L’étude de Forescout Technologies, spécialisé dans la visibilité et le contrôle des périphériques connectés au réseau, constate que les systèmes de contrôle d’accès physique et équipements médicaux sont très vulnérables.
Certains équipements connectés exposent les réseaux des entreprises. Intitulée « The Entreprise of Things Security Report », l’étude Forescout définit les risques inhérents aux types d’équipements et propres à chaque secteur.
Le trio le plus sensible regroupe, dans un ordre décroissant en termes de risques, les systèmes de contrôles d’accès physique, les CVC (chauffage, ventilation, climatisation) et les caméras de surveillance.
Pour mener cette étude, Forescout a collecté, au niveau mondial, les données de 8 millions de dispositifs connectés, déployés au sein de cinq principaux secteurs : finance, institutions publiques, santé, industrie et commerce.
Elle a mis en œuvre une méthodologie définissant le risque pour les dispositifs IoT en fonction de 6 critères parmi lesquels les vulnérabilités, les événements de sécurité ou bien encore l’impact potentiel.
Selon cette enquête, les groupes d’équipements les plus à risques sont ceux relatifs aux Smart Building. Viennent ensuite les équipements de santé, les équipements de réseau et les téléphones VoIP.
Ports critiques ouverts
Ces objets connectés Smart Building – parmi lesquels se trouvent les systèmes CVC, solutions de contrôle d’accès physiques, caméras IP, système de communication d’urgence et éclairage - sont présents au sein de tous les secteurs étudiés et représentent un risque pour les organisations modernes.
La récente découverte des vulnérabilités Ripple 20 nous rappelle que de nombreux équipements peuvent être à risque pour les organisations. Soit le device sera hacké lui-même, avec des conséquences directes sur le service qu’il assure, soit les hackers s’en serviront comme porte d’entrée pour accéder au réseau de l’entreprise.
À part dans le secteur de la santé, des objets connectés du groupe Smart Building occupent toujours l’une des deux premières places des équipements les plus à risque. Dans le secteur institutionnel et le secteur du commerce, ils constituent même l’intégralité du podium !
Dans le détail, les types d’appareils qui présentent le plus haut niveau de risque sont les systèmes de contrôle d’accès physique, en particulier en raison de nombreux ports critiques ouverts et d’une trop grande connectivité avec des dispositifs à risque, ainsi que de la présence de vulnérabilités connues.
Les systèmes CVC (chauffage, ventilation, climatisation) et les caméras de surveillance complètent le podium.
Les équipements médicaux figurent également parmi les objets connectés les plus à risques, au même titre que des équipements réseaux. S’ils venaient à être compromis, ces équipements pourraient avoir des conséquences importantes, en particulier les équipements médicaux. Là encore, ces équipements ont trop souvent des ports critiques ouverts qui exposent des services dangereux sur le réseau.
Plus inquiétant, un peu plus de 30 % des équipements gérés sous Windows dans le secteur industriel utilisent des versions logicielles dont Microsoft n’assure plus le support ! Ce chiffre atteint dépasse 35 % dans la santé.
Des centaines d’IOT oubliés
Dans le secteur de la finance, près de 30 % des équipements gérés sous Windows utilisent des systèmes d’exploitation qui n’ont pas été mis à jour pour faire face à des menaces identifiées comme BlueKeep.
Par contre, le pourcentage d’équipements utilisant des versions logicielles Microsoft (Windows 7, Vista, XP) qui ne sont plus supportées par l’éditeur reste inférieur à 1 % dans l’ensemble des secteurs étudiés.
Les principaux protocoles réseau sont présents dans les différents secteurs verticaux. L’étude montre ainsi que près de 10 % des appareils du secteur institutionnel ont le port Telnet 23 ouvert par défaut, et près de 12 % ont les ports FTP 20 ou 21 ouverts par défaut.
Dans les secteurs des services financiers, de la santé comme dans le secteur institutionnel, près de 20 % des appareils ont le port SMB 445 par défaut ouvert et 12 % le port RDP 3389.
« Lorsqu’on parle d’équipements connectés, la plupart des entreprises pensent en premier lieu aux téléphones et aux ordinateurs portables, et oublient les centaines d’autres appareils qui sont également connectés sur leurs réseaux », explique Julien Tarnowski, directeur régional France et Luxembourg de Forescout.
Parvenir à sécuriser de si nombreux et si différents équipements représente un enjeu de taille pour les responsables informatiques. Mais des solutions existent pour identifier, gérer et sécuriser automatiquement les équipements qui se connectent sur les réseaux et s’inscrivent dans des politiques de sécurité plus globales.