Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

Examen du biais de survie dans les attaques IoT

Internet des objets (IoT)

Alors que les appareils IoT font leur entrée dans la vie et le foyer des consommateurs, les attaques sensationnelles de IoT font la une des journaux. 

Le piratage de caméras vidéo Verkada a permis aux pirates d'accéder en direct à des usines (dont celle de Tesla), à des hôpitaux, à des prisons, etc. Un casino a été piraté grâce à d'un thermomètre d'aquarium connecté. Des chercheurs ont pris le contrôle ont pris le contrôle d'une Jeep grâce à une vulnérabilité du micrologiciel.

Si les avantages de IoT et des appareils connectés sont indéniables, les risques de sécurité des appareils IoT sont devenus une priorité absolue pour les acteurs de la confiance numérique, c'est-à-dire pour tout le monde. 

Mais tout le monde n'est pas du même avis sur les risques, comme le révèle le rapport 2023 de l'Union européenne, Navigating the State of Security. KeyfactorLe rapport 2023 de la Commission européenne intitulé "Navigating the State of IoT Security" (Naviguer dans l'état de la sécurité )..

  • 89 % des organisations exploitant/utilisant le site IoT ont subi des cyberattaques au cours de l'année écoulée. 
  • 22 % de ceux qui n'ont pas subi d'attaques déclarent qu'ils n'ont pas de difficultés à sécuriser leurs produits IoT . 
  • Pourtant, parmi les organisations qui ont subi des attaques, seules 2 % déclarent ne pas être confrontées à des difficultés.

Une lecture de ces statistiques pourrait laisser penser que ces organisations ont été proactives et efficaces dans la sécurisation de leurs appareils IoT . Cependant, une autre lecture peut suggérer un biais de survie - une hypothèse selon laquelle une attaque ne pourrait jamais leur arriver.

Qu'elles aient subi une attaque ou non, les entreprises ne doivent pas se reposer sur leurs lauriers en matière de sécurisation des appareils IoT . 

Le déficit de confiance

Selon le rapport, la moitié des personnes interrogées reconnaissent que leur organisation manque de sensibilisation et d'expertise pour se défendre contre les attaques IoT , tandis que 43 % pensent qu'elles sont "aussi bien protégées qu'elles peuvent l'être". Par ailleurs, 88 % des personnes interrogées reconnaissent que leur organisation doit améliorer la sécurité de IoT .

Cela montre que la plupart des organisations n'ont pas de vision de la sécurité totale ou de la manière d'y parvenir. En d'autres termes, elles savent qu'une "protection maximale" n'est pas "suffisante". Les organisations qui n'ont pas été victimes d'une attaque peuvent encore avoir des angles morts dans leurs stratégies de sécurité IoT . 

La marée montante

Au cours des trois dernières années, 69 % des organisations utilisant des appareils IoT ont signalé une augmentation des attaques IoT . Au cours de la même période, les entreprises ont constaté une augmentation de 20 % du nombre de produits connectés qu'elles utilisent.

La question de la responsabilité est omniprésente dans la conversation. Qui est à blâmer pour les attaques de IoT ? À qui incombe la responsabilité de les prévenir ? Alors que 38 % des personnes interrogées ont déclaré que le fabricant de l'appareil IoT et l'utilisateur devraient être tenus pour responsables à parts égales, 47 % des personnes interrogées ont déclaré que le fabricant devrait être principalement ou totalement responsable. 

Même si le fabricant de l'appareil est responsable, les organisations utilisatrices en pâtissent. La surface d'attaque s'agrandit et les attaquants tentent de plus en plus d'attaques par le biais de IoT. 

Les coûts augmentent également.

Pour les fabricants, l'interruption moyenne d'un certificat sur les chaînes de fabrication coûte 2,25 millions de dollars. Pas moins de 98 % des fabricants d'appareils ont déclaré avoir subi une telle panne au cours des 12 derniers mois. 

Ce qui fonctionne aujourd'hui pourrait ne pas fonctionner demain ou ne pas fonctionner à grande échelle. Le rapport montre que les organisations recherchent le soutien des fournisseurs lorsque le nombre d'appareils augmente, ce qui prouve qu'elles ont du mal à gérer la croissance et à rester au fait des dernières technologies en matière de sécurité. 

Pression de conformité

Si les attaques n'incitent pas les organisations à poursuivre la sécurité sur IoT , c'est la conformité qui le fera. 

Dans le rapport IoT , 98 % des organisations ont déclaré que les réglementations ont un impact sur le développement de IoT et des produits connectés. Par exemple : 

  • La norme Matter est un protocole ouvert pour la maison intelligente qui encourage l'interopérabilité, la fiabilité et la sécurité entre les appareils domestiques intelligents, les applications mobiles et les services en nuage.
  • Les normes CEE-ONU 155/156, ISO 15118 et ISO 21434 fournissent des cadres pour la sécurité dans l'industrie automobile. sécurité dans l'industrie automobile.
  • LA NORME CEI 62443 définit un cadre pour les systèmes de contrôle de l'automatisation industrielle qui donne des orientations technologiques opérationnelles sur la segmentation des réseaux, la mise en œuvre du principe du moindre privilège et le cryptage des données.
  • LA NORME IEEE 802.1AR jette les bases de la sécurité des appareils, notamment en ce qui concerne l'approvisionnement, le démarrage, les mises à jour software et la communication.

La conformité est le strict minimum

Il reste à voir si ces normes et cadres seront intégrés dans des réglementations, lesquelles et quand. Il est plus probable que les consommateurs et les organisations examineront de plus près les appareils connectés qu'ils utilisent. Des études montrent que la sécurité a fait son chemin dans la conscience du public.

Les entreprises ont la possibilité de faire de la sécurité un facteur de différenciation sur le marché. Elles feraient bien d'utiliser ces normes comme point de départ, comme boussole et comme strict minimum pour créer la confiance numérique.