Comment construire un monde IoT sécurisé – Computerworld

L’Internet des objets offre d’excellentes opportunités de création de valeur pour les clients. Ce sont avant tout de nouveaux modèles commerciaux – en particulier en combinaison avec la connexion 5G. Mais la sécurité de l’IoT reste un défi. Quelle est la clé si nous voulons non seulement développer une entreprise IoT, mais aussi nous assurer qu’elle est aussi sécurisée que possible ?

L’Internet des objets (IoT) connaît déjà une croissance exponentielle. Selon Fortune Business Insights, le CAGR (Compound Annual Growth Rate) du marché de l’IoT sera de 25,4% d’ici 2028. Ainsi, alors que le secteur valait au total 381 milliards de dollars en 2021, il devrait capitaliser à 1,8 billion de dollars en 2028. le secteur des capteurs et la 5G se développent avec l’IoT, donnant aux entreprises l’accès à de nouveaux modèles économiques et à des opportunités de création de valeur.

Déjà, un grand nombre d’appareils IoT qui se connectent et communiquent entre eux permettent de nouvelles opérations commerciales et, en plus, des performances très élevées. De nombreuses entreprises sont déjà conscientes que l’IoT a un impact croissant sur le marché, en particulier lorsqu’il s’agit de travailler avec des données.

Vérifiez également :

Cependant, pour tirer profit de l’IoT, il est nécessaire de s’attaquer en amont au talon d’Achille de ces solutions, à savoir la problématique de la sécurité des capteurs et des réseaux entiers. À quoi devons-nous faire attention lorsque nous voulons créer et développer une infrastructure intelligente de l’Internet des objets ?

La sécurité de l’IoT est un grand défi

Pour comprendre comment sécuriser les systèmes IoT, il est nécessaire d’étudier les menaces potentielles. Que devez-vous savoir dans le contexte de l’Internet des objets en matière de cybersécurité ? Les professionnels de la sécurité doivent relever plusieurs défis.

Les plus importantes d’entre elles sont les lacunes du micrologiciel et des applications elles-mêmes qui prennent en charge le matériel donné. De nombreux systèmes IoT présentent des vulnérabilités logicielles, mais cela n’est pas nécessairement dû à la négligence des développeurs. Il convient de savoir que de nombreux appareils intelligents ont des ressources et une puissance de calcul limitées. Cela les empêche d’exécuter des fonctions de sécurité étendues. Les vulnérabilités de l’IoT surviennent pour des raisons telles que :

  • Pas assez de puissance de calcul pour une sécurité intégrée efficace
  • Contrôle d’accès inadéquat dans les systèmes IoT (y compris l’octroi d’autorisations)
  • Budget limité pour tester et améliorer correctement la sécurité logicielle des appareils IoT
  • Il n’y a pas de correctifs et de mises à jour logiciels réguliers en raison de problèmes de budget et de limitations techniques
  • Les utilisateurs sont souvent incapables d’effectuer eux-mêmes les mises à jour logicielles, ce qui réduit encore les correctifs de vulnérabilité
  • Mauvaise protection contre les attaques physiques (par exemple, le piratage d’appareils avec des ondes radio)

Les cybercriminels peuvent utiliser les vulnérabilités trouvées dans un réseau IoT donné pour compromettre les communications, installer des logiciels malveillants et voler des données précieuses. Un exemple est l’attaque des caméras intelligentes Amazon Ring en 2020, qui a été possible parce que le fabricant a utilisé des mots de passe par défaut de mauvaise qualité et que les clients ne les ont pas modifiés après l’installation de l’équipement. En conséquence, les pirates pourraient même communiquer à distance avec les victimes en utilisant le microphone et les haut-parleurs de la caméra.

COMMENTAIRE D’EXPERT

Damian Safonow, Product Owner, Produits de sécurité informatique

T-Mobile Polska SA

La création de produits IoT nécessite de penser à leur sécurité dès le début de la phase de conception. Cependant, assurer une protection fiable des appareils, des réseaux et des données dans les environnements IoT est difficile en raison de la fréquence des cyberattaques et de la sophistication croissante des cybercriminels.

Outre les limitations matérielles, la mise en œuvre de fonctionnalités de sécurité optimales dans l’IoT peut augmenter le coût et le temps de leur développement, ce qui est un effet indésirable pour les entreprises.

Les principaux problèmes de sécurité sont sans aucun doute liés au contrôle d’accès et aux services exposés. Pour empêcher les pirates de prendre le contrôle des appareils IoT, des mesures de sécurité conformes aux meilleures pratiques, telles que le chiffrement, doivent être mises en œuvre.

Les conséquences d’une cyberattaque sur les solutions IoT peuvent être beaucoup plus graves en raison de leur capacité unique à affecter les systèmes virtuels et physiques. Cela est particulièrement vrai dans le domaine de l’IdO industriel, où les cyberattaques précédentes ont montré des effets en cascade. Dans de nombreuses industries, les appareils IoT sont déjà utilisés pour la surveillance à distance de divers paramètres. Les attaques contre de tels appareils peuvent révéler des informations confidentielles et même mettre en danger la santé et la sécurité humaines. Les appareils IoT piratés pourraient permettre aux cybercriminels de surveiller le foyer. Ils peuvent affecter les dispositifs de sécurité tels que les serrures intelligentes et retourner les appareils contre leurs propriétaires, comme ce fut le cas avec les moniteurs pour bébé et les thermostats intelligents.

Si nous voulons non seulement développer l’activité IoT, mais aussi nous assurer qu’elle soit la plus sécurisée possible, il est nécessaire d’adapter en permanence la sécurité à la situation actuelle. C’est un défi auquel sont confrontées les plus grandes entreprises et les professionnels de la cybersécurité. Par conséquent, il vaut la peine de travailler avec des experts externes qui ont accès aux dernières solutions. Par exemple, T-Mobile, en raison de sa position unique en tant qu’opérateur de télécommunications et de son accès à des technologies très avancées inaccessibles aux petites entités, fournit des services de cybersécurité complets pour la technologie IoT. Ils couvrent des domaines tels que la sécurité des applications Web et mobiles, la radio et les réseaux, ainsi que le matériel et l’infrastructure. Cette approche garantit qu’aucun composant de la sécurité IoT, qui pourrait représenter le maillon le plus faible de la chaîne de l’ensemble de l’écosystème, ne sera laissé de côté.

Un autre maillon faible des réseaux IoT est le manque ou la faiblesse des mécanismes de sécurité. Ils sont généralement conçus pour les ordinateurs de bureau et portables et sont difficiles à mettre en œuvre sur des appareils IoT à ressources limitées. Par conséquent, l’une des menaces les plus courantes est la possibilité d’attaques de type « man-in-the-middle » (MitM). Les pirates peuvent facilement lancer des attaques MitM pour interrompre la procédure de mise à jour et prendre le contrôle de l’appareil s’il n’utilise pas de mécanismes de cryptage et d’authentification sécurisés. Les attaquants peuvent même installer des logiciels malveillants ou modifier les fonctionnalités de l’appareil. Il convient d’ajouter que même si notre appareil n’est pas victime d’une attaque MitM, les données qu’il échange avec d’autres appareils et systèmes peuvent toujours être interceptées par des cybercriminels, tant qu’elles sont envoyées sous forme de messages texte non cryptés.

Quelques pratiques recommandées

Les vulnérabilités de l’IoT sont comme un signe de bienvenue pour les pirates. De nombreuses entreprises se soucient d’un haut niveau de sécurité dans le cas des ordinateurs ou des smartphones, mais pour une raison quelconque, elles ignorent les appareils inclus dans le réseau IoT. Et oui, même la tâche apparemment basique de changer les mots de passe, qui par défaut est généralement « admin » ou « 12345 », est laissée de côté. Par conséquent, la pratique de base consiste non seulement à modifier le mot de passe par défaut, mais également à modifier le mot de passe, par ex. chaque trois mois. Les mots de passe eux-mêmes doivent être stockés dans un endroit sûr, par exemple dans un gestionnaire de mots de passe, afin que vous n’ayez pas à les écrire et à les stocker directement sur le disque.

Lorsque vous utilisez un réseau IoT, assurez-vous que tous les appareils sont protégés et disposent d’un logiciel mis à jour. Cela est nécessaire dans la lutte contre les menaces de sécurité IoT. Passons à autre chose, méfiez-vous de l’usurpation d’identité. Les cybercriminels deviennent plus intelligents et se font souvent passer pour des employés d’entreprises individuelles. Ensuite, si une organisation donnée accepte par défaut toutes les connexions des ordinateurs de travail (du domaine de l’entreprise), cela peut permettre à un pirate d’entrer dans le réseau. Une bonne solution consiste à vérifier tous les utilisateurs et à n’accorder des autorisations qu’à ceux qui ont vraiment besoin d’accéder à certaines ressources. Une excellente approche consisterait à utiliser un modèle de confiance zéro.

Une autre solution recommandée consiste à utiliser des protocoles cryptés. Plusieurs appareils utilisent une communication cryptée dans le cadre de la configuration initiale. Ils peuvent utiliser des protocoles standard qui communiquent en texte brut, ce qui permet aux pirates de suivre et de découvrir plus facilement les vulnérabilités. Aujourd’hui, il est essentiel que tout le trafic réseau utilise HTTPS, ainsi que TLS (Transport Layer Security), SFTP (Secure File Transfer Protocol) ou des extensions de sécurité DNS. Les appareils IoT se connectant aux applications mobiles doivent également utiliser des protocoles cryptés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *