Les bonnes pratiques sont efficaces. C'est ce que révèle la dernière enquête de DigiCert sur l’état de l'Internet des Objets (IoT).
Il est inutile de rappeler que l'IoT explose. Alors que beaucoup sont enthousiastes à propos des perspectives de ce nouveau monde fantastique, beaucoup ne s'arrêtent pas non plus pour examiner les vulnérabilités omniprésentes et l’importante croissance de la surface d'attaque des périphériques, entraînée par l’implémentation des nouveaux objets connectés. Nous voulions savoir si les entreprises saisissaient réellement les implications - bonnes ET mauvaises – présentées par l'IoT.
En quête de réponses, nous avons interrogé 700 organisations dans le monde entier et ce que nous avons découvert constitue un témoignage déterminant en faveur des meilleures pratiques de sécurité IoT.
80% des répondants ont indiqué que la sécurité et la vie privée étaient leurs principales préoccupations quand il s’agit d'IoT. Nous avons découvert de grandes disparités d’approche pour aborder la sécurité. Certaines organisations déploient avec succès des solutions de sécurité tandis que d'autres ont encore des difficultés. Alors, qu'est-ce qui distingue les entreprises en haut du tableau de celles du bas de tableau, la sécurité de l'IoT de celle de l'insécurité ? Selon nos résultats, cette différence se résume à cinq points :
- Examen des risques : Les projets d'entreprise autour de l’IoT sont généralement constitués de quantités d’endpoints ; tellement qu’on ne sait plus qu’en faire. Une entreprise qui réussit sait comment sécuriser ces endpoints, quels types de risques ils occasionnent et où ils se trouvent. Elle sait aussi pourquoi ils se connectent au réseau de l'entreprise, et qu’ils ne le font pas s’ils n'en ont pas besoin. Cette étape consiste à comprendre à quoi ressemble le réseau et ses composants, à en évaluer chaque partie en fonction du niveau de menace qu'elle pourrait représenter et puis à réduire le plus possible cette menace. Une évaluation des risques qui inclut des tests de pénétration pour comprendre et traiter les risques ou les vulnérabilités de l'appareil ou de l'écosystème, joue un rôle important pour un réseau IoT sécurisé.
- Tout chiffrer : Toutes les données, qu'elles soient stockées ou en cours de transfert, doivent être traitées comme des données confidentielles. A cette fin, les organisations qui réussissent utilisent le chiffrement, quel que soit l’endroit où résident ces données.
- Toujours s’authentifier : Les grands réseaux IoT peuvent avoir un dédale de points de défaillance de sécurité potentiels. La nature labyrinthique de ces réseaux signifie aussi que les utilisateurs peuvent être maladroits dans leur authentification. Les entreprises qui réussissent savent que l'authentification consiste beaucoup plus à refuser l'accès aux méchants qu’à autoriser l'accès aux gentils. Dans cet esprit, elles s'assurent que leurs équipements n’acceptent que les connexions provenant de périphériques, systèmes et utilisateurs correctement authentifiés. Des solutions comme les certificats numériques combinent une expérience utilisateur sans heurt à des capacités d'authentification inégalées.
- Inculquer l'intégrité : Les organisations qui réussissent garantissent également l'intégrité de tout ce qu'elles font. L'un des moyens favoris des attaquants pour exploiter les périphériques IoT est de modifier les paramètres de leur configuration ou de manipuler les paquets envoyés vers ou depuis l'appareil - ce qui crée finalement des préjudices potentiels pour son utilisateur. Les appareils doivent être conçus avec une solution telle qu’un boot sécurisé au démarrage pour garantir l'intégrité de leur fonctionnement. Les mises à jour en ligne doivent être sécurisées par une solution comme la signature de code afin de garantir que les paquets n'ont pas été interceptés et manipulés pendant le transit. Assurer leur intégrité est la démarche indispensable quand on aborde la sécurité des appareils connectés.
- Stratégie évolutive : Comme nous l’avons vu précédemment, la taille des réseaux IoT d'entreprise, qui tend déjà à être importante, ne va faire qu’augmenter. En gardant ce fait à l’esprit, nous devrions penser à des infrastructures de sécurité capables d’évoluer en suivant cette croissance inévitable des périphériques IoT. Une entreprise qui réussit va mettre en place une solution de sécurité qui tiendra compte non seulement du nombre d'appareils actuels, mais en se projetant vers celui qui sera atteint dans trois ou cinq ans. Un aspect important de l'évolutivité est la performance du système. Les lenteurs de performances liées à l'IoT entraînent rapidement l’échec de l’entreprise. Comme de plus en plus d'appareils sont en ligne, les organisations doivent s’interroger : leur solution de sécurité s’adapte-t-elle afin de maintenir les performances attendues ?
Ceux qui ont respecté ces cinq étapes ont été largement à l'abri des menaces liées à l'Internet des Objets, contrairement aux organisations qui ont eu des difficultés à les suivre.
Alors que seulement 23% des organisations les plus performantes ont souffert d'un incident de sécurité lié à l'IoT, chaque entreprise du dernier tiers du tableau en a connu au moins une. 83% des entreprises du niveau le plus bas ont déclaré avoir été victimes d'atteintes à la protection des données et 61% ont signalé des attaques par déni de service (DoS). En fait, celles qui n'ont pas pris en compte les meilleures pratiques sont 6 fois plus exposées à subir une attaque par malware ou rançongiciel via l’IoT, 12 fois plus susceptibles de faire l'expérience d'une attaque DoS à partir de l’IoT et 16 fois plus sujettes à connaître une violation de données via l’IoT. Ces chiffres-là sont un véritable avertissement.
En outre, lorsque des violations se sont produites, elles ont été des plus graves. 61% des organisations classées en bas du tableau ont connu des pertes de productivité et des dommages financiers, qui pour beaucoup d’entre elles se sont chiffrés en millions. Près de la moitié, 44% ont annoncé une répercussion sur la cote de leurs actions ou des pénalités pour non mise en conformité, plombant leurs résultats. Sur le plan comptable, ces pertes apparaissent puisque 25% des entreprises du bas du tableau ont déclaré une perte d'au moins 29 millions d'euros sur deux ans. D'autres ont signalé un déficit d’image qui, à long terme, pourrait finir par être plus coûteux que n'importe quelle amende ou facture pour des coûts de mitigation. Cela ne peut qu'empirer avec le Règlement général sur la protection des données de l'Union européenne, qui oblige les entreprises ayant subi une violation de données à la divulguer publiquement et prévoit des sanctions paralysantes pour ceux qui ne le font pas.
Ces conséquences regrettables ne se sont pas arrêtées là et sont allées jusqu’à la fermeture de l'entreprise, des dommages pour les carrières personnelles et même des poursuites pénales.
Comme vous le devinez, les organisations du peloton de tête ont largement échappé à ces revers. 83% d’entre elles ne signalent aucun problème de sécurité IoT au cours des deux dernières années. Elles n’ont pas connu de telles difficultés, et quand elles en ont eu, elles se sont rétablies plus rapidement, avec moins de blessures à panser. Selon notre enquête, elles n'ont eu presque aucun coût lié à ces problèmes.
Sur ce sujet, il peut exister une volonté, mais qui n’est pas suivie d’action. L'un des détails qui rend ces résultats si intéressants est que, quels que soient leurs échecs, 77% des répondants des organisations du bas du tableau considèrent que la sécurité IoT est une préoccupation grave. Il est clair que les organisations sont largement conscientes de ces problèmes, mais elles sont peut-être inaptes à mettre en œuvre les conseils qui leur ont été prodigués.
D'un côté, la sécurité de l'IoT est encore un domaine émergent et hautement spécialisé et tout comme pour la cybersécurité on a moins d'experts que le monde entier le souhaiterait. Notre enquête a révélé que 36% des organisations du bas du tableau étaient plus susceptibles d’avoir des difficultés pour trouver l’ensemble des compétences appropriées afin de sécuriser leurs réseaux IoT. Dans le même ordre d'idée, il n'y a pas grand-chose en place pour encourager les entreprises à assurer leur sécurité, au-delà de la menace souvent obscure d’une cyberattaque - les gouvernements, les régulateurs et les autorités de l'industrie ont encore des difficultés à fixer les normes sur la façon dont les entreprises devraient sécuriser l'IoT. De ce point de vue, il n'est pas trop difficile de comprendre que 23% des entreprises du bas de tableau ont tendance à considérer le défaut de normes comme un défi.
L'IoT est en pleine expansion et ne va pas s'arrêter là. Compte-tenu de cela, il est crucial que les organisations s’attaquent de front au problème et adoptent les bonnes pratiques qui ont manifestement réussi. On peut les trouver partout mais bien souvent on ne les applique pas.
Dans un monde interconnecté où l'IoT est promis à une croissance exponentielle, nous ne parlons pas seulement de la sécurité de l’entreprise, mais de la sécurité de chacun et de tout ce qui interagit avec l’entreprise. Dans de nombreux cas, les effets d'une sécurité légère de l'IoT pourraient désormais avoir un impact sur la sécurité des patients, la sécurité des conducteurs, la sécurité publique, les systèmes économiques et même notre mode de vie.
Comme je l'ai souligné dans cet article, de bonnes pratiques de sécurité IoT connues existent et protègent les organisations qui les utilisent. Il est maintenant temps pour chacun d’examiner sérieusement la sécurité de l'IoT et de s'assurer que nous agissons de façon responsable.
Alors que de plus en plus d'entreprises évaluent leurs lacunes en matière d'IoT, les meilleures adoptent des mesures de sécurité et de protection essentielles comme celles que peuvent fournir l'infrastructure à clé publique (PKI) et les certificats numériques.
Pour retrouver l’enquête complète : https://www.digicert.com/uk/state-of-iot-security-survey/
Par Mike Nelson, VP de la sécurité IoT, DigiCert.