« Les particuliers et les entreprises qui adoptent l'IoT doivent s'assurer qu'ils savent comment sécuriser leurs dispositifs efficacement, quelles données sont recueillies et où elles sont stockées, et comment tirer parti de toutes les fonctionnalités auxquelles ils ont accès », conseille Michael Kaiser, directeur exécutif de la NCSA. A Quelles menaces les entreprises s’exposent si elles ne prévoient pas un plan de sécurité spécifique à l'Internet des objets (IoT) ?
Un défi croissant
La sécurisation des dispositifs connectés revêt une importance croissante pour tout Directeur des Systèmes d’Information (DSI). Gartner prévoit que 4,9 milliards de dispositifs connectés à l’Internet des objets seront déployés cette année, un chiffre qui devrait atteindre 25 milliards d'ici 2020. Nous avons évoqué auparavant les dangers des dispositifs connectés : de leur utilisation comme moyen d'attaque par les cybercriminels, jusqu’au vol pur et simple des appareils eux-mêmes.
Les infrastructures des entreprises étant de plus en plus connectées, le manque de sécurité sur les terminaux est devenu une grande opportunité pour la cybercriminalité. Juniper Research avertit que de nouvelles menaces contre l’IoT sont signalées à un « rythme croissant ».
Six mesures de sécurité
La NCSA suggère aux DSI déployant des appareils connectés de suivre la procédure suivante :
1. Sécurisation
Avant de déployer des dispositifs d'IoT, assurez-vous qu’ils sont tous mis à jour avec la dernière version des logiciels et que les mots de passe existants sont remplacés par des mots de passe plus sécurisés créés par vos soins. Cela s'applique également à tous les appareils mobiles qui pourraient être utilisés pour contrôler vos systèmes (téléphones, tablettes, prêt-à-porter connecté). Ceux-ci doivent également être tenus à jour avec les packs sécurité et progiciels les plus récents. En suivant cette logique, ne déployez jamais d’appareils connectés qui ne vous permettent pas de définir votre propre mot de passe.
2. Connexion Wi-Fi
Avec tous ces dispositifs connectés librement sur vos réseaux sans fil, il devient impératif de vous assurer que vos routeurs Wi-Fi sont sécurisés :
· Utilisez des mots de passe sécurisés ;
· Donnez un nom aux routeurs et réseaux de façon à les rendre difficiles à identifier comme des actifs de votre entreprise ;
· Maintenez le logiciel du routeur à jour.
3. Inventaire
Combien d’appareils connectés utilisez-vous actuellement dans votre entreprise ? Où se trouvent-ils ? Plus vous élargissez la gamme d’appareils connectés, et plus il devient essentiel de tenir un inventaire de tout ce que vous installez. Cet inventaire doit être utilisé comme base pour suivre les mises à jour de logiciels, pour l’assistance technique et pour l’engagement du fabricant à fournir des correctifs pour les logiciels futurs.
4. Remplacement
L'IoT est en phase d'adoption précoce. Cela signifie que certains fabricants quitteront vraisemblablement le marché dans les années à venir. Compte tenu des défis de sécurité inhérents aux appareils connectés, il est important de remplacer les appareils si les fabricants cessent de fournir les correctifs logiciels correspondants, ou s’il devient impossible de renforcer la protection du mot de passe pour utiliser l’appareil. (Des fournisseurs tiers sont à blâmer pour 18 % des incidents de cyber-sécurité, d’après un sondage récent réalisé par Kaspersky Lab).
5. Évaluation
Les services informatiques doivent comprendre quelles informations sont recueillies par chaque appareil connecté déployé dans l'entreprise. Cela implique également de comprendre de quelle façon ces informations sont gérées, protégées et utilisées. Dans le cas où ces données sont stockées dans le Cloud, les considérations de sécurité habituelles concernant l'intégrité des données, la légalité et la protection de bout en bout au cours du transfert, doivent également être prises en compte.
6. Sécurité 24 h/24 et 7 jours/7
L’évolution des Cyber Security Operations Center (CyberSoC) montre que les solutions de sécurité traditionnelles telles que les antivirus et les pare-feu ne sont pas une protection suffisante en eux-mêmes. Dans cet environnement de sécurité plus complexe, la nature de la menace est continue. « La plus grande menace est véritablement l’idée que la sécurité n'est pas un objectif en soi. La sécurité doit être un processus continu. Les facteurs directs sont nombreux, mais à l’instant où vous résolvez un problème, un autre surgit », explique l’architecte en chef de l'IoT chez Red Hat, James Kirkland.
Découvrez de quelle façon les approches traditionnelles en matière de cyber-sécurité, de gestion de l’identité et de l’accès doivent évoluer pour s’adapter à l'environnement de l'IoT.
Jon Evans
Pour aller plus loin
Comment la 5G part à l'assaut de l'internet des objets
Big data : faites parler les données issues de l'internet des objets
Journaliste professionnel dans le domaine de la technologie depuis 1994.