Pourquoi « Zero Trust » est le meilleur moyen de renforcer la sécurité des appareils IoT

Les experts en cybersécurité se démènent pour garder une longueur d'avance sur les pirates qui cherchent à exploiter les faiblesses de millions d'appareils Internet des objets dans le monde. Mais peut-être qu'ils se concentrent sur le mauvais problème.

Les appareils IoT imprègnent pratiquement tous les aspects de l'entreprise aujourd'hui et font également une percée rapide dans le secteur de la consommation. Chaque capteur qui se connecte à Internet crée une autre vulnérabilité potentielle pour son utilisateur. Il n'est donc pas surprenant que l'état actuel de la sécurité de l'IoT "ne soit probablement pas très bon", comme le décrit Gary Kinghorn, directeur général de Tempered Networks.

Lorsque la base de données des gros joueurs d'un casino est piratée à l'aide d'un thermomètre d'aquarium « intelligent », il est clair que l'univers IoT en plein essor a un grave problème. L'état de vulnérabilité de la technologie « est presque à l'absurdité », déclare Kinghorn.

Les entreprises cherchant à renforcer leurs systèmes d'information se sont focalisées sur les appareils eux-mêmes, en particulier le besoin de mots de passe forts censés les protéger des cyber-voleurs. Le gouvernement a également cherché à renforcer les appareils IoT par le biais de mesures telles que la loi récemment adoptée sur l'amélioration de la cybersécurité. Mais Kinghorn pense que ce n'est pas la réponse complète, ni même la bonne question.

Chaque appareil connecté à l'IoT a une adresse IP qui en fait une cible tentante pour les pirates. Pourtant, les émetteurs ne sont tout simplement pas aussi « intelligents » que cet adjectif à la mode pourrait le suggérer. «Ce sont des appareils très simples», explique Kinghorn. "Ils ne seront jamais assez sophistiqués pour analyser une connexion réseau ou une demande de données légitime."

Au lieu de cela, les utilisateurs devraient se concentrer sur ce que Kinghorn appelle « le vrai trou » dans la sécurité :le réseau lui-même. La clé est de s'assurer que les vecteurs d'attaque ne sont pas disponibles pour les pirates. Et pour ce faire, les systèmes doivent adopter un modèle de « confiance zéro » pour autoriser l'entrée.

Le terme signifie que « vous ne faites confiance à rien qui essaie de se connecter à votre réseau, même aux applications ou aux appareils de vos propres utilisateurs internes, à moins qu'ils ne soient spécifiquement autorisés », explique Kinghorn. Pensez à une « liste blanche » qui protège une ligne téléphonique contre les escrocs, les télévendeurs et les appels automatisés en bloquant tous les numéros, sauf ceux précédemment désignés.

Un environnement de confiance zéro garantit que « tout le trafic transite par le réseau crypté, il n'y a donc pas d'interceptions ou d'attaques de l'homme du milieu », explique Kinghorn. La politique de sécurité de l'organisation est gérée autour de l'identification initiale des appareils et des utilisateurs, plutôt que de compter sur la fiabilité des capteurs IoT.

Un tel système restreint l'accès au réseau même pour les appareils les plus fiables. Dans le cas du casino piraté, demande Kinghorn, pourquoi ce thermomètre d'aquarium était-il lié à la base de données des clients en premier lieu ? "Il ne devrait être autorisé à accéder qu'à un seul système - celui qui parle de la température du réservoir."

Zero Trust permet aux systèmes de séparer les capteurs individuels du réseau plus large. Alors pourquoi plus d'utilisateurs privés et publics n'ont-ils pas adopté le concept, alors même que les failles de sécurité continuent de se multiplier ?

Kinghorn trouve quelques réponses dans le rapport Zero Trust Adoption par Cybersecurity Insiders. Il constate un haut niveau d'enthousiasme pour le modèle de confiance zéro, avec 78% des informaticiens interrogés. équipes de sécurité exprimant leur intérêt pour la mise en œuvre d'un accès réseau sans confiance à l'avenir. Ils répondent à un besoin de renforcer la sécurité des systèmes à un moment où les entreprises se tournent vers le cloud public et tentent de gérer en toute sécurité leurs effectifs mobiles.

Dans le même temps, 47% de l'échantillon ont déclaré qu'ils manquaient de confiance dans la capacité de leur technologie de sécurité actuelle à mettre en œuvre la confiance zéro. Seuls 15 % d'entre eux disposent déjà d'un tel système, et environ 20 % n'ont pas du tout accordé beaucoup d'importance à la technologie.

Le coût est un facteur limitant, dit Kinghorn. La confiance zéro peut être coûteuse à atteindre, avec la nécessité de « déchirer et remplacer » certaines technologies de l'information. et dans sa forme actuelle, il ne s'étend pas toujours aux applications en dehors du centre de données.

"C'est notre objectif", explique Kinghorn, "être en mesure d'appliquer une confiance zéro à n'importe quel réseau ou périphérique, grâce à une combinaison d'un agent logiciel typique et de périphériques de passerelle câblés."

Lorsqu'il s'agit de mises à niveau technologiques, le changement est rarement facile. CE. les équipes de sécurité peuvent s'estimer à l'aise avec les pare-feu traditionnels et les réseaux privés virtuels (VPN), ou s'inquiéter des tracas liés à l'exigence d'une authentification multifacteur. Mais la confiance zéro peut être configurée avec une seule authentification, et les agents peuvent être installés en quelques minutes, affirme Kinghorn. « Ce n'est pas très coûteux », dit-il, « bien que certaines organisations puissent le faire ainsi. »

Il voit l'intérêt pour la confiance zéro augmenter rapidement, en particulier en réponse à la pandémie de COVID-19 et aux problèmes de sécurité supplémentaires qu'elle a engendrés sur l'informatique. départements. Et bien que l'acceptation complète de la technologie puisse prendre un certain temps, ne pas aller de l'avant exposera les entreprises à des attaques de plus en plus dommageables de la part de pirates informatiques créatifs.

Les systèmes hérités d'hier ne sont pas équipés pour faire face aux cybermenaces modernes, dit Kinghorn. « La pile de protocoles IP a 50 ans. Il n'a jamais été conçu pour faire ce que I.T. organisations sont invitées à faire aujourd'hui. C'est pourquoi nous avons besoin d'un tout nouveau modèle."