Blogs > Entreprise

Faire la lumière sur l'IoT fantôme pour protéger votre organisation

Publié le:

Rédigé par:

Deepen Desai

Faire la lumière sur l'IoT fantôme pour protéger votre organisation

L'équipe Zscaler ThreatLabZ a publié aujourd'hui une nouvelle recherche (L'IoT dans L'Entreprise 2020: l'IoT fantôme émerge comme une menace de sécurité) qui constate que les appareils et le trafic IoT fantôme se développent rapidement dans les organisations et posent de nombreuses nouvelles menaces ainsi que des questions sur la meilleure façon d'architecturer la sécurité pour protéger l'entreprise. Alors, que pouvons-nous faire à ce sujet? Comment pouvons-nous penser différemment? Comment devriez-vous vous préparer?

Le paysage des menaces liées à l'IoT ne cesse de s'étendre et est en constante mutation à mesure que les fabricants mettent sur le marché des appareils destinés aussi bien aux consommateurs qu'aux entreprises. Le secteur étant complètement non réglementé et les appareils sortant d'usine comme des bonbons, les organisations s'efforcent de comprendre ce qui se passe réellement sur le réseau d'entreprise, quels types d'appareils communiquent et transportent des données, et comment sécuriser l'écosystème IoT dans son ensemble.

Dès leur création, les appareils IoT étaient censés être des investissements à court terme, consomptibles, en raison de leur faible coût d'acquisition, de leurs défauts inhérents et de la rapidité avec laquelle le logiciel de l'appareil devient inutilisable/arrive en fin de vie. Il n'existe pas de protocole pour les tests continus, la mise à jour des logiciels ou les correctifs, et pourtant ces appareils sont tous connectés à Internet et à de nombreux réseaux d'entreprise.

Alors, que faisons-nous? Interdisons-nous à l'entreprise tous les dispositifs IoT? Ouais, ça (ne) se passerait (pas) très bien.

Tout n'est pas perdu. Les gens peuvent garder leurs montres intelligentes, leurs placards intelligents, et tout ce qui à leur avis les rend intelligents. L'interdiction des appareils ne sera pas la solution ici. La solution est de changer le discours sur la façon dont nous envisageons les dispositifs IoT du point de vue de la sécurité et des risques, et sur les attentes que nous plaçons dans les fabricants pour augmenter la sécurité de ces dispositifs.
 

L'IoT fantôme: Dissiper les points d'ombres

La première chose à laquelle il faut absolument s'attaquer est la visibilité. Vous ne pouvez pas protéger ce dont vous ignorez l'existence. Comment obtenir une visibilité sur les types d'appareils présents et la quantité d'activité qu'ils mènent sur le réseau d'entreprise? Les entreprises du monde entier adoptent différentes techniques pour gérer ce processus. Il est évident qu'il existe toute une série d'approches dans ce domaine. La version la plus ancienne conserve tout sur un réseau d'entreprise à l'ancienne, collecte toutes les données dans un ou plusieurs lac(s) de données, met en place une politique de firewall sur des kilomètres et utilise des plates-formes d'analyse coûteuses pour vous envoyer des alertes jusqu'à ce que vous en soyez transis. 

Le fait que vos utilisateurs se connectent désormais partout et que vos applications, du moins certaines d'entre elles, sont dans le cloud, vient compliquer le problème de la visibilité. Vous en tenir à une approche traditionnelle ne vous permettra pas d'obtenir une visibilité qui couvre tous vos utilisateurs, appareils et applications. Cela ne vous donnera pas non plus les contrôles de sécurité et l'application des politiques dont vous avez besoin pour réduire les risques et assurer la conformité. Mais au moins, c'est génial pour les utilisateurs, pas vrai? Bien sûr que non! Les gens s'attendent à une expérience rapide, semblable à celle des consommateurs avec leurs applications, et le routage du trafic Internet à travers une passerelle sécurisée qui se trouve à quelques fuseaux horaires offre une expérience frustrante et un moyen sûr d'amener les utilisateurs à contourner la sécurité. 

L'approche cloud la plus moderne consiste à utiliser Internet comme votre allié — votre nouveau réseau d'entreprise qui transporte tout votre trafic commercial — chaque connexion étant sécurisée dans le cloud par Zscaler. La plateforme Zscaler traite toutes les transactions Internet, quel que soit le lieu de connexion des utilisateurs ou l'endroit où leurs applications sont hébergées, de manière à ce que vous disposiez d'une visibilité totale sur tous vos flux de trafic, avec des services de sécurité qui empêchent les intrus d'entrer tout en empêchant les données sensibles de sortir. Et, puisqu'elle pousse la sécurité près du terminal, c'est rapide. 
 

Zero trust s'applique également aux appareils IoT

Une partie de la visibilité dans un monde mobile et axé sur le cloud consiste à adopter une mentalité zero trust. Je sais que certains appellent cela un mot à la mode mais, en termes simples, il s'agit de spécialistes de la sécurité qui ne font confiance à personne ni à aucun appareil lorsqu'il s'agit de toucher au réseau — et ce, jusqu'à ce que vous sachiez qui est l'utilisateur, quel est l'appareil, et si cet utilisateur et cet appareil sont autorisés à accéder aux applications qu'ils essaient d'atteindre. 

Je ne peux pas vous dire combien d'organisations j'ai rencontré qui avaient quelque chose d'aussi simple qu'un lien d'Hameçonnage cliqué par une personne, qui conduisait à un logiciel malveillant téléchargé qui se déplaçait ensuite dans toute l'organisation. Cela ne peut pas se produire si le programme malveillant n'est jamais réellement présent sur le réseau. 

Comment éviter un tel désagrément au cas où un utilisateur ouvre une pièce jointe malveillante? L'un des moyens est l'accès au réseau Zero trust (ZTNA), également connu sous le nom de périmètre défini par logiciel (SDP). ZTNA utilise la gestion de l'accès aux identités et une politique bien réfléchie mise en place par l'entreprise pour délimiter les applications d'entreprise. Gartner a rédigé un guide du marché pour ZTNA que vous pouvez télécharger ici si vous souhaitez en savoir plus.

Il convient également de mentionner que vous devez former vos employés quant à la conduite à adopter au travail. Une partie de cela est une formation obligatoire du personnel aux meilleures pratiques en matière de cybersécurité, mais aussi d'avoir une politique commerciale réfléchie intégrée à votre conception Zero Trust. Après tout, si vous mettez en œuvre une politique qui ne permet pas à votre personnel d'utiliser les réseaux d'entreprise avec certains appareils personnels, alors cela ne constitue pas un risque pour la sécurité de votre organisation. 
 

L'heure d'une convention de Genève sur l'IoT 

Enfin, des politiques gouvernementales disparates et des réglementations suggérées sont mises en place dans le monde entier pour tenter de fournir des orientations pour le développement et la sécurité des dispositifs IoT. Avec l'ampleur des processus de la chaîne d'approvisionnement et des points de contact de fabrication, ces lois et réglementations individuelles dans divers pays visant à imposer la sécurité et les processus seront inévitablement insuffisantes. Les géants de la technologie qui opèrent à travers des entités mondiales doivent insister et conduire un forum de pensées pour créer une politique mondiale et les attentes des fabricants d'IoT.

En tant que plus gros consommateur de dispositifs IoT, les États-Unis sont en première ligne pour mener cette initiative. Pendant des années, divers groupes ont fait des suggestions sur la sécurité de l'IoT. Cela se manifeste par des projets de loi comme la Loi de 2017 sur les conseils aux consommateurs de l'IoT et la SMART IoT Act, mais peu de progrès ont été réalisés jusqu'en 2018. L'année dernière, la Californie est devenue le premier État américain à adopter une loi sur la cybersécurité couvrant les dispositifs IoT: SB-327, laquelle est entrée en vigueur le 1er janvier 2020. 

La loi SB-327 exige que tous les dispositifs IoT vendus dans l'État soient équipés de mesures de sécurité raisonnables, notamment une large couverture des produits, des obligations de sécurité souples et des exigences initiales en matière de gestion des mots de passe. Ce n'est pas la perfection, mais au moins c'est un début.
 

Protection contre l'IoT fantôme

En créant une visibilité sur vos dispositifs IoT, en mettant en œuvre une politique d'accès au réseau zero trust et en contribuant à modifier la façon dont le monde crée et réglemente les dispositifs IoT, vous pouvez faire la lumière sur l'IoT fantôme pour protéger votre organisation et vos clients. Vous pouvez en savoir plus sur nos conclusions dans le rapport IoT dans l'Entreprise 2020: l'IoT fantôme émerge comme une menace pour la sécurité.

 


Deepen Desai, vice-président de la recherche sur la sécurité chez Zscaler et directeur de ThreatLabZ, souhaite remercier l'équipe de recherche sur les mobiles et l'IoT pour son travail sur cette analyse.



Blogs suggérés