Serveur d'impression

Jusqu'où nous sommes allés, jusqu'où nous devons aller – Serveur d’impression

Le 26 décembre 2019 - 7 minutes de lecture

Alors que les organisations craignent la prolifération des appareils connectés sur les réseaux d'entreprise, les secteurs privé et public se réunissent pour remédier aux vulnérabilités de l'IoT.

L'Internet des objets met en ligne tous les aspects de notre vie. Les téléphones, les montres, les imprimantes, les thermostats, les ampoules, les appareils photo et les réfrigérateurs ne sont qu'une poignée d'appareils se connectant aux réseaux domestiques et d'entreprise. Ce réseau de produits est apparemment destiné à rendre les tâches quotidiennes plus pratiques; malheureusement, leur faible sécurité donne aux attaquants une voie d'accès facile.

"[The IoT] est toujours un ordinateur sur un réseau, mais c'est différent ", explique Joseph Carson, responsable de la sécurité chez Thycotic. Contrairement aux PC traditionnels, la fonctionnalité des appareils IoT est très spécifique; en outre, ils sont conçus pour être peu coûteux et simples à déployer. Alors que de plus en plus d'employés apportent des appareils sur le lieu de travail et les connectent au Wi-Fi, le défi de les protéger s'intensifie.

Les appareils d'entreprise qui n'étaient pas historiquement connectés à Internet font désormais partie de l'IoT, ce qui complique le problème, ajoute Deral Heiland, responsable de la recherche IoT chez Rapid7. Il souligne les imprimantes multifonctionnelles, qui, selon lui, constituent depuis longtemps un risque pour la sécurité de l'entreprise. Les imprimantes modernes peuvent contrôler une myriade de fonctions, envoyer des données sur Internet ou imprimer à distance via le cloud.

"L'une des grandes choses que je rencontre dans de nombreuses organisations est:" Qu'est-ce que l'IoT? "", Dit-il. "Les choses qui n'étaient pas sur l'IoT il y a dix ans, qui ont toujours été dans l'environnement, se sont transformées en technologie IoT." Par conséquent, de nombreuses entreprises ne comprennent pas toute l'étendue des appareils les mettant en danger.

Les routeurs, les imprimantes et les caméras IP sont parmi les appareils les plus discutés en matière de sécurité IoT d'entreprise. Les cybercriminels étudient la surface d'attaque IoT, découvrant ce qui fonctionne et ne fonctionne pas, et comment ils peuvent tirer parti des vulnérabilités des appareils connectés. Un récent rapport de Trend Micro met en lumière la façon dont les attaquants profitent de l'IoT: beaucoup vendent l'accès à des appareils IoT piratés intégrés aux réseaux de zombies; d'autres extorquent des propriétaires d'équipements industriels connectés.

En particulier, les experts en sécurité désignent le botnet Mirai comme un tournant pour la sécurité des appareils connectés. Mirai et ses variantes "semblent être les plus importantes de nos jours", explique Jon Clay, directeur des communications sur les menaces mondiales de Trend Micro. Le botnet a "étouffé la créativité" dans le métro pour ce type de malware: il est open source et gratuit, donc les attaquants n'ont pas à travailler très dur.

"La surface d'attaque augmente progressivement", dit-il. "Il y a tellement de nouveaux appareils en ligne." Les criminels réduisent leur concentration sur l'IoT, passant d'un ransomware ou d'un logiciel malveillant de point de vente à un ciblage spécifique des appareils connectés.

Le danger des menaces IoT est aggravé par la montée des attaquants des États-nations, qui ciblent le micrologiciel à grande échelle ou exploitent les appareils connectés dans les attaques DDoS. Ils n'ont pas non plus à attaquer une entité majeure pour avoir des effets d'une grande portée: comme l'a démontré NotPetya, un acteur de l'État-nation pourrait cibler un seul fournisseur de composants pour avoir des conséquences dévastatrices.

L'attitude des organisations envers la sécurité de l'IoT est similaire à leur approche des smartphones il y a plusieurs années, explique Heiland. Maintenant, ils en sont aux premières étapes de l'amélioration de leur modèle commercial et de la mise en place de processus pour rester en sécurité. Dans le même temps, des normes et des réglementations sont en train d'émerger pour informer les fabricants comment intégrer la sécurité à ces appareils dès le départ.

Où les entreprises et les fabricants ne parviennent pas

Une combinaison d'une mauvaise sécurité des appareils et d'un intérêt accru chez les attaquants pousse les entreprises à accorder plus d'attention à l'IoT. "La surface d'attaque dont ils sont responsables a énormément augmenté", explique Mike Janke, PDG de DataTribe, où un groupe de CISO consultatifs utilise le terme "shadow IoT" pour désigner les montres intelligentes, les écouteurs et les tablettes apparaissant sur les réseaux.

"C'est une grande douleur parce que [the CISOs] sont finalement responsables ", poursuit-il, notant que la plupart n'ont pas le budget, les gens ou les ressources pour lutter contre le problème." C'est très frustrant. "

De nombreuses entreprises continuent de se débattre avec les efforts de gestion des correctifs, ajoute Clay, ce qui ajoute au défi, car les fabricants d'appareils IoT demandent généralement aux utilisateurs d'appliquer des mises à jour. "Beaucoup de ces appareils ne sont pas des PC traditionnels", explique-t-il. "Même s'ils ont des systèmes d'exploitation et des applications à l'intérieur, ils ne sont pas traités comme un serveur ou un PC dans une organisation."

Carson conseille aux organisations de considérer la fonction des appareils IoT avant de les autoriser sur un réseau d'entreprise. Est-ce un collecteur ou un agrégateur de données? Le reste du réseau est-il accessible via l'appareil? Introduit-il de nouvelles menaces? À qui appartient l'appareil; peuvent-ils visualiser ou télécharger des données? Il suggère que des appareils personnels soient nécessaires pour accéder à un réseau invité.

(Suite à la page suivante)

Kelly Sheridan est rédactrice en chef à Dark Reading, où elle se concentre sur les actualités et l'analyse de la cybersécurité. Elle est une journaliste spécialisée en technologie des affaires qui a précédemment travaillé pour InformationWeek, où elle a couvert Microsoft, et Insurance & Technology, où elle a couvert les finances … Voir la biographie complète

précédent

1 sur 3

Prochain

Plus d'informations

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.