L’Internet des objets est devenu un élément clé de notre monde interconnecté, mais cette explosion de connectivité vient avec son lot de défis, en particulier en termes de cybersécurité avec un paysage complexe de menaces propres à l’IoT. Pour sécuriser les systèmes IoT et assurer la pérennité des entreprises, une démarche proactive et éclairée s’impose…

Depuis une dizaine d’années, l’Internet des objets (IoT) s’est imposé comme une avancée majeure dans notre monde toujours plus intégré et interconnecté. De manière générale, un « objet connecté » est un système — ou un ensemble d’appareils connectés — qui intègre des capteurs et des logiciels lui permettant de transférer des données sur un réseau. Les formes sont multiples, qu’il s’agisse d’un stimulateur cardiaque implanté dans la poitrine d’un patient, d’un écran accessible via un réseau informatique, ou d’une voiture  bardée de capteurs pour collecter des informations relatives à la température du moteur ou au niveau du liquide de refroidissement. L’IoT est source de multiples avantages pour les entreprises. Elles peuvent ainsi observer activement leurs systèmes et recueillir des données brutes, des informations pertinentes et des métriques de performance sans la moindre intervention humaine, ou tout simplement savoir qu’une lumière est restée allumée dans leur locaux sans même être dans le bâtiment.

Mais cet essor ne va pas sans soulever certains problèmes. La protection, la surveillance et la neutralisation des menaces liées à ce vaste réseau de technologies et d’appareils représentent des défis de taille. Au-delà du fait que ces objets recueillent, stockent et partagent en permanence des données grâce à Internet, la manière dont ils sont fabriqués varie de façon significative suivant leurs caractéristiques, leur fabricant et leur prix. C’est dans ce contexte que le FBI a publié une mise en garde visant à sensibiliser les industriels aux activités des cybercriminels qui s’intéressent de plus en plus aux appareils connectés pour en exploiter les vulnérabilités. Comment faire face à cette problématique grandissante ?

L’avenir réside dans l’IoT, à condition qu’il soit sûr 

On peut affirmer sans prendre trop de risque que l’Internet des objets a de beaux jours devant lui. Une étude publiée par IoT Analytics indique par exemple qu’en 2020, les objets connectés (appareils domestiques intelligents, véhicules connectés et autres équipements reliés à un réseau industriel) ont pour la première fois été plus nombreux que les produits connectés traditionnels, à savoir les PC de bureau et les ordinateurs portables, représentant 54 % des 21,7 milliards d’objets connectés actifs. Selon les estimations, plus de 30 milliards d’objets seront connectés à Internet en 2025, soit quatre appareils par habitant de notre planète.

Mais comme nombre de technologies émergentes sujettes à des failles liées au manque de maturité, l’Internet des objets a été victime de nombreuses attaques au fil des mois. Parmi les plus importantes figurent le botnet Mirai qui, en 2016, a visé le prestataire de services DNS Dyn à l’aide d’un réseau de robots conçu pour localiser les appareils connectés à l’IoT. Ce logiciel malveillant est parvenu à s’infiltrer dans des réseaux où il s’est automatiquement lancé à la recherche d’appareils vulnérables en vue de subtiliser des identifiants lui permettant d’accéder aux systèmes convoités pour en prendre le contrôle. Après avoir neutralisé des serveurs, cette attaque a considérablement affaibli des plateformes de renom telles que Netflix, Reddit ou Twitter. Cependant, le piratage des objets connectés ne se limite pas aux géants de la tech. Les cybercriminels s’intéressent également aux appareils médicaux des hôpitaux, exposant de nombreux patients à des dangers considérables. En 2017, le fabricant américain d’appareils médicaux St. Jude Medical a été victime de hackers qui ont réussi à accéder à ses stimulateurs cardiaques, à intervenir sur leur fonctionnement et à modifier des paramètres susceptibles de provoquer le décès de patients.

Avec l’avènement du télétravail, la sécurité de l’Internet des objets est devenue une préoccupation encore plus pressante pour les entreprises dont nombre d’employés utilisent leur réseau domestique et leurs propres outils pour accomplir des tâches professionnelles. Une aubaine pour un grand nombre de cybercriminels cherchant à profiter de mesures de sécurité laxistes pour passer à l’offensive.

Nous l’avons dit, les appareils connectés ne sont pas tous égaux. En raison de leurs besoins, de la variété des fabricants et de l’absence de réglementation internationale, certains objets connectés sont développés sans répondre — ou presque — à la moindre exigence de sécurité. En outre, la possibilité de mettre les appareils connectés à jour, voire d’appliquer des correctifs contre différentes vulnérabilités, dépend des fabricants et varie considérablement d’un produit à l’autre. Cette situation complique sensiblement la tâche des entreprises qui souhaitent maximiser la sécurité et les possibilités de mise à jour de leurs dispositifs connectés.

Comprendre les menaces

Malgré ce risque accru et l’élargissement de la surface d’attaque, la sécurité de l’Internet des objets est un enjeu qui demeure trop souvent négligé, quand il n’est pas totalement ignoré. Des règles de sécurité inadaptées représentent un risque grave pour les entreprises dont chaque terminal peut servir de passerelle vers le réseau au sens large. Car un adversaire qui a réussi à prendre pied dans le réseau d’une entreprise par le biais d’un appareil vulnérable peut s’y déplacer latéralement, accéder à des actifs de grande valeur, ou s’adonner à des activités malveillantes en s’emparant de données, de propriété intellectuelle ou d’informations confidentielles.

De nombreuses sociétés concentrent toute leur attention sur la sécurité des endpoints. Or, il convient d’appliquer le même niveau de diligence aux objets connectés. Si ces derniers ne bénéficient pas d’une protection comparable, l’entreprise tout entière s’expose à des cyberattaques.

Selon une étude publiée par Statista, 33 % des entreprises qui ont adopté l’IoT considèrent que les problèmes de cybersécurité liés à l’absence d’experts qualifiés constituent le principal danger pour leur écosystème connecté. Ce déficit de compétences et de connaissances se traduit par la multiplication des mauvaises pratiques de cybersécurité, parmi lesquelles l’utilisation d’identifiants par défaut dans un souci de commodité, ou le fait d’ignorer la mise à jour des logiciels et micrologiciels de leur appareil, ce qui est pourtant nécessaire pour prévenir les vulnérabilités logicielles.

De leur côté, les cybercriminels ne cessent d’adapter leurs techniques d’intrusion. De plus en plus couramment utilisée, la méthode d’interception dite de « l’attaque sur le chemin » (on-path attack) s’appuie sur la nature même des appareils connectés qui ne chiffrent généralement pas les données par défaut. Résultat, l’attaquant peut se déplacer entre deux appareils qui se font mutuellement confiance et exfiltrer les données échangées. Une autre vulnérabilité abondamment exploitée consiste à voler ou à déchiffrer des identifiants simplistes. Les cybercriminels sont passés maîtres dans l’art d’identifier les mots de passe faibles ou génériques en vue de les utiliser pour accéder lentement au système, voire acquérir des privilèges d’administrateur. Autre méthode appréciée des hackers, les attaques par déni de service (DoS) permettent aux agresseurs de prendre le contrôle d’un objet connecté pour inonder un site Web de faux trafic, submergeant les serveurs Web et empêchant les utilisateurs légitimes d’exécuter leurs tâches quotidiennes. Une démarche malveillante dont a récemment été victime le Ministère de l’Économie, des Finances et de la Souveraineté Industrielle et Technologique français.

Sécuriser les systèmes IoT pour assurer la pérennité des entreprises

La sécurité de l’IoT doit être intégrée à la stratégie de cybersécurité globale de toute entreprise en appliquant des bonnes pratiques éprouvées telles que la mise à jour et l’application de correctifs. Les entreprises doivent également veiller à utiliser des mots de passe forts assortis d’une méthode d’authentification multifactorielle (MFA) et à dresser l’inventaire des objets connectés en vérifiant que la bonne méthode d’accès est activée pour chacun d’eux. Certes, aucun outil de sécurité ne peut assurer seul une protection homogène et complète de tous les appareils connectés. Mais en proposant une combinaison de mesures de sécurité qui couvre la totalité des endpoints et le cloud, appuyée des meilleurs partenaires de cybersécurité, les entreprises bénéficieront enfin d’un niveau de sécurité maximal.

Les entreprises doivent élaborer une stratégie de cybersécurité globale capable de protéger la totalité de leurs appareils contre un large éventail de cyberattaques, tant au niveau des endpoints que du réseau. Sur un marché de la sécurité de l’IoT en forte croissance, passant d’environ 15 à 17,65 milliards d’euros entre 2021 et 2022, les entreprises les plus vigilantes en matière de sécurité de l’Internet des objets disposent des meilleurs atouts pour poursuivre leur croissance au cours des années à venir.
____________________________

Par Zeki Turedi, CTO EMEA de CrowdStrike

 

 

À lire également :

Cybersécurité : les bonnes pratiques de défense face à une prolifération des menaces en 2023

Crowdstrike lance sa propre IA générative dédiée à la cybersécurité, Charlotte AI

Des priorités politiques incohérentes compliquent le respect de la protection des données

Protéger son entreprise contre la menace croissante des ransomwares

Quelle stratégie pour faire face aux risques de sécurité dans les déploiements IIoT ?

Objets connectés : le besoin majeur de dispositifs de sécurité pour l’Edge et l’IoT