L'IoT occasionnel s'infiltre partout dans les immeubles de bureaux et les entreprises. Les TV intelligentes, les wearables, les enceintes intelligentes, les imprimantes connectées et même les caméras de sécurité de qualité grand public sont désormais déployés dans l'entreprise.
Photo par Bence Boros
Dans la catégorie des points positifs, ces dispositifs sont faciles à mettre en place et à déployer. Et dans la catégorie des points négatifs, ils ont tendance à être faciles à pirater..
Ils ouvrent également de nouvelles perspectives aux pirates informatiques. Il y a le cas des pirates qui ont cherché à voler les données d'un casino de Las Vegas en passant par un aquarium connecté. Et puis il y a cet adolescent qui a piraté 150 000 imprimantes l'année dernière.
Alors que le nombre d'appareils connectés ne cesse de croître, le problème pourrait s'aggraver. Pour aider à améliorer l'état déplorable de la sécurité des dispositifs IoT, l'organisation à but non lucratif Online Trust Alliance a publié une série de 10 directives conçues pour répondre à la menace à laquelle est confronté presque tout type d'organisation.
Nous résumons ici les 10 directives tout en incluant les commentaires de Jeff Wilbur, directeur de l'Online Trust Alliance.
1. Placez les dispositifs IoT sur leur propre réseau protégé par un pare-feu et surveillé.
Lorsqu'il s'agit de connecter des dispositifs IoT grand public dans l'entreprise, vous devez adopter une approche proactive. "Vous voulez les avoir segmentés à distance et derrière un firewall", a déclaré Wilbur. "Vous pouvez bloquer le trafic entrant vers lui afin que les gens ne puissent pas attaquer de l'intérieur et vous pouvez le contrôler et le surveiller de près."
2. La mise à jour de vos mots de passe est indispensable. L'utilisation de l'authentification multifactorielle est également utile.
Si l'utilisation de mots de passe forts est un conseil standard en matière de sécurité sur Internet, la définition d'un mot de passe fort fait débat. "Je ne sais pas si j'ai une réponse définitive, mais la tendance semble être à l'utilisation de phrases de mots de passe plus longues, plus faciles à retenir mais difficiles à deviner", a déclaré Wilbur. "Plus il est court, plus il est facile à pirater".
Oh, et ne pensez pas que vous serez en sécurité simplement parce que vous avez remplacé un "s" par un "$" ou un "l" par un "1" dans vos mots de passe. "Ces substitutions étant évidentes, il serait assez facile pour un attaquant de les utiliser dans une attaque par dictionnaire", a déclaré M. Wilbur.
L'authentification multifactorielle peut être un moyen relativement facile de renforcer la sécurité de nombreux dispositifs IoT dotés d'une interface utilisateur, mais ce n'est pas toujours possible.
3. Fermez les fonctionnalités lorsqu'elles ne sont pas nécessaires
L'une des stratégies de sécurité les plus fondamentales consiste à réduire autant que possible la surface d'attaque. Mais la question devient : Jusqu'où êtes-vous prêt à aller ? "Allez-vous souder une fiche dans un port USB ? Certaines organisations font effectivement ce genre de choses", a déclaré Wilbur.
Mais vous n'avez pas nécessairement besoin de sortir un fer à souder pour réduire votre surface d'attaque. "Les téléviseurs intelligents, si tout ce que vous faites est de les utiliser comme écran, n'ont pas besoin d'être connectés à quoi que ce soit", a déclaré Wilbur. "Les mettre hors ligne réduit la surface d'attaque".
4. Vérifier si l'accès physique permet l'intrusion
En rapport avec le point précédent, il est utile de comprendre comment votre surface d'attaque diffère selon que le pirate est à distance ou qu'il se trouve physiquement dans le bureau. Il existe un certain nombre de dispositifs connectés qui sont vulnérables après une réinitialisation matérielle. S'il y en a, pensez à les verrouiller, si possible.
Ici, les professionnels de l'entreprise doivent déterminer leur tolérance au risque. "Quelle est la probabilité que quelqu'un dans une salle de conférence lance une attaque ?" a demandé Wilbur. "Il faut au moins réfléchir de manière proactive à la portée de l'attaque au lieu d'accrocher une télévision intelligente au mur et de ne plus y penser, sans se rendre compte de ce que l'on vient de faire."
5. Attention aux connexions Wi-Fi automatiques
Un bon nombre d'appareils IoT grand public sont conçus pour détecter le Wi-Fi et s'attacher à n'importe quel réseau qu'ils peuvent trouver - qui peut être un SSID qui n'est pas protégé par un mot de passe. "Vous voulez un réseau Wi-Fi sécurisé, pas un réseau ouvert", a déclaré Wilbur. "Vous voulez que vos données soient cryptées".
6. Bloquez le trafic entrant lorsque c'est possible. Sinon, faites attention aux ports ouverts
De nombreux appareils IoT sont livrés avec des ports ouverts pour prendre en charge les fonctions de gestion plutôt que les fonctionnalités standard disponibles via une interface utilisateur. Même certains mots de passe permettent un accès telnet avec seulement une adresse IP.
Là encore, il s'agit de réduire votre surface d'attaque autant que possible. Cela peut signifier bloquer complètement tout le trafic entrant avec un firewall. Mais dans d'autres cas, il s'agira de ne garder ouverts que les ports TCP et UDP dont vous avez besoin. Certains appareils IoT peuvent avoir des ports ouverts personnalisés qui ne sont pas standard. "Il y a tous ces ports logiciels uniques qui peuvent être disponibles, et cela peut différer selon le dispositif", a déclaré Wilbur. "Vous ne saurez peut-être même pas qu'ils sont là.".
7. Faire du cryptage une valeur par défaut
Il n'est pas toujours possible de chiffrer les données pour certaines applications d'entreprise soumises à des contraintes de temps, mais pour la plupart des dispositifs IoT de niveau grand public, il est possible de s'assurer que les données ne sont jamais envoyées en tant que texte ouvert. Lorsqu'il n'est pas possible de chiffrer, les entreprises doivent utiliser un VPN ou un autre moyen de masquer leurs données.
8. Faites vos recherches lorsque vous utilisez des services ou des applications de back-end pour les dispositifs IoT.
Évitez d'utiliser tout service web sans y connaître grand-chose. Des organisations comme l'Online Trust Alliance examinent les meilleures pratiques pour évaluer la confiance en ligne des entreprises connectées à Internet et à l'IdO. "Il existe un certain nombre d'outils qui vous permettent d'évaluer la sécurité des services web qui pourraient être connectés à vos appareils IoT", a déclaré Wilbur. Ces services vérifient s'ils ont, par exemple, une bonne configuration pour leurs connexions TLS / SSL ou s'ils utilisent des protocoles de confiance ou ont des configurations de site sûres. "Il existe des outils gratuits que nous référençons régulièrement. L'un est proposé par Qualys et l'autre par High Tech Bridge", explique Wilbur.
Les applications mobiles sont un peu plus délicates. "Il n'y a pas beaucoup d'outils disponibles", reconnaît Wilbur. "High Tech Bridge dispose maintenant d'un outil pour les applications mobiles qui examine la sécurité et la confidentialité des applications mobiles - pour Android et Apple." Mais globalement, il n'y a pas autant d'informations sur la sécurité et la confidentialité des applications mobiles.
9. Mettez à jour votre micrologiciel et votre logiciel
Ces conseils sont parmi les plus importants de la liste. Si un dispositif IoT ne peut pas être mis à jour, il ne devrait probablement pas se trouver dans votre entreprise.
Alors que la plupart des dispositifs IoT bien connus destinés aux consommateurs prennent en charge les mises à jour, les caméras de sécurité bon marché sont l'un des pires contrevenants à cet égard. Elles utilisent souvent des piles logicielles sur étagère présentant des vulnérabilités reconnues, utilisent des mots de passe codés en dur et ne prennent pas en charge les mises à jour.
Si certaines mises à jour peuvent être automatisées, les mises à jour des microprogrammes sont généralement effectuées manuellement.
10. Suivez le cycle de vie des dispositifs IoT et jetez-les lorsque c'est nécessaire.
Si le fabricant d'un dispositif IoT, par exemple, fait soudainement faillite, il peut être nécessaire de se débarrasser de son produit. Dans certains cas, l'appareil fonctionnera toujours, mais ne pourra pas être réparé, ce qui nous ramène au point précédent. Mais dans d'autres cas, le fabricant disparu - ou un fabricant qui se débarrasse d'une gamme de produits - mettra en pièces les dispositifs qu'il ne fabrique plus, les rendant inutilisables.
Cette liste se veut chronologique, du moment où vous l'installez à son cycle de vie", conclut Wilbur. "Mais si je devais choisir un duo gagnant : ce serait de changer les mots de passe par défaut, ce qui est le cas de nombreux dispositifs, et de maintenir vos logiciels à jour."
Article by Brian Buntz. Read full article here: https://www.iotworldtoday.com/2018/04/17/10-ways-support-iot-device-security-enterprise/
Commentaires