Internet des objets : 4 conseils pour sécuriser votre système d’information

Internet des objets sécurité

BEST OF de vos articles préférés au 1er semestre : Le nombre de cas de piratages à partir d’objets connectés explose. Les cybercriminels utilisent désormais l’IoT pour pénétrer les réseaux d’entreprise ou propager des logiciels malveillants, tels que Mirai, pour prendre le contrôle à distance des objets connectés. Comment limiter cette recrudescence de failles potentielles au sein de votre réseau ? Nous vous proposons quatre conseils pour ne pas compromettre la sécurité de votre système d’information.

437 millions de dollars en 2017, 547 en 2018… Selon le cabinet Gartner, les dépenses mondiales consacrées à la sécurité de l’IoT (Internet of Things) sont en constante augmentation. Et pour cause : chaque nouvel objet connecté constitue un risque pour le réseau de l’entreprise et les attaques récentes démontrent que la menace : botnets, DdoS… est bien réelle.

En savoir plus sur le plan de continuité d’activité.

Pourquoi l’IoT présente une menace ?

L’IoT présente des contraintes fortes en ressources : mémoire, traitement et énergie, ce qui rend les objets connectés vulnérables.

  • 6 objets connectés sur 10* offrent des interfaces utilisateurs contenant des failles de sécurité, dues à des mots de passe faibles, souvent identiques sur tous les appareils d’un même constructeur et rarement changés par les utilisateurs.
  • 70%* des appareils ne chiffrent pas les communications sortantes.
  • L’hétérogénéité des appareils est problématique. Caméras de vidéosurveillance et réfrigérateurs sont connectés 24 heures sur 24 à Internet.

Ajoutez à cela que, bien souvent, les identifiants des objets connectés ne peuvent pas être cryptés à cause de leur faible capacité de calcul, la gestion parfois opaque des applications Cloud, et vous obtiendrez ce qu’on appelle un environnement non maîtrisé, dont vous aurez toutes les raisons de vous méfier. Si vous aviez encore un doute, un simple coup d’oeil sur le moteur de recherche shodan devrait finir de vous convaincre.

4 conseils pour limiter les risques liés à l’IoT

  1. Procéder à un audit de configuration – Aujourd’hui, l’IoT fait partie intégrante du parc informatique. L’ensemble du périmètre doit être pris en compte : Quels sont les objets connectés utilisés dans l’entreprise ? Ces objets sont-ils fiables ou pas ? Qui stocke les données ? Comment sont-ils connectés au réseau de l’entreprise ? Ont-ils été ajoutés à la charte informatique de l’entreprise ?
  1. Cartographier l’ensemble des flux entrants et sortants – Savez-vous identifier les protocoles utilisés par les objets connectés ? L’audit technique de vos flux IP entrants et sortants le La cartographie d’un réseau concerne aussi bien sonniveau physique que son niveau applicatif. Vous pourrez ainsi surveiller dans quelles zones géographiques vos flux IP sont redirigés, pour quelles raisons et vous assurer si leur trafic présente un risque pour la sécurité du système d’information.
  1. Simuler leur utilisation à distance – En simulant l’utilisation des objets connectés, vous pouvez analyser leur comportement et ainsi vérifier s’ils envoient ou réceptionnent des données vers l’extérieur.
  1. Isoler les objets connectés du Système d’Information – La mise en place d’une politique de sécurité globale vous permettra de cloisonner les objets connectés par rapport à votre système d’information et garantira une meilleure maîtrise des protocoles et des services fournis par ces derniers.

L’adoption massive des objets connectés par les entreprises va au-delà du simple phénomène de mode. Ils jouent un véritable rôle en facilitant les interactions entre les utlisateurs et les services. L’enjeu pour l’entreprise est donc de savoir les adopter sans mettre en péril la sécurité du système d’information. Impossible, dans ce contexte, de s’en remettre à la seule parole des fournisseurs, dont les logiciels sont parfois vulnérables. En suivant ces quelques conseils, vous poserez les bases d’une intégration maîtrisée.

 

*Source : Etude HP sur l’IoT – juillet 2014

Lire également l’article sur la cybersécurité

 

24 août 2017