La sécurité de l'IoT est une subdivision de la cybersécurité qui couvre la protection, la surveillance et la neutralisation des menaces ciblant l'Internet des objets (IoT), c'est-à-dire le réseau de terminaux connectés qui collectent, stockent et partagent des données via Internet.
Souvent négligée ou minimisée dans la stratégie de cybersécurité, la sécurité de l'IoT est devenue un problème plus pressant avec le récent passage au télétravail provoqué par la pandémie de COVID-19. Face à la multiplication des collaborateurs utilisant désormais leur réseau domestique et leurs terminaux personnels à des fins professionnelles, de nombreux cyberadversaires profitent des mesures de sécurité laxistes en place sur les endpoints pour mener leurs attaques. L'inadéquation des protocoles, des règles et des procédures régissant l'IoT transforme les terminaux en passerelles potentielles vers le réseau étendu et expose ainsi l'entreprise à un risque accru.
Qu'est-ce que l'IoT ?
Pour faire simple, un terminal IoT désigne tout élément pouvant être connecté à Internet, notamment les endpoints traditionnels, tels que les ordinateurs portables et de bureau, les téléphones mobiles, les tablettes et les serveurs, mais aussi des éléments moins traditionnels, tels que les imprimantes, les appareils photo, les appliances, les montres intelligentes, les dispositifs de suivi de la santé, les systèmes de navigation, les verrous intelligents (smart locks) et les thermostats intelligents. L'IoT est un terme générique désignant le réseau de terminaux connectés dotés de capteurs, de logiciels ou d'autres technologies leur permettant de collecter et de transmettre des données via Internet.
Ces dix dernières années, la technologie IoT a connu un essor extraordinaire. Selon IoT Analytics, une société d'études de marché spécialisée dans l'IoT, en 2020, les connexions de terminaux IoT, tels que les appareils domotiques, les voitures connectées et les équipements industriels en réseau, ont dépassé pour la première fois celles des terminaux traditionnels (ordinateurs portables et de bureau, par exemple), puisqu'ils représentaient 54 % des 21,7 milliards de terminaux connectés actifs. IoT Analytics estime que, d'ici 2025, on comptera plus de 30 milliards de connexions IoT, ce qui équivaut à environ quatre terminaux IoT par personne en moyenne.
Exemples de terminaux IoT
Au niveau de l'entreprise, les équipements industriels, les outils d'automatisation, les réseaux intelligents et autres terminaux collectant et transmettant des données via Internet font également partie des terminaux IoT.
Problèmes de sécurité de l'IoT
Dans la mesure où n'importe quel terminal intelligent peut servir de point d'accès au réseau pour les cybercriminels, il est essentiel d'assurer la sécurité de l'IoT. Après avoir obtenu un accès via un terminal, les cyberadversaires peuvent se déplacer latéralement au sein de l'entreprise, accéder à des ressources de grande valeur ou mener des activités malveillantes, comme le vol de données, d'éléments de propriété intellectuelle ou d'informations sensibles. Dans certaines attaques, comme les attaques par déni de service (DoS), les cybercriminels prennent le contrôle du terminal et l'utilisent pour submerger les serveurs de trafic web, empêchant ainsi les utilisateurs légitimes de mener leurs activités normalement.
Autrefois, les entreprises et les particuliers protégeaient leurs terminaux au moyen de dispositifs de sécurité tels que des antivirus et des pare-feux. Cependant, comme la plupart de ces dispositifs ne sont pas à même de répondre aux besoins des terminaux IoT en matière de traitement et de stockage, ils ne sont pas forcément adaptés à leur protection. Il est dès lors essentiel que les entreprises élaborent une stratégie de cybersécurité complète assurant la protection de l'ensemble des terminaux contre un large éventail de cyberattaques au niveau des endpoints et du réseau.
Risques pour la sécurité de l'IoT
Malheureusement, de nombreux terminaux IoT ont été conçus sans tenir compte de la sécurité. Bien souvent, ils ne disposent ni de la puissance de traitement, ni des capacités de stockage nécessaires à l'installation de fonctionnalités de sécurité supplémentaires, de sorte que les entreprises et les utilisateurs doivent se contenter des fonctionnalités de sécurité existantes. Les entreprises doivent s'appuyer sur les fonctionnalités de sécurité du réseau pour prévenir les attaques, mais aussi les détecter et les neutraliser lorsqu'elles se produisent.
Par ailleurs, les terminaux qui prennent en charge l'installation de dispositifs de sécurité supplémentaires ne sont pas forcément compatibles avec l'arsenal d'outils de cybersécurité existant de l'entreprise. Compte tenu de l'hétérogénéité des systèmes d'exploitation et de la diversité du matériel informatique, il est quasiment impossible pour l'entreprise de protéger tous les terminaux connectés au moyen des mêmes outils, règles et procédures.
En outre, à l'instar des endpoints traditionnels, les terminaux IoT nécessitent l'application de correctifs et des mises à jour du système d'exploitation. Compte tenu du volume considérable de terminaux connectés, il est difficile pour les entreprises d'assumer cette tâche, notamment lorsqu'il s'agit des terminaux personnels de leurs collaborateurs.
Enfin, sur les terminaux connectés, les règles relatives aux mots de passe ne sont pas toujours suffisamment strictes, et les utilisateurs sous-estiment souvent l'exposition aux menaces des terminaux connectés non traditionnels.