L’IoT est-il un cauchemar pour la sécurité ?
Des installations industrielles à la brosse à dents électrique : l’internet des objets (IoT) est partout. Sascha Maier détaille les notions capitales que les experts en cybersécurité devraient avoir pour éviter que l’IoT soit une porte d’entrée pour les cybercriminels.
Bien qu’au premier abord, l’internet des objets (IoT) dans les entreprises puisse sembler différent de celui présent dans nos ménages privés, ils ont tous deux un point commun : ils peuvent devenir de redoutables brèches pour la sécurité.
En ce qui concerne la technologie opérationnelle (OT), qui comprend le matériel informatique (hardware) et les logiciels (software) et qui surveille et pilote l’équipement dans les entreprises industrielles, les failles de sécurité sont souvent dues à l’ancienneté des différents composants. Ils ont été conçus sans interface réseau ou alors les mécanismes de sécurité n’ont joué aucun rôle dans la conception de leur architecture en raison de l’absence de tout scénario d’attaque concevable.
À cela s’ajoute la durée de vie des composants. Typiquement, les automates programmables industriels (API ou « programmable logic controller », PLC) fonctionnent 24 heures sur 24 pendant des années – si ce ne sont pas des dizaines d’années. C’est dans ce contexte que les experts en sécurité informatique, qui s’attaquent au sujet des « mises à jour de sécurité dans l’environnement OT » avec l’état d’esprit habituel de l’informaticien de bureau, ne se font logiquement pas d’amis parmi les spécialistes de l’OT – après tout, on ne met pas à l’arrêt une chaîne de production juste pour un patch.
Les mises à jour de sécurité dans l’environnement OT
Les experts de l’informatique doivent donc acquérir des connaissances de base pertinentes sur les processus de production dans l’entreprise et comprendre le mode de travail de leurs collègues de l’OT. En effet, c’est seulement lorsque les experts de l’informatique et les spécialistes de l’OT travailleront de concert qu’il sera possible de sécuriser les environnements de production connectés.
Par ailleurs : heureusement pour la population, les attaques réussies sur les installations industrielles d’IoT mal protégées sur des usines chimiques, des centres de distribution des eaux ou des fournisseurs d’énergie n’ont jusqu’à présent pas mené à des catastrophes écologiques ou humaines. Il va sans dire que ces attaques servent le plus souvent de tremplin aux criminels vers le réseau informatique de bureau de leur victime. Et, à l’air des rançongiciels (ransomware), les conséquences d’une telle situation sont faciles à imaginer.
Le zoo de l’IoT grand public
Si les failles de sécurité des composants IoT industriels sont imputables à leur ancienneté, les terminaux connectés destinés à l’usage domestique, eux, présentent des lacunes complètement différentes, qui ne sont pas des failles, mais de véritables crevasses. La raison ? Un manque d’attention flagrant dans le développement du logiciel embarqué (firmware). Il n’existe en effet pas encore de réglementation légale internationale qui contraindrait les fabricants à respecter certaines normes minimales.
En conséquence, il arrive souvent que des hackers – criminels ou bien intentionnés – tombent sur des vulnérabilités dans les webcams, les caméras de sécurité ou de surveillance pour bébés, les disques durs externes connectés aux réseaux et les protocoles de communication utilisés par ces dispositifs. Et même si les fabricants des appareils concernés par une faille mettent à disposition des mises à jour de sécurité, ces patchs ne sont que peu diffusés en raison du manque d’automatisation des mises à jour. Les clients finaux ne savent souvent pas où télécharger les firmwares.
C’est encore plus grave en cas d’attaques possibles ou déjà pratiquées contre des systèmes backends basés presque systématiquement sur un hyperscale comme Amazon Web Services. Si l’attaque réussit, ce sont les données de connexion de tous les utilisateurs qui pourraient être piratées.
Les experts en sécurité ont besoin de connaissances spécialisées en IoT grand public
Pourquoi l’IoT grand public devrait-elle également être intégrée au concept de sécurité d’une organisation ? Tout simplement parce que dans le cadre du télétravail, les appareils informatiques de l’entreprise se retrouvent dans le même réseau que des composants IoT de particuliers. Il est à l’avenir tout à fait probable que les entreprises continuent de proposer à leur personnel des modes de travail flexibles – et que le télétravail doive ainsi devenir solidement ancré dans les concepts de cybersécurité. Dans ces conditions, les experts en cybersécurité sont bien avisés de maintenir au plus haut niveau leurs connaissances de l’IoT grand public.
Peu importe à quel point une faiblesse peut s’avérer fatale : le réseautage des objets – que ce soit dans le cadre de la production sous la forme de la fameuse industrie 4.0 ou dans le cadre privé – ne peut être stoppé. L’IoT a émergé pour perdurer. Il en est donc du ressort des experts en cybersécurité de tirer le meilleur parti de la situation.
Découvrez nos formations sur l’IoTNos formations sur l’introduction de l’IoT dans votre entreprise :
Notre formation avancée sur la sécurité de l’IoT :
|
Nos formations sur l’introduction de l’IoT dans votre entreprise :
- IoT, Microservices, Machine Learning et DevOPs – Les méthodes et technologies modernes de l’architecture numérique (« MODTEC»)
- Cours avancé : Utiliser l’Internet of Things (IoT) (« IOTEIN»)
Notre formation avancée sur la sécurité de l’IoT :
- Sécurité de l’IoT dans l’industrie, l’entreprise et le privé (« IOTSEC»)