Accueil » Réseau de blogueurs sur la sécurité » Pourquoi l’IOT dans le secteur des installations commerciales ouvre autant d’opportunités que de vulnérabilités

Chaque mois, il semble y avoir un nouvel appareil qui change la façon dont nous voyageons, communiquons, menons nos affaires et vivons notre vie personnelle. La transformation promet efficacité et facilité pour l’utilisateur, elle promet de meilleurs résultats. Ces appareils sont des appareils IoT, ou Internet des objets, qui sont des appareils physiques dotés de capteurs qui collectent, analysent et transmettent des données en temps réel sans intervention humaine.

Les appareils IoT sont plus répandus que vous ne le pensez, ils sont installés dans les thermostats, les appareils ménagers, les détecteurs de fumée, les voitures et les montres Apple.

Même les ampoules peuvent être piratées. En 2016, plusieurs vulnérabilités non corrigées ont été trouvées dans les ampoules Osram Lightify. Le plus préoccupant était que l’application Osram stockait les mots de passe Wi-Fi qui donneraient aux cybercriminels la possibilité d’accéder aux réseaux domestiques et d’accéder à tous les appareils connectés au Wi-Fi.

Grâce à la collecte immédiate de données, les entreprises sont en mesure d’offrir une meilleure valeur à leurs clients et de se concentrer sur des services qui répondent aux besoins de leurs consommateurs. Les appareils IoT ont rationalisé les processus dans le secteur de la santé, le secteur des transports et le développement de villes intelligentes. Un secteur d’infrastructure critique qui a commencé à dépendre fortement de l’IoT et des appareils IoT industriels (IIoT) est le secteur des installations commerciales.

Selon le McKinsey Global Institute, chaque seconde, 127 nouveaux appareils sont connectés à Internet. Le secteur des installations commerciales doit faire progresser sa vision du risque afin de faire face au nombre de menaces associées aux appareils IoT.

Le secteur des installations commerciales se compose de huit sous-secteurs, les principales industries du secteur sont la vente au détail, le divertissement et les médias, l’hébergement et l’assemblée publique. Ce secteur s’appuie sur des appareils IoT pour faire fonctionner ses installations en rationalisant les systèmes de contrôle industriels et les interactions avec les clients. Avec autant d’appareils à gérer et à sécuriser, les risques de sécurité et les cyberattaques potentielles pourraient avoir un impact sur l’environnement physique et numérique des installations commerciales.

Le secteur des installations commerciales est en grande partie une industrie privée avec peu d’interaction avec le gouvernement fédéral. Actuellement, la Cybersecurity and Infrastructure Security Agency (CISA) de Homeland Security travaille avec le Commercial Facilities Sector Coordinating Council (SCC) et le Government Coordinating Council (GCC) pour évaluer les risques de cybersécurité à l’échelle du secteur et coordonner l’amélioration des mesures et des ressources de sécurité.

Les cybercriminels ne piratent pas les appareils IoT pour compromettre un seul appareil, mais exploitent plutôt l’accès d’un appareil au réseau pour pirater d’autres outils et appareils connectés. En termes d’installations commerciales, cela pourrait signifier pirater l’appareil IoT d’un consommateur pour manipuler un système de contrôle sur le même réseau ou pour confisquer des données sensibles.

D’ici 2025, les appareils IoT pourraient avoir un impact économique de 3 900 milliards de dollars à 11,1 milliards de dollars. Cela affectera tous les secteurs, y compris la vente au détail, les lieux publics, les fabricants et la technologie personnelle. Les cybermenaces continueront d’innover au rythme de l’industrie, c’est pourquoi les installations commerciales doivent s’engager dans la protection de leurs systèmes IoT.

Chaque appareil peut représenter un risque potentiel pour la sécurité et un appareil compromis pourrait entraîner un effet domino de conséquences. Un appareil IoT compromis met en danger les informations des consommateurs et des entreprises. Les contrôles de gestion des installations peuvent être manipulés sans accès autorisé et cela expose les consommateurs et les employés à des risques physiques.

Étant donné que l’appareil relaie les données via une connexion Bluetooth ou via Wi-Fi, un cybercriminel peut accéder à tout un réseau d’appareils et d’informations. Cette vulnérabilité ne fait qu’aggraver les risques de sécurité existants de la chaîne d’approvisionnement avec sa connectivité étendue, ses points de terminaison accrus et sa surface d’attaque incontrôlée.

En 2017, un ransomware appelé « WannaCry » a été utilisé pour attaquer des milliers d’ordinateurs et d’appareils IoT dans le monde. Les systèmes informatiques de plus de 100 pays ont été compromis et l’attaque a causé plus de 4 milliards de dollars de pertes et la plupart des victimes ont déclaré qu’elles n’avaient jamais récupéré leurs fichiers après le paiement de la rançon.

Selon le General Accounting Office (GAO) des États-Unis, les menaces courantes pour les appareils IoT sont le déni de service, les logiciels malveillants et l’injection de langage de requête structuré (SQLi). À mesure que les nouveaux appareils IoT arrivent sur le marché avec une interconnectivité, une vitesse et un accès accrus aux réseaux 5G, il doit y avoir de meilleures solutions de sécurité qui protègent les utilisateurs des terminaux à mesure que le marché se développe.

La plupart des appareils IoT sont des outils produits en masse, leurs fonctionnalités de sécurité et leurs faiblesses sont largement connues, ce qui permet aux acteurs malveillants d’infiltrer et de manipuler plus facilement les appareils. À l’instar du secteur de la santé, les établissements utiliseront des appareils IoT avec différentes faiblesses et forces en matière de sécurité. Cela rend difficile pour les équipes de sécurité de mettre en œuvre une stratégie de sécurité cohérente qui peut être appliquée à tous les niveaux.

Malgré l’efficacité des appareils IoT, ces outils sont le maillon le plus faible de la chaîne d’approvisionnement. Créés sans mesures de sécurité intégrées au matériel et aux logiciels, les millions d’appareils sont un casse-tête croissant pour les équipes de sécurité débordées. Les appareils IoT reçoivent moins de mises à jour logicielles et ne peuvent pas stocker de logiciel antivirus. Un appareil IoT, plus ou moins, reste le même tout au long de son cycle de vie.

Des algorithmes mal calculés et des appareils défectueux mettent en danger le fonctionnement de ces installations commerciales. Si un cybercriminel truquait un appareil IoT pour qu’il surchauffe ou explose, cela pose un grand risque physique pour les employés, l’équipement et les consommateurs de l’installation. Les appareils IoT piratés peuvent causer des dommages cybernétiques et physiques.

Les équipes de sécurité doivent moderniser leurs programmes de gestion des risques pour s’adapter aux appareils IoT. La mise à niveau d’un programme de sécurité sur l’appareil n’est pas une solution viable à long terme pour deux raisons. Le premier est que les appareils IoT peuvent devenir obsolètes avec le rythme actuel d’innovation rapide et que les équipes devront les moderniser à plusieurs reprises à mesure que de nouveaux appareils seront disponibles. Ce serait un gaspillage de ressources et de temps redondant pour les équipes de sécurité des installations.

La deuxième raison est que les plates-formes de gestion des risques existantes telles que les plates-formes de gouvernance, de risque et de conformité (GRC) ne peuvent pas s’adapter à la mise en œuvre de l’IoT.

Les anciens outils GRC favorisent une approche cloisonnée de la gestion des risques qui ne peut pas prendre en charge l’interconnexion des appareils IoT. Les solutions GRC n’ont pas la flexibilité nécessaire pour évoluer à mesure que les organisations évoluent avec les avancées technologiques. Avec autant de points de terminaison à évaluer ainsi que des logiciels malveillants, des attaques de phishing et d’autres menaces de sécurité, l’approche de gestion intégrée des risques (IRM) donne aux équipes de sécurité la possibilité de glaner des informations en continu à partir de leur programme de sécurité.

Afin d’améliorer la cybersécurité des appareils IoT et des installations qui les utilisent, les fabricants, les organismes de réglementation et les utilisateurs de l’IoT peuvent prendre des mesures pour renforcer la posture globale de cybersécurité et assurer la continuité des activités.

Les fabricants doivent tenir compte des normes et des exigences de conformité pour la sécurité de l’IoT créées par le National Institute of Standards and Technology (NIST). Bien que le guide soit destiné aux écosystèmes IoT fédéraux, cela peut être un élément constitutif à considérer pour les fabricants. Parallèlement au NIST Cybersecurity Framework (CSF), la loi de 2020 sur l’amélioration de la cybersécurité de l’Internet des objets a créé des normes de sécurité, des évaluations de vulnérabilité et des directives IoT pour les réseaux gouvernementaux et les entrepreneurs fédéraux.

Alors que la majeure partie de la législation est axée sur les systèmes fédéraux, une réglementation renforcée est un pas dans la bonne direction et incite les fabricants à innover dans un souci de sécurité. La création d’appareils IoT sécurisés est la première étape nécessaire pour activer un environnement IoT sécurisé.

La dépendance aux appareils IoT ne s’arrêtera pas soudainement, en particulier dans le secteur des installations commerciales. Le guide de mise en œuvre du NIST CSF pour les installations commerciales doit considérer l’environnement IoT comme une partie intégrante plutôt que comme un module complémentaire. Les installations commerciales doivent avoir accès à un guide unique et complet qui inclut les normes de sécurité IoT pour maintenir la conformité réglementaire et éviter les failles de sécurité.

Comme mentionné précédemment, les équipes de sécurité doivent envisager une solution IRM. Une approche intégrée favorise la sensibilisation aux cyber-risques à tous les niveaux et unités. La gestion des risques et la conformité sont intégrées aux objectifs commerciaux. Étant donné que les appareils IoT connectent toutes les unités d’une entreprise, y compris sa technologie opérationnelle (OT) et sa technologie de l’information (IT), une plate-forme IRM a la capacité de surveiller les entreprises sécurisées à tous les niveaux.

L’approche décentralisée promue par les programmes GRC est tout simplement trop simpliste et rigide pour l’enchevêtrement complexe des risques commerciaux, d’innovation et de sécurité.

Avec une stratégie de sécurité IRM en place, les installations commerciales adopteront une approche de cybersécurité plus proactive. Des audits internes et des évaluations de vulnérabilité continus sont nécessaires pour garantir que tous les terminaux, tout au long de la chaîne d’approvisionnement, sont sécurisés et à jour. Une approche IRM holistique allégera la pression des équipes de sécurité grâce à une sensibilisation aux cyber-risques intégrée dans les unités en contact avec les clients, la suite c et les contrôles industriels.

Il existe un certain nombre de petites étapes qui peuvent être suivies par les utilisateurs de terminaux et les entreprises. La première consiste à modifier le nom d’utilisateur et le mot de passe par défaut associés à l’appareil. L’authentification multifacteur pour tous les appareils doit être obligatoire et les appareils doivent être utilisés sur des réseaux Internet sécurisés. Les entreprises doivent également supprimer tous les logiciels obsolètes et désactiver les profils des anciens employés, car ils peuvent être des points d’entrée à exploiter pour les cybercriminels, car ils sont souvent négligés.

Pour progresser en toute sécurité dans le secteur des installations commerciales, les entreprises, les consommateurs et les fabricants doivent être conscients des risques associés aux appareils IoT. Alors que les installations commerciales continuent d’adopter des outils IoT dans leurs entreprises, la chaîne d’approvisionnement doit être plus sécurisée. Chaque partie a la responsabilité de mettre en œuvre de meilleures pratiques de sécurité pour renforcer la posture globale de cybersécurité du secteur. Avec les cadres NIST existants, les cyber-pratiques saines et une approche IRM, l’industrie des installations commerciales a plus de chances de résister aux menaces associées aux appareils IoT.

Pour en savoir plus sur la façon dont les cadres de cybersécurité peuvent générer un avantage concurrentiel, consultez notre webinaire Trois raisons pour lesquelles vous avez besoin d’un cadre de cybersécurité. Pour voir comment CyberStrong peut être un outil IRM efficace pour votre organisation, contactez-nous.

Chaque mois, il semble y avoir un nouvel appareil qui change la façon dont nous voyageons, communiquons, menons nos affaires et vivons notre vie personnelle. La transformation promet efficacité et facilité pour l’utilisateur, elle promet de meilleurs résultats. Ces appareils sont des appareils IoT, ou Internet des objets, qui sont des appareils physiques dotés de capteurs qui collectent, analysent et transmettent des données en temps réel sans intervention humaine.

Les appareils IoT sont plus répandus que vous ne le pensez, ils sont installés dans les thermostats, les appareils ménagers, les détecteurs de fumée, les voitures et les montres Apple.

Même les ampoules peuvent être piratées. En 2016, plusieurs vulnérabilités non corrigées ont été trouvées dans les ampoules Osram Lightify. Le plus préoccupant était que l’application Osram stockait les mots de passe Wi-Fi qui donneraient aux cybercriminels la possibilité d’accéder aux réseaux domestiques et d’accéder à tous les appareils connectés au Wi-Fi.

Grâce à la collecte immédiate de données, les entreprises sont en mesure d’offrir une meilleure valeur à leurs clients et de se concentrer sur des services qui répondent aux besoins de leurs consommateurs. Les appareils IoT ont rationalisé les processus dans le secteur de la santé, le secteur des transports et le développement de villes intelligentes. Un secteur d’infrastructure critique qui a commencé à dépendre fortement de l’IoT et des appareils IoT industriels (IIoT) est le secteur des installations commerciales.

Selon le McKinsey Global Institute, chaque seconde, 127 nouveaux appareils sont connectés à Internet. Le secteur des installations commerciales doit faire progresser sa vision du risque afin de faire face au nombre de menaces associées aux appareils IoT.

Le secteur des installations commerciales se compose de huit sous-secteurs, les principales industries du secteur sont la vente au détail, le divertissement et les médias, l’hébergement et l’assemblée publique. Ce secteur s’appuie sur des appareils IoT pour faire fonctionner ses installations en rationalisant les systèmes de contrôle industriels et les interactions avec les clients. Avec autant d’appareils à gérer et à sécuriser, les risques de sécurité et les cyberattaques potentielles pourraient avoir un impact sur l’environnement physique et numérique des installations commerciales.

Le secteur des installations commerciales est en grande partie une industrie privée avec peu d’interaction avec le gouvernement fédéral. Actuellement, la Cybersecurity and Infrastructure Security Agency (CISA) de Homeland Security travaille avec le Commercial Facilities Sector Coordinating Council (SCC) et le Government Coordinating Council (GCC) pour évaluer les risques de cybersécurité à l’échelle du secteur et coordonner l’amélioration des mesures et des ressources de sécurité.

Les cybercriminels ne piratent pas les appareils IoT pour compromettre un seul appareil, mais exploitent plutôt l’accès d’un appareil au réseau pour pirater d’autres outils et appareils connectés. En termes d’installations commerciales, cela pourrait signifier pirater l’appareil IoT d’un consommateur pour manipuler un système de contrôle sur le même réseau ou pour confisquer des données sensibles.

D’ici 2025, les appareils IoT pourraient avoir un impact économique de 3 900 milliards de dollars à 11,1 milliards de dollars. Cela affectera tous les secteurs, y compris la vente au détail, les lieux publics, les fabricants et la technologie personnelle. Les cybermenaces continueront d’innover au rythme de l’industrie, c’est pourquoi les installations commerciales doivent s’engager dans la protection de leurs systèmes IoT.

Chaque appareil peut représenter un risque potentiel pour la sécurité et un appareil compromis pourrait entraîner un effet domino de conséquences. Un appareil IoT compromis met en danger les informations des consommateurs et des entreprises. Les contrôles de gestion des installations peuvent être manipulés sans accès autorisé et cela expose les consommateurs et les employés à des risques physiques.

Étant donné que l’appareil relaie les données via une connexion Bluetooth ou via Wi-Fi, un cybercriminel peut accéder à tout un réseau d’appareils et d’informations. Cette vulnérabilité ne fait qu’aggraver les risques de sécurité existants de la chaîne d’approvisionnement avec sa connectivité étendue, ses points de terminaison accrus et sa surface d’attaque incontrôlée.

En 2017, un ransomware appelé « WannaCry » a été utilisé pour attaquer des milliers d’ordinateurs et d’appareils IoT dans le monde. Les systèmes informatiques de plus de 100 pays ont été compromis et l’attaque a causé plus de 4 milliards de dollars de pertes et la plupart des victimes ont déclaré qu’elles n’avaient jamais récupéré leurs fichiers après le paiement de la rançon.

Selon le General Accounting Office (GAO) des États-Unis, les menaces courantes pour les appareils IoT sont le déni de service, les logiciels malveillants et l’injection de langage de requête structuré (SQLi). À mesure que les nouveaux appareils IoT arrivent sur le marché avec une interconnectivité, une vitesse et un accès accrus aux réseaux 5G, il doit y avoir de meilleures solutions de sécurité qui protègent les utilisateurs des terminaux à mesure que le marché se développe.

La plupart des appareils IoT sont des outils produits en masse, leurs fonctionnalités de sécurité et leurs faiblesses sont largement connues, ce qui permet aux acteurs malveillants d’infiltrer et de manipuler plus facilement les appareils. À l’instar du secteur de la santé, les établissements utiliseront des appareils IoT avec différentes faiblesses et forces en matière de sécurité. Cela rend difficile pour les équipes de sécurité de mettre en œuvre une stratégie de sécurité cohérente qui peut être appliquée à tous les niveaux.

Malgré l’efficacité des appareils IoT, ces outils sont le maillon le plus faible de la chaîne d’approvisionnement. Créés sans mesures de sécurité intégrées au matériel et aux logiciels, les millions d’appareils sont un casse-tête croissant pour les équipes de sécurité débordées. Les appareils IoT reçoivent moins de mises à jour logicielles et ne peuvent pas stocker de logiciel antivirus. Un appareil IoT, plus ou moins, reste le même tout au long de son cycle de vie.

Des algorithmes mal calculés et des appareils défectueux mettent en danger le fonctionnement de ces installations commerciales. Si un cybercriminel truquait un appareil IoT pour qu’il surchauffe ou explose, cela pose un grand risque physique pour les employés, l’équipement et les consommateurs de l’installation. Les appareils IoT piratés peuvent causer des dommages cybernétiques et physiques.

Les équipes de sécurité doivent moderniser leurs programmes de gestion des risques pour s’adapter aux appareils IoT. La mise à niveau d’un programme de sécurité sur l’appareil n’est pas une solution viable à long terme pour deux raisons. Le premier est que les appareils IoT peuvent devenir obsolètes avec le rythme actuel d’innovation rapide et que les équipes devront les moderniser à plusieurs reprises à mesure que de nouveaux appareils seront disponibles. Ce serait un gaspillage de ressources et de temps redondant pour les équipes de sécurité des installations.

La deuxième raison est que les plates-formes de gestion des risques existantes telles que les plates-formes de gouvernance, de risque et de conformité (GRC) ne peuvent pas s’adapter à la mise en œuvre de l’IoT.

Les anciens outils GRC favorisent une approche cloisonnée de la gestion des risques qui ne peut pas prendre en charge l’interconnexion des appareils IoT. Les solutions GRC n’ont pas la flexibilité nécessaire pour évoluer à mesure que les organisations évoluent avec les avancées technologiques. Avec autant de points de terminaison à évaluer ainsi que des logiciels malveillants, des attaques de phishing et d’autres menaces de sécurité, l’approche de gestion intégrée des risques (IRM) donne aux équipes de sécurité la possibilité de glaner des informations en continu à partir de leur programme de sécurité.

Afin d’améliorer la cybersécurité des appareils IoT et des installations qui les utilisent, les fabricants, les organismes de réglementation et les utilisateurs de l’IoT peuvent prendre des mesures pour renforcer la posture globale de cybersécurité et assurer la continuité des activités.

Les fabricants doivent tenir compte des normes et des exigences de conformité pour la sécurité de l’IoT créées par le National Institute of Standards and Technology (NIST). Bien que le guide soit destiné aux écosystèmes IoT fédéraux, cela peut être un élément constitutif à considérer pour les fabricants. Parallèlement au NIST Cybersecurity Framework (CSF), la loi de 2020 sur l’amélioration de la cybersécurité de l’Internet des objets a créé des normes de sécurité, des évaluations de vulnérabilité et des directives IoT pour les réseaux gouvernementaux et les entrepreneurs fédéraux.

Alors que la majeure partie de la législation est axée sur les systèmes fédéraux, une réglementation renforcée est un pas dans la bonne direction et incite les fabricants à innover dans un souci de sécurité. La création d’appareils IoT sécurisés est la première étape nécessaire pour activer un environnement IoT sécurisé.

La dépendance aux appareils IoT ne s’arrêtera pas soudainement, en particulier dans le secteur des installations commerciales. Le guide de mise en œuvre du NIST CSF pour les installations commerciales doit considérer l’environnement IoT comme une partie intégrante plutôt que comme un module complémentaire. Les installations commerciales doivent avoir accès à un guide unique et complet qui inclut les normes de sécurité IoT pour maintenir la conformité réglementaire et éviter les failles de sécurité.

Comme mentionné précédemment, les équipes de sécurité doivent envisager une solution IRM. Une approche intégrée favorise la sensibilisation aux cyber-risques à tous les niveaux et unités. La gestion des risques et la conformité sont intégrées aux objectifs commerciaux. Étant donné que les appareils IoT connectent toutes les unités d’une entreprise, y compris sa technologie opérationnelle (OT) et sa technologie de l’information (IT), une plate-forme IRM a la capacité de surveiller les entreprises sécurisées à tous les niveaux.

L’approche décentralisée promue par les programmes GRC est tout simplement trop simpliste et rigide pour l’enchevêtrement complexe des risques commerciaux, d’innovation et de sécurité.

Avec une stratégie de sécurité IRM en place, les installations commerciales adopteront une approche de cybersécurité plus proactive. Des audits internes et des évaluations de vulnérabilité continus sont nécessaires pour garantir que tous les terminaux, tout au long de la chaîne d’approvisionnement, sont sécurisés et à jour. Une approche IRM holistique allégera la pression des équipes de sécurité grâce à une sensibilisation aux cyber-risques intégrée dans les unités en contact avec les clients, la suite c et les contrôles industriels.

Il existe un certain nombre de petites étapes qui peuvent être suivies par les utilisateurs de terminaux et les entreprises. La première consiste à modifier le nom d’utilisateur et le mot de passe par défaut associés à l’appareil. L’authentification multifacteur pour tous les appareils doit être obligatoire et les appareils doivent être utilisés sur des réseaux Internet sécurisés. Les entreprises doivent également supprimer tous les logiciels obsolètes et désactiver les profils des anciens employés, car ils peuvent être des points d’entrée à exploiter pour les cybercriminels, car ils sont souvent négligés.

Pour progresser en toute sécurité dans le secteur des installations commerciales, les entreprises, les consommateurs et les fabricants doivent être conscients des risques associés aux appareils IoT. Alors que les installations commerciales continuent d’adopter des outils IoT dans leurs entreprises, la chaîne d’approvisionnement doit être plus sécurisée. Chaque partie a la responsabilité de mettre en œuvre de meilleures pratiques de sécurité pour renforcer la posture globale de cybersécurité du secteur. Avec les cadres NIST existants, les cyber-pratiques saines et une approche IRM, l’industrie des installations commerciales a plus de chances de résister aux menaces associées aux appareils IoT.

Pour en savoir plus sur la façon dont les cadres de cybersécurité peuvent générer un avantage concurrentiel, consultez notre webinaire Trois raisons pour lesquelles vous avez besoin d’un cadre de cybersécurité. Pour voir comment CyberStrong peut être un outil IRM efficace pour votre organisation, contactez-nous.

*** Ceci est un blog syndiqué Security Bloggers Network de CyberSaint Blog rédigé par Maahnoor Siddiqui. Lisez le message original sur : https://www.cybersaint.io/blog/why-iot-in-the-commercial-facilities-sector-opens-as-many-opportunities-as-it-does-vulnerabilities

Titre associé :
IoT : Un Internet des menaces ?
Pourquoi l’IOT dans le secteur des installations commerciales ouvre autant d’opportunités que de vulnérabilités

Ref: https://securityboulevard.com