La plupart des entreprises sont susceptibles d'avoir au moins un employé avec un appareil vulnérable. Pour les cybercriminels, un seul suffit.
Dans le domaine des consommateurs, la technologie de l'Internet des objets (IoT) est depuis longtemps réputée pour sa sécurité extrêmement merdique.
Les maisons d'aujourd'hui sont inondées d'appareils connectés à Internet - qu'il s'agisse d'une machine à expresso avec une application ou d'une caméra de sécurité avec une connexion Wi-Fi. L'électronique grand public représentera 63% de tous les appareils IoT installés en 2020, selon Statista. Ces appareils peuvent collecter des données sur leurs utilisateurs, qui sont renvoyées aux fournisseurs de services pour les aider à améliorer leurs produits. La fabrication de ces appareils est une activité lucrative et, à mesure que la demande augmente, les consommateurs achètent de plus en plus d'appareils de classe économique moins chers. Le problème est que leurs normes de sécurité sont généralement assez faibles.
Jusqu'à récemment, les vulnérabilités de sécurité et les failles de sécurité dans l'Internet des objets (IoT) grand public n'étaient pas un gros problème dans le monde des affaires - les dirigeants avertis en matière de confidentialité devaient simplement tendre la main pour désactiver le bureau Alexa lors d'une réunion critique. Mais comme on s'attend à ce qu'un tiers seulement des travailleurs retournent au bureau d'ici l'automne, le domicile du travailleur est devenu un lieu de travail; s'il est inondé d'IoT non sécurisé, il s'agit d'un grave problème de cybersécurité. 15% des propriétaires d'appareils IoT utilisent toujours des mots de passe par défaut , il est donc fort probable que la plupart des entreprises aient au moins un employé avec un appareil vulnérable - les cybercriminels n'en ont plus besoin.
«La plupart des appareils IoT achetés pour la maison sont relativement bon marché, en partie parce que les fabricants ne travaillent pas dur pour les protéger au niveau matériel ou logiciel», a déclaré Darryl Jones, directeur de la gestion des produits IoT chez ForgeRock. en tant que spécialiste de l'identité numérique dans une conversation avec TechHQ.
«De la mauvaise gestion des informations d'identification, du micrologiciel obsolète et des points d'accès redondants laissés sur les appareils grand public aux mises à jour de sécurité peu fréquentes, ces appareils ne prétendent souvent pas être sécurisés au départ.
En 2020, les chefs et les adjoints de la cybercriminalité ont été submergés par la montée de la cybercriminalité. Le nombre d'e-mails de phishing exploitant les conditions de quarantaine a grimpé en flèche et la migration soudaine de la main-d'œuvre vers le travail à distance a conduit à une augmentation du nombre de nouveaux points de terminaison qui doivent être protégés. Alors que les entreprises et les employés se connectaient en ligne, les criminels ont suivi en masse.
Dans le même temps, rien qu'en 2019, le nombre de cyberattaques sur les appareils IoT a augmenté de 300% et devrait continuer de croître.
L'exemple le plus notoire de la vulnérabilité des appareils IoT a été la vague d'attaques DDoS par le botnet Mirai en 2016, qui à un moment donné a entraîné l'impossibilité d'accéder à Internet surpartout sur la côte est des États-Unis . Le gouvernement américain soupçonnait initialement qu'il s'agissait du travail d'un pays paria, mais le coupable s'est avéré être un réseau de 400000 appareils IoT grand public compromis transformés en armes par un joueur mécontent de Minecraft.
Alors, pourquoi les chefs d'entreprise sont-ils pris au dépourvu par la menace IoT des consommateurs?
«En termes simples, la pandémie a changé la situation. Ils jouaient aux échecs, maintenant ils doivent jouer aux dames », dit Jones. «Les vulnérabilités des appareils existent depuis le début, mais l'énorme augmentation du nombre d'employés travaillant à domicile et l'augmentation constante du nombre en raison de la pandémie ont accru la gravité du problème d'un ordre de grandeur.
«Alors que les DSI s'efforcent de sécuriser leurs appareils et leurs réseaux depuis des années, ces changements posent de nouveaux défis à la fois aux chefs d'entreprise et aux DSI.
Jones suggère que les stratégies de cybersécurité révisées orientées vers l'avenir du travail distribué doivent répondre aux menaces croissantes non seulement en termes de Bring Your Own Device (BYOD), mais également d'autres appareils appartenant aux employés qui peuvent accéder au réseau.
«Les entreprises devraient étudier les nouvelles technologies domestiques qui séparent le réseau de l'entreprise afin qu'une perturbation de la partie du réseau qui contient les appareils grand public ne compromette pas la partie qui est utilisée à des fins d'entreprise», déclare Jones.
Une approche consiste pour les entreprises à exiger que seuls des réseaux Wi-Fi privés soient créés pour les appareils d'entreprise - une directive que le FBI a promue à de nombreuses reprises.aux États-Unis. Le gouvernement devrait également établir des codes de bonnes pratiques, ou mieux encore, une législation en matière de sécurité des appareils IoT. L'année dernière, la Finlande est devenue le premier pays européen à certifier des appareils intelligents sécurisés, où les produits qui répondent à la norme requise reçoivent une «marque de cybersécurité» clairement visible .
«L'identité numérique unique devrait être la nouvelle base de sécurité, car elle peut être utilisée pour protéger les appareils sur le lieu de travail, ainsi que les appareils domestiques existants ou nouveaux. En outre, la mise en œuvre du modèle de sécurité Zero Trust ou CARTA peut aider avec cette nouvelle norme en garantissant que chaque interaction est sécurisée et en comprenant le comportement normal de l'appareil et de l'utilisateur pour détecter les interactions suspectes », déclare Jones.
«Les entreprises doivent également adopter de nouvelles politiques de sécurité d'entreprise et de formation des employés qui nécessitent l'utilisation de réseaux privés, et restreindre l'utilisation de ces réseaux aux seuls appareils de l'entreprise.
«La détection précoce des intrusions est également essentielle. Les entreprises doivent disposer de solutions pour détecter les anomalies, y compris lorsqu'un nouvel appareil est connecté au réseau, ainsi que d'autres solutions de surveillance - points de terminaison, comportementales, réseau ... "
