Internet des objets et cybersécurité : une logique à repenser intégralement !

Internet des objets et cybersécurité : une logique à repenser intégralement !

Share Button

Avec l’essor de l’IoT, les professionnels de la cyberdéfense font face à un défi d’un genre nouveau, car les consommateurs ne se soucient pas assez des vulnérabilités que comportent leurs objets connectés.

7043765-10778676

Alors que l’arsenal judiciaire ne compte que peu de règles engageant la responsabilité des fabricants d’objets connectés, ces appareils reliés au web constituent une voie d’accès privilégiée à des données souvent très confidentielles. En parallèle, les équipes de sécurité tâtonnent pour faire face à des cybermenaces plus complexes et diffuses que jamais, à l’heure où le risque ne concerne plus seulement les ordinateurs de bureau et les serveurs, mais tout appareil connecté de près ou loin à un réseau.

À l’évidence, la sécurité des appareils connectés n’est pas la préoccupation première de leurs fabricants, qui privilégient visiblement la facilité de prise en main et la rapidité des délais de commercialisation. C’est justement ce qui fait leur charme : les objets connectés sont souvent bon marché, utiles et faciles à configurer. Mais la médaille a son revers.

La plupart de ces appareils ne disposent pas d’options pour la mise à jour des firmwares ou la prise en charge de correctifs. Certains sont dotés de composants électroniques fournis par des tiers non certifiés, tandis que d’autres utilisent par défaut des identifiants et mots de passe comme admin ou password. Ils sont ainsi conçus afin que les utilisateurs ne puissent modifier ces paramètres, même s’ils le souhaitent.

Nous avons déjà observé des objets connectés utilisés en masse par des pirates, fournissant une voie d’accès idéale aux réseaux non protégés.

Il faut dire que les appareils connectés ont une valeur intrinsèque pour les hackers. Parmi les cyberattaques les plus sophistiquées, certaines partaient d’une simple faille de sécurité d’un objet connecté. Subtiles, silencieuses et insidieuses, ces offensives sont menées la plupart du temps avec une précision toute militaire. Imaginez que le système de vidéoconférence du siège de votre entreprise ait été infiltré et que des informations extrêmement sensibles fuitent tous les jours de vos locaux ? Ou que les membres d’une organisation criminelle aient pris le contrôle d’un scanner biométrique pour ajouter à sa base de données leurs propres empreintes digitales de sorte à accéder à une infrastructure que vous croyiez hyper-sécurisée ?

 

Iot-cyber-security

 

Ces piratages exploitant les failles de l’IoT soulèvent une question fondamentale : à qui revient la charge de sécuriser le thermostat accessible à distance ou la machine à café connectée du bureau ? Un système de ventilation connecté à Internet doit-il bénéficier du même niveau de protection qu’un ordinateur portable issu de la flotte de l’entreprise ? En quoi les vulnérabilités dues à l’IoT changent-elles la façon d’aborder la cybersécurité ?

Pour relever ces défis, les entreprises devront adopter une approche plus holistique de la cybersécurité, en établissant un pont entre les équipes de sécurité informatique et des services comme les achats ou la gestion des locaux, les cadres de la DRH et même les membres de la direction. Elles devront également saisir que, même en rassemblant tous ces talents, un surcroît de vigilance humaine ne suffira plus à protéger des réseaux qui ne cessent de s’étendre.

Les nouvelles technologies d’IA reposant sur l’apprentissage machine deviennent donc un must-have pour toute entreprise, car elles leur permettent de superviser 100 % de leurs appareils, où qu’ils se trouvent sur le réseau. Avec cette méthode, l’activité de chaque appareil est répertoriée dans une vue d’ensemble du comportement du réseau. L’intelligence artificielle apprend le « modèle de vie » normal du réseau et peut détecter tout mouvement qui s’écarte du modèle et ainsi le signaler comme une cybermenace en puissance.

(Source : LeJournalDuNet)
Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>