La gestion des risques liés à l’IoT et aux fournisseurs tiers

Spread the love
  • Yum

La gestion des risques liés à l’IoT et aux fournisseurs tiers

Depuis peu, la surface d’attaque s’étend d’autant plus que le développement de l’IoT industriel a favorisé l’intervention de tiers, élargissant les vecteurs d’attaques indirects mais tout aussi efficaces.

L’Internet des objets (IoT) est l’une des technologies de rupture les plus importantes de la dernière décennie. Les dispositifs IoT sont passés d’une vocation purement commerciale à un service quotidien, en transformant la vie des foyers et des villes. Ces dispositifs permettent de gérer efficacement les processus, d’élargir les offres de produits et de proposer des expériences utilisateur de plus en plus uniques de manière automatisée, comme jamais auparavant. Cela n’a pas échappé aux cybercriminels qui ont su s’approprier cette nouvelle voie royale vers les systèmes et les données.

Si ses applications sont en apparence illimitées, l’IoT introduit de nouveaux risques dont les entreprises doivent tenir compte. Une récente étude conduite par Palo Alto Networks révèle en effet que près de 98 % du trafic de ces objets connectés en environnement professionnel n’est pas chiffré. Si l’on ajoute les configurations de mots de passe faibles, les logiciels obsolètes ou encore les systèmes non corrigés parmi la liste non-exhaustive de vulnérabilités, les attaquants disposent de nombreux vecteurs à exploiter pour obtenir un accès non autorisé au réseau d’une organisation.

publicité

Un plongeon au cœur des risques liés à l’IoT

Cette vague de progrès technologiques comporte des risques qui ne sont pas encore correctement évalués, ni traités. Ces derniers peuvent émaner de l’infrastructure de l’entreprise, ainsi que de tout fournisseur tiers de dispositifs intelligents externalisés, tant pour des applications professionnelles que domestiques. Il peut notamment s’agir d’appareils inoffensifs de prime abord, tels que les systèmes de vidéosurveillance intelligents, les capteurs de mouvement et les climatiseurs, ainsi que des milliers d’autres.

En outre, les cyberattaques sont de plus en plus automatisées et reposent sur l’intelligence artificielle (IA) et le machine learning. Ces menaces « intelligentes » peuvent alors nuire plus rapidement au fonctionnement de toute entreprise par l’intermédiaire d’attaques avancées et évoluant à la vitesse de la machine, en exploitant leurs réseaux IoT. Afin de faire obstacle à cette menace émergente, l’IA est désormais privilégiée pour gérer les mécanismes de défense et neutraliser les menaces avancées au sein des systèmes industriels. Cependant, ceux-ci ne sont pas à l’abri d’un sabotage, surtout si leurs données ont été altérées, ou bien si les systèmes ou l’IA n’ont pas été correctement configurés.

Gérer les risques de cybersécurité et de confidentialité de l’IoT

Dans la mesure où il n’existe pas encore de normes, ni de directives précises en matière de cybersécurité pour les objets connectés, les professionnels de la cybersécurité éprouvent des difficultés à gérer les risques émergeants de ces technologies. Ainsi, l’Information Technology Laboratory (ITL) du National Institute of Standards and Technology (NIST) travaille actuellement à l’élaboration d’un cadre pour la gestion des risques de cybersécurité et de confidentialité liés à l’IoT.

En mai 2021, le NIST a publié Establishing Confidence in IoT Device Security: How do we get there?, un livre blanc qui décrit le paysage des mécanismes de confiance actuellement disponibles pour établir la sécurité des appareils IoT sur le marché. Cette publication a pour but d’entamer un dialogue sur la signification de la confiance dans la cybersécurité des appareils IoT utilisés par les individus et les organisations ; ainsi que les diverses façons de gagner cette confiance.

Ce document s’inscrit dans une série de publications initiée par le NIST en 2019 afin d’apporter davantage d’informations et de détails sur la cybersécurité des objets connectés et les risques liés à la confidentialité des données.

Suivre le rythme de l’évolution des technologies

Il est évident que la prise en compte des risques posés par les dispositifs IoT constitue un critère de plus en plus important pour garantir le succès de la stratégie de sécurité d’une entreprise. Tandis que des organismes tels que le NIST définissent les spécifications des cadres mondiaux régissant la cybersécurité de l’IoT et la gestion de la confidentialité des données, la surveillance des menaces issues d’environnements tiers et l’évolution des normes industrielles, des réglementations et des exigences légales est essentielle. La mise en place d’une cartographie de l’environnement tiers des entreprises permet notamment de gérer les risques liés aux fournisseurs tout en maîtrisant les coûts.

La plupart des dispositifs IoT et des technologies de soutien sont fournis aux organisations par des tiers. Étant donné que ces sociétés sont exposées à la menace d’acteurs malveillants, il s’ensuit que la majorité des risques liés à l’IoT découlent de la chaîne d’approvisionnement, dont il faut par conséquent renforcer la sécurité globale.

Leave a Reply

%d bloggers like this: