Intégrez la sécurité dans votre plan d’IdO ou courez le risque d’attaque

L’Internet des objets (IdO) n’est plus une chose futuriste qui n’est plus à des années d’être quelque chose dont les responsables informatiques doivent se préoccuper. L’ère de l’IdO est arrivée. En fait, Gartner prévoit qu’il y aura 20,4 milliards d’appareils connectés dans le monde d’ici 2020.

Une autre preuve est le fait que lorsque je parle aux gens des plans d’IdO de leur entreprise, ils ne me regardent pas comme un cerf sous les projecteurs comme ils le faisaient il y a quelques années. En fait, souvent, le terme “IdO” ne revient même pas sur le tapis. Les entreprises se connectent davantage pour créer de nouveaux processus, améliorer l’efficacité ou améliorer le service à la clientèle.

Cependant, de nouveaux défis en matière de sécurité surgissent. L’un d’eux est qu’il n’y a pas de “bouton facile”. Les professionnels de l’informatique ne peuvent pas se contenter de déployer une sorte de boîte noire et de tout protéger. La sécurisation de l’IdO est un problème à multiples facettes qui comporte de nombreux facteurs à prendre en compte, et elle doit être intégrée dans tout plan d’IdO.
Internet des objets

Principaux défis associés à la sécurisation des terminaux de l’IdO

  • La sécurité physique est négligée. Les entreprises consacrent beaucoup de temps et d’énergie à la cybersécurité. Cependant, la sécurité physique est souvent une question qui n’est pas prise en compte ou qui n’est pas du tout prise en compte. Les appareils doivent être protégés contre le vol ou le piratage du matériel. Comme l’IdO est souvent déployé par des personnes qui ne sont pas des informaticiens, il peut y avoir de nombreux dispositifs dont les services informatiques ne sont pas au courant. Ces périphériques inconnus peuvent être piratés à partir d’une console ou d’un port USB et créer des portes dérobées vers d’autres réseaux. Les équipes informatiques et de cybersécurité ont besoin d’un meilleur moyen d’automatiser la découverte des terminaux IoT.
  • La sécurité traditionnelle ne fonctionne pas avec l’IdO. Aujourd’hui, la cybersécurité est principalement axée sur la protection du périmètre d’un réseau doté d’un grand pare-feu coûteux, mais ZK Research a constaté que seulement 27 % des brèches s’y produisent. (Note : Je suis un employé de ZK Research.) Bien que des pare-feu soient toujours nécessaires pour protéger le réseau, les dispositifs IoT permettent aux brèches de se produire dans le réseau. L’IdO exige que les organisations repensent leurs stratégies de sécurité et se concentrent sur le réseau interne. Un autre facteur avec les dispositifs IoT est que beaucoup se connectent de nouveau à un service cloud pour fournir des mises à jour de statut ou fournir d’autres informations. Cela perfore un trou légitime mais piratable à travers le pare-feu de l’intérieur.
  • De nombreux dispositifs d’IdO sont intrinsèquement peu sûrs. La plupart des terminaux informatiques, tels que les PC et les appareils mobiles, disposent de fonctionnalités de sécurité intégrées ou peuvent être dotés d’un agent. Alors que de nombreux appareils IdO ont de vieux systèmes d’exploitation, des mots de passe intégrés et aucune possibilité d’être sécurisés par un agent résident. Cela souligne l’importance de repenser la sécurité dans un monde où tout est lié. Si le terminal ne peut pas être sécurisé, la protection doit être transférée sur le réseau.
  • La cybersécurité devient de plus en plus complexe. Auparavant, la protection contre les menaces externes était un processus simple : Placez un pare-feu à la pointe de la technologie sur le périmètre et faites confiance à tout ce qui se trouve à l’intérieur du réseau. C’était logique lorsque toutes les applications et tous les points finaux étaient sous le contrôle du département informatique. Aujourd’hui, cependant, les travailleurs apportent leurs propres appareils, et l’utilisation des services dans les nuages est très répandue, créant de nouveaux points d’entrée. Pour lutter contre ce problème, les équipes de sécurité ont déployé davantage de produits de niche, ce qui augmente souvent le niveau de complexité. Mes recherches ont révélé que les entreprises utilisent en moyenne 32 fournisseurs de services de sécurité, et ce nombre ne cesse d’augmenter, ce qui rend l’environnement de plus en plus complexe et moins sûr. En outre, les services informatiques ont aujourd’hui du mal à gérer l’ensemble actuel des périphériques connectés. L’ajout de trois à cinq fois plus de points finaux submergera de nombreuses équipes de sécurité.
  • Le nombre d’angles morts a explosé. Le regroupement d’un patchwork d’outils de sécurité provenant de différents fournisseurs peut sembler être une bonne stratégie, car chaque périphérique était destiné à résoudre un problème spécifique. Cependant, cette approche laisse des angles morts massifs parce que les appareils ont peu ou pas de communication entre eux. De plus, cette architecture manque d’automatisation, de sorte que la configuration de ces dispositifs doit se faire un à la fois, ce qui signifie que les changements peuvent souvent prendre des mois à mettre en œuvre. Ce retard expose les organisations à de sérieux risques.

L’absence d’une stratégie globale en matière d’IdO met les entreprises en danger

Il est important de comprendre l’ampleur du risque de ne pas disposer d’une stratégie complète de sécurité de l’IdO. Pour réussir avec l’IdO, un certain nombre de processus doivent fonctionner ensemble. Une brèche à n’importe quel moment peut causer une panne et une perte possible de données sensibles. Dans de nombreux secteurs verticaux, tels que les soins de santé, les administrations d’État et locales, l’industrie manufacturière et les banques, les services IdO sont essentiels à la mission, de sorte que tout type de panne peut coûter des millions aux entreprises. En effet, en mai 2016, le Ponemon Institute a constaté que le coût moyen d’une atteinte à la protection des données était de 3,62 millions de dollars, comparativement à 3,5 millions en 2015.

L’IdO a une valeur commerciale considérable et je recommande vivement aux entreprises d’être agressives dans les déploiements. Cependant, je conseille également d’intégrer la sécurité dans le plan au lieu d’essayer de le mettre en œuvre après le déploiement.