Le nombre de cyberattaques, d’atteintes à la protection des données et de perturbations causées par des dispositifs IoT/IIoT non sécurisés augmente, parce que de nombreuses entreprises ne connaissent pas la profondeur et l’ampleur des risques auxquels elles sont exposées lorsqu’elles utilisent les dispositifs IoT et autres nouvelles technologies.

C’est la conclusion à laquelle est arrivé le cabinet Deloitte à travers une enquête sur le niveau de conscience des risques sécuritaires de l’IoT dans les entreprises. Plus de la moitié des répondants au sondage (51 %) étaient quelque peu confiants, tandis que 23 % étaient incertains ou plutôt peu confiants, 18 % seulement se sentant très confiants dans la capacité de leur organisation à sécuriser les produits et dispositifs connectés.

1

L’IoT et l’IIoT offrent de nombreux avantages mais qui présentent également des risques importants en matière de cybersécurité et une surface d’attaque élargie. La réduction de l’exposition à ces risques par la compréhension de la sécurité des plateformes IoT/IIoT peut aider les entreprises à réaliser le potentiel et les avantages de ces innovations.

Pourquoi la sécurité par conception est-elle importante ?

Les entreprises doivent « adopter une approche sécuritaire dès la conception et à gérer le risque des systèmes de contrôle industriel et des environnements technologiques opérationnels en leur permettant de mieux surveiller et évaluer les menaces, explique le rapport. Les organisations peuvent tirer profit d’une meilleure compréhension des menaces dans cet environnement, qui peut ensuite être utilisée pour élaborer et intégrer des stratégies de cybersécurité dans la stratégie organisationnelle et technologique ».

La sécurité par conception consiste à intégrer les pratiques de cybersécurité dès la conception du produit ainsi qu’à incorporer les pratiques de cybersécurité par défaut dans l’environnement dans lequel le produit est implémenté.

Selon Deloitte, voici les 10 principaux risques que l’IoT pose pour la sécurité :

  1. Ne pas avoir de programme de sécurité et de protection des données personnelles
  2. Manque de propriété/gouvernance pour assurer la sécurité et la protection de la vie privée
  3. La sécurité n’est pas intégrée dans la conception des produits et des écosystèmes
  4. Insuffisance de la sensibilisation et de la formation des ingénieurs et des architectes en matière de sécurité
  5. Manque de ressources sur l’IoT/IIoT, la sécurité des produits et la protection de la vie privée
  6. Surveillance insuffisante des dispositifs et des systèmes pour détecter les évènements suspects
  7. Absence de gestion des risques liés à la sécurité et à la protection de la vie privée après la mise en marché et la mise en œuvre
  8. Manque de visibilité des produits ou inventaire incomplet des produits
  9. Identifier et traiter les risques des produits sur le terrain et des produits existants
  10. Des processus d’intervention en cas d’incident inexpérimentés ou immatures

Sources : Deloitte