Sécurité de l’IoT : principaux risques et mesures de protection

Eclairage par Thomas Manierre, Directeur EMEA Sud de BeyondTrust.

Ces implications sont nombreuses, depuis les voitures autonomes jusqu’à la surveillance à distance de la technologie opérationnelle (OT). Or l’IoT et sa version industrielle (IIoT) continuent d’exposer la sécurité des entreprises à des risques très importants. Ces dernières années, nous avons assisté aux attaques dévastatrices de botnets (Mirai, Meris, etc.) de terminaux IoT mal sécurisés, si dévastatrices que le monde entier a de quoi frémir. Des attaques IoT visant la compromission de contrôles industriels sensibles mettent littéralement des vies en danger. Et nous avons tous entendu le récit de poupées et autres jouets connectés piratés pour écouter les conversations et s’introduire dans la vie privée des gens.

L’omniprésence de l’IoT fait qu’il devient souvent un maillon faible pour la sécurité des entreprises. Il est donc grand temps que celles-ci l’incluent dans leurs stratégies de sécurité des terminaux et de sécurité edge. D’autant plus que l’adoption de la 5G ne fera qu’intensifier les risques de cybersécurité dans les années à venir. La 5G permet des connexions bien plus rapides et fiables que jamais, mais elle s’accompagne aussi de risques spécifiques. Puisqu’elle a la capacité de connecter davantage de dispositifs à Internet, les cybercriminels auront davantage d’occasions de cibler des dispositifs et de créer des botnets IoT à une échelle sans précédent.

L’objet de cet article vise à revenir sur quelques-unes des principales vulnérabilités de l’IoT pour la cybersécurité et à présenter ou rappeler les meilleures pratiques recommandées pour renforcer un environnement IoT, en prévenir et réduire les risques.

1. Des communications insuffisamment sécurisées

C’est effectivement l’un des plus gros risques liés à l’IoT. Les transmissions de données entre objets ou dispositifs risquent d’être interceptées par des tiers. Des cybercriminels pourraient ainsi se procurer des informations sensibles, mots de passe, numéros de cartes bancaires, etc.

Consigne de sécurité : chaque fois que possible, il faut veiller à chiffrer les données en transit. Quand ce n’est pas possible, il est recommandé d’isoler le réseau en question car la segmentation permet de réduire la propagation du vecteur d’attaque.

2. L’absence de mises à jour de la sécurité IoT

Il revient au constructeur d’un objet connecté de fournir des mises à jour pour prévenir les nouveaux risques de sécurité. Pourtant, de nombreux constructeurs IoT / IIoT ne le font pas régulièrement. Beaucoup arrêtent même de publier des mises à jour au bout d’un certain temps. Ainsi des failles de sécurité connues exposent les objets IoT à des attaques.

Consigne de sécurité : pour se protéger, les entreprises ne devraient utiliser que des objets ou dispositifs de marques connues pour la continuité et la régularité de leurs mises à jour. Elles devraient également veiller à ce que leur système de gestion des vulnérabilités soit capable d’analyser les dispositifs IoT et penser à les ajouter à la liste. Faute de déploiement automatisé des correctifs, il faut identifier les dispositifs du mieux que possible. Ainsi, il est possible de savoir quelles sont les potentielles vulnérabilités de chaque dispositif et de prendre des mesures pour les protéger.

3. L’authentification insuffisante et la mauvaise gestion des mots de passe

Faute de mesures d’authentification suffisantes, le dispositif ne peut pas vérifier l’identité des utilisateurs. Des intrus comme des insiders malveillants peuvent alors obtenir l’accès à des systèmes et terminaux IoT auxquels ils ne devraient pas pouvoir se connecter.

Consigne de sécurité : il est conseillé aux entreprises d’utiliser des méthodes d’authentification robustes, comme l’authentification bifactorielle ou la biométrie, mais aussi de faire passer les accès aux systèmes IoT par une infrastructure centrale sécurisée. Idéalement, les entreprises doivent aussi régulièrement rechercher les nouveaux objets IoT ajoutés au réseau et procéder à la rotation des mots de passe des comptes sur chaque système concerné. Car quasiment tous les terminaux ont un ou plusieurs comptes privilégiés enregistrés dans leur système d’exploitation. Mais comme les dispositifs IoT ont le plus souvent des systèmes d’exploitation très légers, il n’est pas possible d’installer un agent d’application des règles de sécurité des comptes. Il faut donc recourir à d’autres méthodes, comme la segmentation du réseau et à de bonnes pratiques/solutions de gestion des mots de passe, pour protéger les dispositifs IoT.

L’IoT continue de révolutionner le fonctionnement des entreprises et la façon de vivre des consommateurs. Il s’inscrit totalement dans l’actuelle vague de transformation numérique. L’observation des précautions recommandées plus haut peut grandement aider une entreprise à se protéger des principaux vecteurs d’attaque relatifs à l’IoT.

Pourtant, nombre d’entreprises ne prennent pas encore en compte la stratégie de protection de l’IoT dans leur approche globale de cybersécurité.