BeyondTrust : Cybersécurité dans l’IoT, risques et préventions
mars 2023 par BeyondTrust
L’IoT étend constamment nos réseaux domestiques et professionnels. L’IoT existe aussi dans les réseaux "edge computing" pour fournir des données de proximité. Cependant, l’IoT et ses versions industrielles (IIoT) continuent de poser des risques très importants pour la sécurité des entreprises. Ces dernières années, nous avons assisté à des attaques dévastatrices de botnets (Mirai, Meris, etc.) contre des terminaux IoT mal sécurisés, et le monde entier est horriblement dévasté. Les attaques IoT visant à compromettre des contrôles industriels sensibles mettent littéralement des vies en danger. Vous avez également entendu des histoires de poupées et d’autres jouets intelligents piratés, interceptant des conversations et envahissant la vie privée des gens.
L’omniprésence de l’IoT signifie souvent un maillon faible dans la sécurité de l’entreprise. Il est donc temps de l’inclure dans votre stratégie de sécurité des points de terminaison et de sécurité à la périphérie. En particulier, le déploiement de la 5G ne fera qu’augmenter les risques de cybersécurité dans les années à venir. La 5G permettra une connectivité plus rapide et plus fiable que jamais, mais elle comporte également certains risques. Comme davantage d’appareils peuvent se connecter à Internet, les cybercriminels ont plus de possibilités d’attaquer les appareils et de créer des botnets IoT à une échelle sans précédent.
Le but de cet article est de passer en revue certaines des principales vulnérabilités de cybersécurité de l’IoT et de de présenter ou de rappeler les meilleures pratiques recommandées pour renforcer l’environnement IoT, en prévenir et atténuer les risques.
1. Des communications non sécurisées
C’est effectivement l’un des plus gros risques liés à l’IoT. Les transmissions de données entre objets ou dispositifs risquent d’être interceptées par des tiers. Des cybercriminels pourraient ainsi se procurer des informations sensibles, mots de passe, numéros de cartes bancaires, etc.
Consigne de sécurité : chaque fois que possible, il faut veiller à chiffrer les données en transit. Quand ce n’est pas possible, il est recommandé d’isoler le réseau en question car la segmentation permet de réduire la propagation du vecteur d’attaque.
1. Mises à jour de sécurité IoT manquantes
Il revient au constructeur d’un objet connecté de fournir des mises à jour pour prévenir les nouveaux risques de sécurité. Pourtant, de nombreux constructeurs IoT / IIoT ne le font pas régulièrement. Beaucoup arrêtent même de publier des mises à jour au bout d’un certain temps. Ainsi des failles de sécurité connues exposent les objets IoT à des attaques.
Consigne de sécurité : pour se protéger, les entreprises ne devraient utiliser que des objets ou dispositifs de marques connues pour la continuité et la régularité de leurs mises à jour. Elles devraient également veiller à ce que leur système de gestion des vulnérabilités soit capable d’analyser les dispositifs IoT et penser à les ajouter à la liste. Faute de déploiement automatisé des correctifs, il faut identifier les dispositifs du mieux que possible. Ainsi, il est possible de savoir quelles sont les potentielles vulnérabilités de chaque dispositif et de prendre des mesures pour les protéger.
1. Mauvaise authentification et administration des mots de passe
Faute de mesures d’authentification suffisantes, le dispositif ne peut pas vérifier l’identité des utilisateurs. Des intrus comme des insiders malveillants peuvent alors obtenir l’accès à des systèmes et terminaux IoT auxquels ils ne devraient pas pouvoir se connecter.
Consigne de sécurité : il est conseillé aux entreprises d’utiliser des méthodes d’authentification robustes, comme l’authentification bifactorielle ou la biométrie, mais aussi de faire passer les accès aux systèmes IoT par une infrastructure centrale sécurisée. Idéalement, les entreprises doivent aussi régulièrement rechercher les nouveaux objets IoT ajoutés au réseau et procéder à la rotation des mots de passe des comptes sur chaque système concerné. Car quasiment tous les terminaux ont un ou plusieurs comptes privilégiés enregistrés dans leur système d’exploitation. Mais comme les dispositifs IoT ont le plus souvent des systèmes d’exploitation très légers, il n’est pas possible d’installer un agent d’application des règles de sécurité des comptes. Il faut donc recourir à d’autres méthodes, comme la segmentation du réseau et à de bonnes pratiques/solutions de gestion des mots de passe, pour protéger les dispositifs IoT.
L’IoT continue de révolutionner le fonctionnement des entreprises et la façon de vivre des consommateurs. Il s’inscrit totalement dans l’actuelle vague de transformation numérique. L’observation des précautions recommandées plus haut peut grandement aider une entreprise à se protéger des principaux vecteurs d’attaque relatifs à l’IoT. Pourtant, nombre d’entreprises ne prennent pas encore en compte la stratégie de protection de l’IoT dans leur approche globale de cybersécurité.