En matière de sécurité, on dit que ce qu’on ne connaît pas, peut être dangereux, et c’est le cas de l’IoT et des équipements connectés pour nombre de RSSI et d’équipes de sécurité. Pourtant d’ici à 5 ans, 41,6 milliards d’équipements IoT seront connectés aux entreprises. Cette explosion des objets connectés crée un nombre infini de failles exploitables par les hackers. La réduction de cette surface d’attaque est devenue impératif.
Depuis toujours, il est difficile pour les équipes de sécurité d’avoir une visibilité précise sur les équipements connectés aux réseaux de leur entreprise. Dans un grand nombre d’organisations, il est relativement facile pour les employés de connecter des appareils au réseau sans en avertir les équipes informatiques. Des assistants personnels, des accessoires connectés, des téléphones mobiles, viennent chaque jour s’ajouter aux réseaux, sans que les équipes de sécurité en soient informées.
Si l’on y ajoute la multitude des équipements de bureau désormais connectés à Internet (imprimantes, caméras, thermostats, etc.), il en résulte une prolifération de « terminaux » qui augmentent la surface d’attaque d’une entreprise et créent des portes dérobées donnant accès à son réseau.
Le problème se complique encore en raison de l’absence de normes dans le secteur et de réglementations applicables à la sécurité de l’IoT : peu de dispositifs IoT sont conçus dans cette optique. Les hackers exploitent cette faille et continueront à le faire. On estime d’ailleurs qu’environ 25 % des attaques contre les entreprises impliquent des équipements IoT.
C’est pourquoi un inventaire précis des dispositifs connectés au réseau et la capacité de contrôler chaque équipement est un critère fondamental d’une stratégie de sécurité solide. Traditionnellement, pour contrôler les équipements IoT, les équipes de sécurité installent sur chacun d’entre eux, au fur et à mesure de leur apparition, des agents logiciels. Cependant, cette méthode ne résout pas le problème des dispositifs « fantômes ». Elle est par ailleurs extrêmement difficile à mettre en œuvre à grande échelle dans les entreprises comportant différents types de réseaux.
La solution réside donc dans la puissance de l’intelligence artificielle (IA) qui offre une visibilité totale du réseau, exerce une surveillance continue des équipements et applique les politiques de sécurité et de confidentialité sur tous les appareils connectés. Elle permet ainsi de réduire, surveiller et contrôler la surface d’attaque.
Visibilité du réseau : Faire la lumière sur l’IoT
La première étape vers une sécurité optimale en matière d’IoT est la visibilité et la connaissance exacte des équipements connectés au réseau. Les entreprises doivent non seulement définir avec précision une cartographie du réseau et l’empreinte des dispositifs afin de déterminer lesquels sont connectés, mais aussi identifier ceux qui ne sont pas protégés et donc exposés aux attaques. Toute tentative de gérer manuellement la situation est vouée à l’échec. L’ajout de matériels et logiciels supplémentaires n’apporte guère plus de solution car cette approche n’est pas adaptable à grande échelle.
Or, l’IA peut automatiser le processus. Elle peut s’appuyer sur endpoints autorisés qui feront office de sonar, de façon à identifier et détecter, dans un rayon donné, chaque nouvel appareil connecté au réseau. Cela permet de réaliser un maillage fin des équipements « fantômes » susceptibles d’être présents sur un réseau. Les machines « autorisés » peuvent également fournir une protection autonome de tous les équipements et alerter sur ceux qui présentent d’éventuelles vulnérabilités ou anomalies de comportement.
Surveiller tous les équipements avec vigilance
Une fois les équipements détectés, les équipes de sécurité peuvent y appliquer des politiques de sécurité et de confidentialité garantissant leur accès au réseau. Il peut s’agir de règles élémentaires (isoler momentanément des équipements du réseau pour une identification ou une analyse approfondie) ou plus complexes (segmenter les équipements sur les réseaux en fonction des niveaux de la confiance et des activités).
La surveillance de tous les appareils permet aux équipes de s’assurer que chacun d’entre eux a un responsable et/ou une fonction précise dans l’entreprise. Ces informations sont cruciales dans la prise de décision concernant la réduction des risques et la réponse aux incidents et permettent aux équipes de sécurité de surveiller les équipements en continu et de mieux identifier les comportements suspects.
Se concentrer sur la gestion de la surface d’attaque, pas uniquement sur la conformité !
L’objectif ultime d’une cartographie totale des équipements connectés au réseau et de leur surveillance continue est de renforcer la sécurité et la confidentialité.
Se focaliser sur la mise en conformité est une erreur courante et n’améliore pas la sécurité. Le standard de conformité n’est généralement pas très poussé et se concentre plutôt sur les échecs les plus répandus. En outre, les critères de conformité peuvent rapidement devenir obsolètes.
Les techniques modernes de sécurité s’articulent autour d’une analyse continue car les contrôles programmés sont incompatibles avec la rapidité des cyberattaques d’aujourd’hui. Des attaques à la vitesse de la machine exigent une réponse à la même vitesse.