Relever le défi de la sécurité IoT des télétravailleurs

Greg Day de Palo Alto Networks

Alors que les frontières entre le travail et la maison continuent de s'estomper, la séparation entre les appareils connectés d'entreprise et personnels s'estompe également. Cela expose de nouveaux défis en matière de cybersécurité qui nécessiteront une réponse coordonnée de tout le monde, y compris les travailleurs à domicile, déclare Greg Day, VP et CSO EMEA, Palo Alto Networks .

Inondation d'IoT non professionnel sur les réseaux d'entreprise

Une croissance du travail à domicile et hybride conduit à un plus grand nombre d'appareils connectés grand public errant sur les réseaux d'entreprise. Depuis deux ans maintenant, nous suivons cette tendance dans le cadre d'une étude sur la sécurité de l'IoT couvrant 18 pays de la zone EMEA, APAC et des Amériques.

Dans l'étude de 2021, 78 % des décideurs informatiques dans le monde (parmi ceux dont l'organisation a des appareils IoT connectés à son réseau) ont signalé une augmentation des appareils IoT non commerciaux connectés aux réseaux d'entreprise par des travailleurs à distance au cours de la dernière année. Sur certains marchés comme les États-Unis, les rapports sont encore plus élevés avec 84 % d'entre eux indiquant qu'il y a eu une augmentation.

Lorsque vous examinez le type d'objets non liés à l'entreprise rencontrés, la variété est assez frappante. À l'échelle mondiale, les appareils connectés non professionnels les plus courants sont les moniteurs médicaux portables, suivis des ampoules intelligentes, des équipements de gym connectés, des machines à café, des consoles de jeux et même des mangeoires pour animaux de compagnie font partie de la liste des appareils les plus étranges repérés. Cela s'explique en partie par le fait que l'augmentation des habitudes de travail à domicile (WFH) coïncide avec un boom des kits de maison intelligente, ainsi qu'une gamme de dispositifs portables pour le fitness et la santé.

Failles et menaces de cybersécurité

Bien qu'un appel nominal d'appareils IoT inhabituels puisse être une lecture amusante, ils présentent un défi de sécurité croissant pour les équipes de cybersécurité. Les attaquants n'ont besoin que d'un employé pour avoir un appareil vulnérable qui peut être exploité. De nombreux appareils IoT grand public sont livrés avec des fonctionnalités de sécurité médiocres ou malheureusement inexistantes. En effet, combien pouvez-vous attendre d'un niveau de sécurité de niveau entreprise dans un appareil intelligent qui coûte moins de 100 $ (88,59 €). De même, les bonnes pratiques de codage adoptées par les éditeurs de logiciels matures sont généralement moins prioritaires et les corrections de bogues peuvent être lentes.

Des experts en renseignement sur les menaces, comme notre propre équipe de l'Unité 42, signalent des attaques ciblant des vulnérabilités dans le kit de bureau à domicile. Cela comprenait une variante Mirai attaquant des failles de sécurité sur une gamme d'appareils IoT domestiques en février 2021. La plus grande inquiétude est de savoir comment un appareil connecté non professionnel compromis est utilisé pour lancer une attaque de ransomware plus grave. Cet été, l'Unité 42 a révélé des preuves de la façon dont les gangs de ransomware semblaient investir dans des outils utilisant la variante de ransomware eCh0raix pour cibler les travailleurs à domicile avec des périphériques NAS. La motivation de ces attaques peut être d'utiliser un appareil connecté domestique exploité comme tremplin dans les attaques de la chaîne d'approvisionnement contre les grandes entreprises qui peuvent générer d'énormes rançons.

Par conséquent, les appareils IoT grand public pourraient être un gros problème pour les entreprises ; c'est quelque chose que les répondants ont reconnu dans notre étude. À l'échelle mondiale, la plupart des décideurs informatiques (81 %) dont l'organisation a des appareils IoT connectés à son réseau ont signalé que le travail à distance pendant la pandémie de COVID-19 entraînait un risque accru d'appareils IoT non sécurisés sur le réseau d'entreprise de leur organisation. Pour plus de sept personnes sur dix (78 %), cette augmentation du risque s'est traduite par une augmentation du nombre d'incidents de sécurité IoT.

Ni le travail à domicile ni l'augmentation des appareils IoT ne vont disparaître, il y a donc une pression accrue pour revoir la cybersécurité de l'IoT. En effet, presque tous les répondants (96 % en 2021 et 95 % en 2020) à notre enquête mondiale sur l'IoT ont indiqué que leur organisation a besoin d'améliorer son approche de la sécurité de l'IoT. En 2021, 25 % ont suggéré qu'une refonte complète serait préférable.

Comment les employés de la FMH peuvent vous aider

Il doit y avoir une approche à trois volets avec une cybersécurité IoT renforcée commençant à la maison.

Les organisations doivent à la fois éduquer et mandater leurs employés de la FMH pour élever la barre des normes d'hygiène en matière de cybersécurité à domicile, en commençant par leur routeur. Certaines commandes de base doivent inclure la modification des paramètres de sécurité par défaut, puis le cryptage du réseau domestique en mettant simplement à jour les paramètres du routeur sur WPA3 Personal ou WPA2 Personal. Les travailleurs de la FMH devraient également être chargés d'effectuer un audit de ce qui est connecté et de désactiver tous les appareils qui ne sont pas utilisés régulièrement.

Il y a une autre étape qui doit être franchie. Les employés de la FMH doivent également tirer parti de la fonction de micro-segmentation qui se trouve généralement dans le micrologiciel de la plupart des routeurs Wi-Fi. Cela permet aux utilisateurs de conserver des réseaux séparés, un pour les invités et les appareils IoT et un utilisé à des fins d'entreprise.

La segmentation du réseau est la clé d'une bonne cyberhygiène globale dans l'entreprise et à la maison. Selon l'enquête IoT, 51 % des décideurs informatiques (qui ont des appareils IoT connectés au réseau de leur organisation) ont indiqué que les appareils IoT sont segmentés sur un réseau distinct. Ils sont distincts de celui qu'ils utilisent pour les principaux appareils et applications métier (par exemple, système RH, serveur de messagerie, système financier). Cependant, il est inquiétant qu'un nombre relativement important de décideurs informatiques mondiaux (un sur cinq) admettent que les appareils IoT ne sont pas segmentés sur un réseau distinct de celui qu'ils utilisent pour les appareils principaux et les applications commerciales clés. Sur certains marchés, comme le Royaume-Uni, les résultats sont encore pires, avec une personne sur trois n'admettant aucune segmentation.

Enfin, les organisations doivent s'éloigner du modèle de connexion hub and spoke, où tout passe par un seul canal de sécurité et où les travailleurs à domicile se reconnectent à l'entreprise via VPN. Dans l'écosystème connecté diversifié d'aujourd'hui, la sécurité à taille unique ne fonctionne tout simplement pas. Trop souvent, les utilisateurs recherchent le commutateur OFF sur leur VPN pour activer les services commerciaux de base tels que les conférences. Dans le travail n'importe quand n'importe où avec tout le monde, la cybersécurité de pointe doit s'adapter pour être consciente du contexte, pour permettre une sécurité appropriée qui est transparente pour l'utilisateur et optimise l'expérience, afin qu'il ne ressente pas le besoin de la désactiver ensuite.

Appliquer la confiance zéro

L'autre volet du renforcement de la cybersécurité de l'IoT réside au sein de l'entreprise elle-même et de la façon dont les appareils IoT malveillants sont contrôlés et empêchés de se connecter au réseau.

Les organisations doivent utiliser des politiques d'accès au moindre privilège pour empêcher les appareils non autorisés de se connecter à leurs réseaux. Ils ne devraient autoriser que les appareils et utilisateurs approuvés à accéder à ce qui est nécessaire. Tirer parti de la confiance zéro est le meilleur moyen de s'assurer que ces appareils ne créent pas d'exposition des données ou n'ont pas d'impact négatif sur la continuité de l'activité.

Pour la sécurité IoT en particulier, les organisations ont besoin d'une solution de surveillance en temps réel qui analyse en permanence le comportement des appareils IoT connectés au réseau. Celui-ci cherche à connaître les inconnues, à découvrir le nombre exact d'appareils connectés à votre réseau, y compris ceux dont vous n'êtes pas au courant et ceux oubliés. L'inventaire des actifs IoT peut ensuite tirer parti des investissements de pare-feu existants pour recommander et appliquer automatiquement des politiques de sécurité. Ceux-ci seraient basés sur le niveau de risque et l'étendue du comportement non fiable détecté dans ces appareils. Une solution ponctuelle peut étendre un réseau d'entreprise et apporter une gestion unifiée des politiques de sécurité et une périphérie de service d'accès sécurisé (SASE) aux employés de la FMH :c'est ainsi que vous activez la sécurité contextuelle.

N'attendez pas une solution juridique

En fin de compte, les risques de sécurité de tout appareil IoT peuvent être atténués par une vague de nouvelles réglementations visant à obliger les fabricants et les distributeurs à renforcer la sécurité en premier lieu. Pourtant, ces lois dans l'UE et dans des pays comme le Royaume-Uni n'en sont qu'à leurs débuts et il est peu probable qu'elles aient un véritable impact avant plusieurs années. La responsabilité de l'amélioration de la sécurité de l'IoT reposera sur les épaules des employés et de leurs organisations.

Compte tenu de l'importance des appareils IoT dans notre façon de travailler et de jouer, il est temps pour les organisations de changer la façon dont elles ont traditionnellement répondu à la cybersécurité et de créer une culture de cybersanté proactive qui s'étend de la c-suite à tous les employés. Ce changement permettra d'investir et de se concentrer sur des pratiques de cyberhygiène qui aideront à contrecarrer les cyberattaques et à réduire l'impact potentiel d'un cyberincident via une entreprise ou un appareil personnel connecté innocent.

L'auteur est Greg Day, VP et CSO EMEA, Palo Alto Networks.