourde. (La Food and Drug Administration, par exemple, a des «règles strictes concernant les dispositifs à implanter chez les humains», dit Miller.) Une nouvelle législation telle que la California Consumer Privacy Act réprime l'utilisation par les marchands des données des consommateurs à des fins de marketing. En outre, les législateurs ciblent les fabricants avec des mesures qui nécessiteraient des niveaux de sécurité intégrés plus élevés pour les appareils basés sur l'IoT. (Interdire, par exemple, l'utilisation de mots de passe par défaut faciles à déchiffrer, que de nombreux utilisateurs négligent de modifier.)

D'autres efforts pour renforcer la cybersécurité sont menés par des organisations telles que le National Institute of Standards and Technology, dont les normes sont acceptées dans le monde entier, et l'Autorité monétaire de Singapour, la banque centrale de ce pays. Quatre des cinq recommandations de ce dernier pour renforcer la sécurité sont incluses dans l'étude Ponemon.

« Vous devez comprendre quels sont les appareils dont vous disposez au sein de votre propre organisation et que vous autorisez à être utilisés par vos tiers », explique Miller. « Et vous devez vous assurer que la manière dont les appareils sont connectés est segmentée de votre service de production. Donc, s'il y a une brèche, il y a isolement sur un segment de non-production de votre réseau. »

L'éducation est primordiale, déclare Ponemon, soulignant que la sensibilisation au cyber-risque doit s'étendre de chaque employé à la suite exécutive, ainsi qu'aux partenaires externes de la chaîne d'approvisionnement et aux clients.

Miller dit que les entreprises devraient entreprendre des cas d'utilisation avant de s'engager dans l'utilisation de tout appareil IoT, afin de déterminer le potentiel d'abus. Par exemple, les systèmes de surveillance présents dans les automobiles modernes pourraient permettre aux pirates informatiques de prendre le contrôle du véhicule à distance. « L'industrie des transports examine cela très sérieusement », dit-il.

Au final, il s'agit d'une vigilance de la part de l'utilisateur. « La cyber-hygiène est la responsabilité de l'individu », explique Ponemon. «C'est critique. Il ne s'agit pas que de l'IoT, il s'agit de tout."