Les entreprises encore et toujours pas prêtes à sécuriser l’IoT
Le réseau d’entreprise accueille toujours plus d’appareils IoT et n’y est – et de loin – pas prêt. Voilà ce qu’affirme l’équipe de recherche de Palo Alto Networks dans son IoT Security Report pour 2020.
Ce rapport, qui est sorti en septembre, examine la menace des appareils connectés pour les grandes sociétés et l’attitude des CEO en la matière. Pour établir le rapport, Unit 42, l’équipe de recherche de la firme de sécurité Palo Alto Networks, a interrogé 1.350 directeurs IT dans 14 pays dans le monde, dont en Europe. La grande majorité d’entre eux (95%) indique qu’ils pensent avoir un bon aperçu des appareils IoT dans leur réseau. Ils voient non seulement le nombre de ces appareils croître, mais observent aussi que toujours plus d’appareils différents viennent s’y ajouter. C’est ainsi que le rapport mentionne non seulement des desktops, smartphones et capteurs, dont on peut s’attendre qu’ils soient connectés au réseau d’entreprise, mais aussi des voitures, des appareils médicaux portables, voire des jouets.
“Les réseaux des grandes sociétés sont souvent mis en oeuvre de manière très organique. Ils possèdent une structure plane et offrent un accès à quasiment n’importe quel type d’appareil. On y trouve évidemment des brèches de sécurité”, révèle Sergej Epp, chief security officer Central Europe chez Palo Alto Networks, à Data News. Ce ne sont du reste pas que les appareils amenés par les employés eux-mêmes qui peuvent causer des problèmes, selon lui: “Si votre entreprise dispose d’un nouveau bâtiment, il accueille généralement pas mal de nouveau matériel IT. Cela va de l’ascenseur jusqu’aux interrupteurs électriques mis en réseau. Tout cela doit être sécurisé.”
Pas prête
Or cette sécurisation n’est généralement pas prête, comme il ressort du rapport. Quatre années après que le botnet Mirai ait exploité des milliers d’appareils Internet of Things (internet des objets) pour paralyser une partie du web mondial, 41% des répondants affirment qu’ils doivent encore effectuer de nombreuses améliorations à la sécurité de l’IoT. Pour 17%, il faut même repenser le tout.
Selon Palo Alto Networks, 57% des appareils IoT sur le marché sont vulnérables aux attaques. Le fait que leur nombre croît progressivement, peut donc être considéré comme un problème. A peine 4% des répondants interrogés pensent que leur infrastructure et leurs mesures de sécurité actuelles suffisent pour protéger ces appareils. “On observe que certains appareils sont pourtant vulnérables et qu’il est aussi impossible d’installer une sécurité terminale”, prétend Epp. “Il y a des appareils, dont les fabricants eux-mêmes ne sortent pas de correctifs. Il est alors très malaisé de les protéger. Pensons par exemple à quelques montres intelligentes interdites en Allemagne, parce qu’on sait qu’elles sont vulnérables et qu’il n’y a pas de solution prévue.”
Que faire alors? Une solution classique est la segmentation, par laquelle les appareils IoT sont installés sur un réseau séparé, afin que les éventuels agresseurs ne puissent passer de ces appareils au reste du réseau. Un quart environ des répondants (24%) déclare cependant que les appareils IoT se trouvent simplement sur le réseau normal et donc pas sur un réseau séparé. Un cinquième environ (21%) les installe dans une micro-zone soumise à des contrôles supplémentaires. “Cette micro-segmentation va encore un pas plus loin que la segmentation réseautique classique”, explique Epp. “On examine alors les charges de travail spécifiques se trouvant dans une zone sécurisée. Il s’agit dans ce cas par exemple des ordinateurs terminaux d’un bureau ou de serveurs spécifiques. Il est aussi possible dans le nuage de segmenter un container et de veiller à ce qu’il ne puisse dialoguer qu’avec d’autres containers spécifiques.”
Comme le paysage a fortement évolué ces derniers mois, il faut que la sécurité suive le mouvement, selon Epp: “Le plus important à faire, c’est de créer une visibilité autour de ces appareils. Combien en avez-vous, quels sont-ils, puis il s’agit de segmenter ces groupes d’appareils, voire de créer un mini-réseau séparé pour un seul appareil. L’avantage de procéder de la sorte avec l’IoT, c’est que ces appareils sont en général très statiques et donc plus faciles à sécuriser. Une caméra de surveillance ne doit transférer ses images que vers le serveur, où elles sont traitées. Ce n’est pas comme l’ordinateur portable d’un employé, qui doit être connecté en différents endroits sur le réseau.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici