Deuxième volet de notre dossier dédié aux IOT, après avoir vu les menaces qui pèsent sur ces nouveaux outils qui accompagnent notre quotidien, voyons à présent comment se protéger.
Quoi de mieux pour comprendre une attaque, que de se mettre dans la peau de l’éventuel ennemi.
Il est essentiel de ne pas perdre à l’esprit que le cybercriminel ne cible pas les appareils eux-mêmes, mais utilisent ces mêmes appareils IoT comme point d’entrée dans le réseau général de l’entreprise. L’attaquant est un opportuniste, il va toujours chercher des moyens ingénieux de détourner les objets connectés de leur fonctionnalité première pour répondre à son propre objectif. Il sera à la recherche de la moindre vulnérabilité, des failles qui lui permettront de s’introduire dans le système. Face à ce constat comment protéger ces nouveaux objets qui font partie de notre quotidien ?
Sécurisation du côté des fabricants
Gartner affirme que les fabricants d’IOT favorisent la convivialité, l’aspect commercial, la priorité étant d’être le premier sur le marché, ils ont tendance à accélérer le processus de développement en oubliant les étapes de sécurité. Les fabricants se doivent d’être impliqués dans la sécurisation. Cela doit se faire en amont de la fabrication et donc bien sûr avant le processus d’achat. Chaque fabriquant doit faire une analyse des risques.
« La majorité des grands fournisseurs font des efforts pour répondre à ces préoccupations de sécurité, mais la majorité n’en est pas encore à ce stade. Ces derniers privilégient la commodité, la convivialité, le temps de mise sur le marché, à toute autre considération de sécurité. »
Earl Perkins, Gartner
Ainsi des études ont pu révéler chez certains fabricants, que des interfaces Web ou mobiles n’étaient pas sécurisées, que le système d’authentification était insuffisant ou bien que des options de configuration restaient limitées etc.
Des fabricants de composants jusqu’aux revendeurs, tout le processus doit être vérifié. Il est impératif d’avoir une sécurité de bout en bout.
Les fabricants doivent donc s’assurer d’avoir une infrastructure PKI fiable. La PKI (c’est l’infrastructure de gestion de clés ou Public Key Infrastructure (PKI)) a pour rôle de délivrer les certificats numériques, cela permet de garantir :
- la confidentialité: les données personnelles ne doivent pas être interceptées. Le chiffrement doit être activé pour garantir la confidentialité.
- l’intégrité et authenticité des donnés: tout message envoyé doit être certifié, c’est-à-dire s’assurer que le destinataire ou le message n’a pas été modifié.
Les concepteurs doivent maitriser ces aspects sécuritaires mais aussi mesurer l’impact d’un tel manquement. Cette assurance de sécurité sera finalement un avantage concurrentiel et un gage de sérieux de la part de l’entreprise.
Désormais depuis la loi RGPD de 2018, les concepteurs ont obligation de maintenir un « cahier de développement » indiquant toutes les mesures de sécurité prises en compte. (Droits d’information, d’accès, de rectification, d’effacement des données, traçabilité des données et le droit à la portabilité.)
La faiblesse du niveau de sécurité s’explique aussi par la diversité des normes existantes selon les grandes entreprises.
Sécurisation du côté des entreprises
La plupart des salariés ont un smartphone, une tablette, voire une montre connectée ou tout autre objet connecté. Ils utilisent parfois de façon intentionnelle (c’est le cas des smartphones, pour lire les mails professionnels) ou non intentionnelle dans le cadre du travail, de plus, Il ne faut pas prendre pour acquis que les appareils IoT sont sécurisés par nature. Autre point à noter, c’est que bien souvent l’employeur n’en n’a même pas connaissance.
L’IoT devient ainsi la cible privilégiée des attaques, nous l’avons vu dans notre précédent article, voyons comment une entreprise peut sécuriser au mieux ces nouveaux outils.
Un cyber attaquant peut prendre le contrôle d’un appareil mobile qu’un employé utilise à des fins personnelles et professionnelles pour envoyer des e-mails par exemple, et ainsi accéder aux données de l’entreprise. C’est la raison pour laquelle les salariés ne doivent pas accéder aux informations de l’entreprise sur des réseaux sans fil non sécurisés. Aucun IOT ne doit donc être connecté sans l’aval du service technique ou informatique.
L’entreprise doit s’assurer d’avoir son réseau sécure. Chaque appareil, chaque périphérique, clé USB, etc. doit être authentifié, chiffré pour éviter toutes compromissions.
Avec la mobilité des salariés, du fait de la pandémie notamment, les entreprises doivent s’adapter et comprendre aussi que leur parc mobile, est un vecteur de danger. De telles intrusions peuvent être terribles pour une entreprise : interruption des opérations, déni de service, vol de données, voire ransomware. Beaucoup d’appareils sont désormais vulnérables, car oubliés, ils font pourtant l’objet de convoitise de la part des attaquants. Les services de sécurité ne doivent pas oublier de déployer les correctifs et les mises à niveau de sécurité de ces nouveaux appareils mobiles. Le zero trust, pour les IoT est donc de mise. Tous les appareils qui se connectent au réseau de l’entreprise doivent être surveillés.
La gestion unifiée des terminaux est une solution essentielle en matière de sécurité : la technologie UES de TEHTRIS répond à ce besoin. Selon GARTNER, cette solution permet « de gérer, sécuriser et déployer des ressources et des applications d’entreprise sur n’importe quel appareil à partir d’une console unique. »
L’UES de TEHTRIS c’est la combinaison de 3 technologies :
- un EPP, un anti-virus disposant de capacités étendues
- un EDR, un agent spécialisé dans la réponse à incident et la défense en profondeur. TEHTRIS EDR embarque de nombreux moteurs de détection et de neutralisation capables d’analyser les menaces connues ou inconnues. Il est compatible avec tous les OS, même les versions obsolètes.
- et le MTD, qui permet de protéger les périphériques mobiles, comme les smartphones et tablettes.
Sécurisation du côté des utilisateurs
Le facteur humain est toujours un point important à considérer dans la sécurisation.
Voici nos 10 conseils de protection à mettre en place :
- sensibilisez vos collaborateurs pour assurer leur propre sécurité et par la même celle de l’entreprise. Les objets connectés n’y échappent pas.
- responsabilisez. Les clients doivent évaluer la sécurité des produits qu’ils achètent et vérifier les normes, et s’assurer que l’objet acheté ne présente pas d’éventuelles vulnérabilités. Préférez des objets qui ont fait leur preuve, et qui ont donc fait l’objet de nombreuses mises à jour.
- vérifiez les paramètres sécurisés avant de connecter un appareil au réseau, assurez-vous par exemple : que les ports externes sont désactivés, que le réseau Wi-Fi invité et votre IOT de manière générale est hors du réseau principal.
- pensez à supprimer les objets obsolètes ou non utilisés du réseau.
- changez les mots de passe régulièrement, et ayez une authentification multi-facteurs.
- pensez à chiffrer vos échanges, utiliser des canaux sûrs. Utilisez selon votre IOT, un VPN sécure.
- ne conservez pas vos données sur l’appareil, préférez un emplacement sécurisé.
- appliquez les correctifs disponibles aux IoT, maintenez votre objet connecté à jour, avec les dernières versions.
- évitez les boutiques d‘applications non officielles et limitez les autorisations des applications.
- protégez vos IOT par des technologies adaptées. Disposez d’une solution de sécurité fiable, comme c’est le cas par exemple de la technologie MTD de TEHTRIS qui protège vos smartphones. TEHTRIS MTD est une solution de lutte contre les menaces au niveau des mobiles, pour éviter qu’ils ne soient la porte d’entrée sur l’ensemble de vos réseaux. Notre technologie est capable est capable de détecter des comportements anormaux, de remonter différents types d’alertes.
Pour plus de renseignements sur la protection de vos appareils connectés vous pouvez consulter les sites suivants :
https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot
Le niveau d’exigence en matière de sécurité évolue
Les appareils de l’Internet des objets (IoT) font partie des machines connectées les moins sécurisées, mais ils deviennent également omniprésents dans nos vies, aussi leur sécurité ne doit pas être négligée. Les constructeurs l’ont compris et sont de plus en plus vigilants. Les entreprises prennent également la mesure de la dangerosité de ces objets pour leur structure.
Enfin, la réglementation a évolué, l’Institut européen des normes de télécommunications (ETSI) a établi des normes de cyber sécurité pour protéger les utilisateurs de dispositifs intelligents, de nouvelles lois renforcent les exigences envers les industriels protégeant à la fois le consommateur et les organisations.