Sécurité de l'IoT :ce que nous pouvons apprendre des menaces récentes

Un casino sans nom de Las Vegas a été piraté via son aquarium, connecté à l'IoT pour surveiller l'alimentation et la température de l'eau

L'Internet des objets (IoT) promet plus de flexibilité et de fonctionnalités pour les entreprises que jamais auparavant. Plus d'appareils connectés promettent d'aider les entreprises à rationaliser les opérations de la chaîne d'approvisionnement, à accroître l'efficacité et à réduire les coûts au sein des processus existants, à améliorer la qualité des produits et des services, et même à créer de nouveaux produits et services pour les clients.

Avec une myriade d'avantages disponibles pour l'entreprise, déclare Avinash Prasad, responsable des services de sécurité gérés chez Tata Communications , l'IoT est prêt à améliorer voire à remanier les modèles commerciaux pour le mieux.

Alors que la génération, la collecte et l'analyse de masse de données IoT offriront certainement à l'entreprise d'immenses opportunités, un accès potentiellement facile via des réseaux non sécurisés et d'autres points d'entrée vulnérables, y compris les appareils IoT, attirent les cybercriminels.

Selon Gartner , près de 20 % des organisations ont observé au moins une attaque basée sur l'IoT au cours des trois dernières années. Avec 75 milliards d'appareils connectés attendus dans le monde d'ici 2025, l'exposition aux vulnérabilités de cybersécurité et aux violations de données aura quintuplé à partir d'aujourd'hui.

Ainsi, alors que nous entrons dans une nouvelle ère dominée par l'IoT, il est impératif de réexaminer les menaces qui pèsent sur les entreprises lors du déploiement de plusieurs appareils connectés et de les intégrer dans la stratégie de sécurité de l'entreprise. Voici trois exemples de vulnérabilités de l'IoT que toutes les entreprises devraient prendre en considération pour la planification de la cyberdéfense - celles-ci vont des violations sur des produits apparemment inoffensifs aux carrément malveillants.

1. Même les appareils connectés les plus simples sont vulnérables

Beaucoup de gens qui vont à Vegas reviennent avec beaucoup moins d'argent qu'ils ne l'étaient, mais ce n'est généralement pas lié à une cyber-attaque, encore moins à une attaque qui a commencé dans un aquarium. Cependant, c'est exactement ainsi qu'un casino anonyme de Sin City a subi sa première infraction de cybersécurité.

Le thermomètre connecté, utilisé pour la surveillance et l'alimentation à distance au sein de l'aquarium du casino, a fourni le point d'accès idéal pour les pirates cherchant à acquérir des données sur les visiteurs les plus dépensiers. Les pirates ont volé 10 Go de données personnelles au total, les envoyant à un serveur distant en Finlande.

Les appareils IoT sont de plus en plus utilisés dans divers secteurs, et comme le montre l'exemple de l'aquarium de Vegas, même les appareils connectés les plus simples peuvent être des passerelles potentielles vers d'autres segments privés du réseau d'une entreprise. Étant donné que 80 % des données mondiales sont conservées sur des serveurs privés, il n'a jamais été aussi crucial de tenir les pirates à l'écart.

2. La protection physique et l'élimination des appareils connectés peuvent être problématiques

Parfois, il ne faut pas se méfier des pirates, mais du comportement des appareils IoT eux-mêmes. En 2018, blog sur la cybersécurité Résultats limités a pris une scie à métaux pour une ampoule LIFX Mini White et a découvert des vulnérabilités avec l'ampoule intelligente elle-même. Toute personne ayant un accès physique au produit pouvait extraire le mot de passe Wi-Fi du propriétaire tel qu'il était stocké en clair sur l'appareil, ainsi que la clé privée RSA et les mots de passe root.

LIFX a corrigé les vulnérabilités avec une mise à jour du micrologiciel, mais cela soulève des questions importantes concernant l'état physique des appareils, notamment la protection lors de l'utilisation et l'élimination des appareils intelligents anciens ou défectueux. Alors que les entreprises continuent d'adopter et de mettre à niveau l'IoT, cet aspect souvent oublié de l'exploitation des vulnérabilités doit rester à l'esprit.

3. Malware à l'échelle industrielle - la menace cyber physique

Le monde s'est habitué aux logiciels malveillants qui volent des informations privées, mais comme le montrent les exemples de Vegas fish et LIFX, il a rarement constitué une menace physique pour ses victimes. C'est jusqu'en 2018, lorsque le malware industriel Triton a été découvert ciblant les systèmes de sécurité d'une raffinerie de pétrole saoudienne. Il s'agirait du premier malware jamais conçu pour compromettre les systèmes de sécurité industrielle, donnant aux pirates la possibilité de désactiver les capteurs et d'autoriser des catastrophes mortelles. Les pirates se sont déplacés délibérément, prenant leur temps pour infiltrer de plus en plus les systèmes des raffineurs et développer des logiciels malveillants plus précis.

Cette instance a heureusement été découverte avant que d'autres attaques ne puissent être exécutées, mais cela n'empêche pas les pirates de développer des formes encore plus dangereuses de logiciels malveillants. Ainsi, alors que les systèmes de contrôle industriels deviennent de plus en plus connectés et dépendants des appareils IoT, les entreprises doivent prendre des mesures pour renforcer la sécurité de ces couches.

L'énigme de la conformité

Même sans l'adoption généralisée de l'IoT, de nombreuses entreprises sont confrontées à des innovations qui peuvent ouvrir des failles potentielles pour la protection des données. Au cours des derniers mois, British Airways, Marriott Hotels et diverses organisations d'autorités locales ont été lourdement amendées en vertu du Règlement général sur la protection des données (RGPD) de l'Union européenne pour l'exposition accidentelle de grandes quantités de données personnelles. En fait, la violation de données de Marriott a exposé à elle seule 7 millions d'enregistrements liés à des résidents britanniques.

Toutes les amendes infligées démontrent à quel point les régulateurs de la Commission européenne (CE) sont prêts à s'attaquer aux manquements à la sécurité et à la conformité afin de garantir que les données personnelles restent privées. Les nouvelles lois de sécurité IoT basées au Royaume-Uni à l'horizon chercheront à tenir les fabricants d'appareils responsables des points d'entrée vulnérables au sein de l'appareil connecté lui-même. Pourtant, les entreprises devront également accepter davantage de responsabilités pour les faiblesses (sécurité et conformité) au sein de leur propre architecture informatique.

Alors, quelle est la solution ?

La nature naissante de l'IoT en fera probablement une cible attrayante pour les pirates informatiques dans un avenir prévisible. À mesure que de plus en plus de technologies émergent et que les environnements informatiques deviennent de plus en plus complexes, la surface d'attaque de l'IoT augmentera. Les entreprises doivent prendre les bonnes précautions aujourd'hui pour éviter de graves dommages pouvant être causés par des attaques réussies sur des environnements IoT nouvellement mis en œuvre.

Une façon de renforcer la cybersécurité consiste à utiliser les données IoT traitées par des analyses avancées telles que l'apprentissage automatique (ML) et l'intelligence artificielle (IA) dans un contexte de sécurité. En mettant en œuvre des technologies d'analyse avancées, il est possible de surveiller les anomalies de comportement et d'utilisation sur tous les appareils connectés et ainsi d'identifier les incidents de sécurité critiques ou les abus. De plus, en adoptant Blockchain, les entreprises peuvent supprimer le besoin d'une autorité centrale dans le réseau IoT. Cela signifie que les appareils connectés dans des groupes communs peuvent alerter les administrateurs s'ils sont invités à effectuer une tâche inhabituelle.

L'entreprise doit également se tourner vers ses partenaires lors du renforcement d'environnements chargés d'IoT. Les centres de défense de sécurité avancés pour répondre aux cyberattaques en temps réel, gérés par des acteurs spécialisés en cybersécurité, peuvent fournir aux entreprises un guichet unique pour leurs besoins en matière de cybersécurité, de conformité et de technologies émergentes.

Un tel centre de cybersécurité devrait être alimenté par une multitude d'outils et de plates-formes sophistiqués, y compris l'analyse des journaux et du comportement, la veille sur les cybermenaces, un cadre de sécurité basé sur le cloud, une plate-forme de prédiction d'attaque avancée basée sur l'apprentissage automatique, intégrée à une plate-forme d'automatisation et d'orchestration.

Ces centres peuvent donc fournir aux entreprises un tableau de bord de sécurité complet - une vue d'ensemble du réseau informatique et IoT et de sa sécurité. De tels centres sont très difficiles à construire et à entretenir du point de vue des coûts et des compétences, de sorte que les entreprises pourraient tirer parti de l'expertise approfondie d'un partenaire expert pour les aider à renforcer leur système de protection des données et à faire face aux réglementations en constante évolution.

Ce n'est qu'en adoptant une approche holistique de la sécurité de l'IoT - une approche qui englobe des contrôles omniprésents basés sur le cloud avec une visibilité et une protection étendues grâce aux technologies émergentes - que l'on peut garantir que l'entreprise est protégée de bout en bout et reste conforme aux normes de protection des données.

En résumé cependant, il n'y a pas lieu de craindre l'IoT. Avec les garanties appropriées en place, il peut tenir ses promesses, en améliorant les processus et les services qu'il est conçu pour fournir.

L'auteur est Avinash Prasad, responsable des services de sécurité gérés chez Tata Communications.