Le coin du dirigeant : Internet des objets, protégez les appareils connectés avec l’évaluation des risques de sécurité

Selon une étude IBM, il existe plus de 60 variantes du fameux logiciel malveillant Miraiqui ciblent de plus en plus les appareils connectés en entreprise. Découvrez comment vous pouvez réduire à l’avance votre exposition aux risques, avant même d’acheter ou de brancher des objets connectés à votre réseau.

Une étude récente révèle que 67% des entreprises ont connu un incident de sécurité avec des appareils connectés. Qu’il s’agisse de téléviseurs intelligents, de caméras IP, d’ascenseurs intelligents, de pompes à perfusion dans les hôpitaux ou de contrôleurs PLC industriels, les objets connectés sont intrinsèquement vulnérables et faciles à pirater. Un nombre important de ces appareils comprend des failles de sécurité prêtes à être exploitées, telles que des mots de passe faibles ou codés en dur, des erreurs de configuration dans le système d’exploitation et des vulnérabilités connues (CVE). En raison de la faiblesse inhérente de leur sécurité et du fait qu’ils sont mal protégés, les objets connectés sont une cible attrayante pour les cybercriminels, qui recherchent continuellement des moyens d’exploiter les vulnérabilités des appareils afin de pouvoir attaquer les appareils eux-mêmes, voire s’en servir comme point d’entrée dans le réseau des entreprises. Les caméras IP peuvent être utilisées pour espionner les utilisateurs, le fonctionnement des dispositifs médicaux peut être stoppé, et les infrastructures critiques (telles que les contrôleurs de réseau électrique) peuvent être piratées pour générer des dommages colossaux. Le risque est élevé et les entreprises de différents secteurs sont exposées.

Les micrologiciels sous surveillance
Un moyen efficace de réduire l’exposition aux risques encourus par les objets connectés consiste à effectuer une évaluation avancée des risques de sécurité de leur micrologiciel. De telles évaluations peuvent aider les fabricants d’objets connectés à commercialiser des appareils dotés d’une meilleure posture de sécurité, garantir une tranquillité d’esprit à leurs clients, et se conformer aux nouvelles réglementations de sécurité pour l’Internet des objets (par exemple la loi CA SB-327 entrée en vigueur en janvier dernier en Californie). Cette évaluation des risques peut également aider les départements informatiques à prendre de meilleures décisions avant d’acheter ou de brancher de nouveaux objets connectés à leurs réseaux.Une nouvelle technologie, récemment ajoutée à la solution de sécurité Check Point pour l’Internet des objets permet de produire un rapport d’évaluation des risques du micrologiciel pour chaque objet connecté. Ce rapport est une évaluation des risques spécifiques associés au micrologiciel. L’évaluation s’appuie sur une intelligence des menaces spécifiques aux objets connectés. À l’aide d’un service dans le Cloud, les développeurs d’objets connectés et les responsables informatiques peuvent produire un rapport en quelques minutes, sans même avoir besoin du code source du micrologiciel.

Les mots de passe à l’épreuve Le rapport comprend une évaluation de la robustesse des identifiants du micrologiciel, afin de détecter et signaler l’utilisation d’identifiants faciles à pirater, accessibles publiquement ou impossibles à modifier. Au cours de l’évaluation, nous comparons les configurations des identifiants du micrologiciel aux listes de mots de passe accessibles au public (comme celle qui a été utilisée pour l’attaque Mirai) et nous effectuons une attaque par brute force sur l’appareil pour identifier les mots de passe faibles ou faciles à deviner.

Vulnérabilités connues
Le rapport fournit une liste de toutes les CVE associées au micrologiciel spécifique. Après extraction du micro logiciel de l’appareil, une recherche de CVE sur le site web MITRE est automatiquement effectuée. Chaque vulnérabilité est classifiée en fonction de sa gravité et de son vecteur d’attaque (attaque réseau/physique).

Le rapport d’évaluation du micrologiciel comprend des détails supplémentaires sur les erreurs de configuration du système d’exploitation, la sécurité des clés privées et les domaines répertoriés.Dans son évaluation des risques du micrologiciel des objets connectés, le rapport présente la totalité des failles de sécurité inhérentes à un micrologiciel spécifique, même si elles sont associées à des composants tiers qui ont été intégrés dans le micrologiciel pendant le développement (une pratique très courante dans le développement des objets connectés).

Enfin, sont préconisées des mesures d’atténuation pratiques pour réduire l’exposition qui peuvent être bénéfiques à la fois pour ceux qui fabriquent les appareils et pour ceux qui les déploient.

Le dirigeant du mois

Xavier Rosa, Président de la CSEEE
Xavier Rosa, Président de la CSEEE

À 46 ans, Xavier Rosa affiche un solide parcours d’entrepreneur et de militant de la filière électrique. De formation électrique et informatique industrielle, Xavier Rosa a intégré en 2001 l’entreprise familiale IDIELEC, spécialisée notamment dans l’éclairage public, avant d’en prendre la direction de 2007 à 2014. Devenue très attractive, l’entreprise se rapproche du groupe Derichebourg Energie et devient sa filiale Éclairage public. Xavier Rosa mène alors son intégration et assure l’exploitation et le développement pendant 5ans. En 2019, il a rejoint l’entreprise SAS Est Jean CRESCITZ implantée à Courbevoie et à Orléans comme directeur des Opérations avec la charge d’animer 4 pôles d’activités en installation électrique. Le 21 janvier dernier, la Chambre syndicale des entreprises d’équipement électrique (CSEEE) de Paris et sa région l’a choisi comme président, pour un mandat de trois ans. Adhérent depuis 2003, Xavier Rosa avait été élu administrateur de la CSEEE en 2014. Membre du Bureau depuis 2017, il est devenu vice‐président trésorier de la CSEEE et du CFA Delépine aux côtés de Bernard Colombat. Il a également en charge la présidence de la commission Croissance et Technologie qu anime l’activité de veille métier et marchés au sein de la CSEEE. Xavier Rosa succède à Bernard Colombat qui, conformément à ses engagements pris lors de son élection, ne souhaitait pas postuler pour un deuxième mandat et continuera à participer au suivi du CFA Delépine et de l’EcoCampus. Respectueux des racines de la CSEEE créée en 1881, Xavier Rosa souhaite «valoriser la reconnaissance des entreprises membres et mener des actions d’accompagnement des adhérents en phase avec les grands enjeux de transformation de la région Île‐de‐France dans la prochaine décennie».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *