Les appareils IoT pourraient être le maillon faible de votre cybersécurité –
L’utilisation croissante des appareils IoT dans un environnement professionnel n’est pas si mauvaise. Ils aident à améliorer la productivité du personnel, à optimiser les ressources limitées et même à automatiser certaines tâches banales en arrière-plan. Mais tous les avantages n’annulent pas pour autant les dangers qu’ils représentent pour votre entreprise.
Sommaire
Le mythe de la sécurité IoT
Après des décennies de numérisation de tous les aspects de la sécurité, affirmant que les personnes sont le maillon faible (et elles le sont toujours), il est facile de fermer les yeux sur les réseaux IoT car ils sont basés sur la technologie. Mais remplacer les tâches physiques par des gadgets et des appareils distants qui les font mieux n’est pas toujours une solution sans faille.
Vous pouvez penser à implémenter des appareils et des réseaux IoT supplémentaires dans une entreprise, comme ajouter plus de portes à vos bureaux. Plus vous avez d’entrées, plus vous aurez besoin de serrures, de clés et de caméras de sécurité pour les contrôler.
Mais bien que tout cela soit très bien avec les appareils conçus pour prendre en charge la cybersécurité, comme les ordinateurs portables, les tablettes et les appareils de bureau, les appareils IoT sont comme des portes minces comme du papier avec une serrure en plastique – vous ne pouvez pas compter sur les fonctions de sécurité du fabricant pour vous protéger. Des changements drastiques sont nécessaires.
Au cours des deux dernières années, 70% des organisations dans le monde ont souffert d’une cyberattaque basée sur l’IoT, l’incident le plus notable étant la base de données du casino qui a été piratée via un thermomètre d’aquarium. Il ne s’agissait pas d’utiliser une technologie sophistiquée ou de câbler le thermomètre pour accéder furtivement au réseau. L’approche était relativement simple car le thermomètre était un appareil IoT connecté à Internet et au réseau interne du casino.
En plus de la négligence qui rend souvent les appareils IoT vulnérables aux attaques, ils n’ont pas été fabriqués dans un souci de sécurité en premier lieu. Ils sont conçus pour la productivité et la commodité.
Puissance de calcul limitée
La plupart des appareils IoT sont conçus pour accomplir au mieux une poignée de tâches. Étant donné que les tâches sont souvent assez simples et ne nécessitent pas beaucoup de puissance de calcul, les fabricants ne se soucient pas de renforcer la capacité de leur appareil pour maintenir un prix raisonnable. Cependant, des mesures de sécurité appropriées nécessitent souvent une puissance de calcul adéquate pour fonctionner.
Anciens systèmes d’exploitation et manque de mises à jour
Étant donné que la fonction requise de l’appareil IoT ne change pas au fil du temps, la plupart des fabricants ne se soucient pas d’envoyer en permanence des mises à jour du système d’exploitation à l’appareil. Cela les rend vulnérables aux anciennes et aux nouvelles méthodes d’attaque sans pouvoir combler les lacunes.
Mauvaise sécurité physique
Les attaquants n’auront même pas à pénétrer dans l’appareil IoT lui-même pour accéder à votre réseau s’ils peuvent avoir accès à l’appareil lui-même. Contrairement aux ordinateurs portables et aux tablettes du personnel qui transportent des fichiers et des données sensibles, les appareils IoT ne sont pas aussi bien protégés et sont souvent laissés sans surveillance dans des endroits éloignés pendant de longues périodes. L’absence de mesures de sécurité physique expose l’appareil à un risque élevé de falsification, en sabotant l’appareil ou en installant directement des logiciels malveillants ou des logiciels espions via l’un de ses ports.
Protocoles de communication non sécurisés
La plupart des appareils IoT n’utilisent pas de protocoles de communication sécurisés lors du transfert de données entre l’appareil lui-même, son service cloud et le réseau principal de votre entreprise. Par exemple, certaines attaques de l’homme du milieu (MITM) tirent parti de pratiques d’échange de clés non sécurisées pour intercepter et accéder aux données pendant le transfert.
Comment sécuriser vos appareils IoT
Malgré tous les inconvénients de l’utilisation d’appareils IoT, ils ne signifient pas nécessairement pour l’instant les renoncer à eux et à leurs avantages. Il existe plusieurs approches que vous pouvez adopter pour sécuriser les appareils IoT et minimiser les risques, dont la complexité et l’importance varient.
Changer les mots de passe
Cela semble être une première étape évidente, mais 47 % des responsables informatiques ne modifient pas les mots de passe et les paramètres par défaut des appareils IoT lors de leur connexion à leur réseau interne. Les mêmes règles qui s’appliquent aux mots de passe des comptes et des appareils doivent être utilisées sur les appareils IoT :
- Changez le mot de passe tous les 30 à 90 jours.
- Utilisez un mélange complexe de lettres, de chiffres et de symboles aléatoires dans divers cas dans les mots de passe.
- Utilisez l’authentification à deux ou plusieurs facteurs.
- Utilisez un gestionnaire de mots de passe ou renoncez complètement aux mots de passe écrits pour les connexions sans mot de passe.
- Évitez de partager les mots de passe entre les employés via des canaux de communication non sécurisés.
Éloignez-vous de l’Internet ouvert
Les appareils IoT ne peuvent faire leur travail correctement que s’ils sont connectés à un réseau plus important ou à un appareil ou un cloud auquel il peut faire rapport. Cependant, il est préférable de garder les appareils IoT strictement connectés à votre réseau interne plutôt qu’à Internet ouvert. En effet, selon le rapport Threat Intelligence Report de NETSCOUT, les appareils IoT sont attaqués environ cinq minutes après avoir été connectés à Internet.
Attention à la connexion automatique
La plupart des appareils IoT et intelligents ont l’option de connexion automatique à un réseau activé par défaut. Bien que cela, en soi, constitue un risque de sécurité pour la personne moyenne, cela pourrait augmenter le risque d’une cyberattaque provenant de l’IoT pour les entreprises et les sociétés.
Environ les deux tiers des organisations mondiales ont trouvé plus de 1 000 appareils personnels et IoT connectés au réseau de l’entreprise. Et contrairement aux services IoT émis par l’entreprise, vous ne pouvez pas vous assurer que tous ont fait l’objet des améliorations nécessaires en matière de sécurité.
En plus de mettre en place une barrière empêchant tout appareil non autorisé de se connecter au réseau, pensez à mettre en place un système de surveillance. Vous pouvez l’utiliser pour surveiller de près l’état de santé de votre appareil et vous alerter si quelque chose sort de l’ordinaire, comme un flux de données inhabituel.
Désactiver toutes les fonctionnalités inutiles
La plupart des appareils IoT sont livrés avec un certain nombre de paramètres par défaut activés qui fonctionnent vers la commodité et la productivité au lieu de la sécurité. Lors de l’ajout d’un nouvel IoT à votre réseau, parcourez ses paramètres et ses fonctionnalités supplémentaires et désactivez tout ce qui n’est pas utile. Tout type de données ou de service supplémentaire offert par l’appareil peut constituer une vulnérabilité de sécurité sous-jacente.
Tenez-vous-en aux fabricants d’IoT axés sur la sécurité
Les mises à jour logicielles ne sont pas aussi fréquentes en ce qui concerne les appareils IoT. Et lorsqu’ils se produisent, ils se concentrent souvent sur l’amélioration de l’interface utilisateur et la mise en œuvre d’une ou deux nouvelles fonctionnalités. En ne vous procurant que des appareils IoT auprès d’entreprises axées sur la sécurité, vous pouvez vous assurer que leurs mises à jour régulières incluent également une mise à jour de sécurité et un rapport sur les bogues et les vulnérabilités corrigés.