De nouvelles applications professionnelles IoT apparaissent chaque jour, utilisant des appareils et des capteurs connectés pour surveiller et gérer plus efficacement ou plus intelligemment tous types de processus et d'environnements. De nombreuses entreprises s'appuient désormais sur des solutions IoT pour gérer en douceur leurs espaces, en utilisant des capteurs pour tout détecter, de la température et de l'humidité à la quantité et au flux de personnes et de biens comme les voitures.
Mais aussi pratiques puissent être les solutions IoT, elles présentent également de nouveaux risques en matière de sécurité. Non seulement le nombre de dispositifs augmente, mais ces derniers peuvent également être exposés à un accès physique. Cela signifie que la frontière entre la sécurité virtuelle et physique disparaît. Pour gérer au mieux ces risques, nous devons favoriser et étendre la gestion et le contrôle traditionnels de la sécurité vers des approches innovantes : la prévention, la détection des anomalies et la réponse automatisée.
Remettre l'accent sur la prévention
Dans de nombreuses applications IoT, des dispositifs tels que des capteurs sont installés en grand nombre autour d'un site et peuvent constituer un point d'entrée pour les pirates. Prenons le cas de la surveillance de l'occupation des bureaux en temps réel, où des capteurs mesurent le nombre et le flux de personnes dans chaque espace, relayant ces données via le réseau Wifi local vers une plateforme centralisée pour traitement. En exploitant une vulnérabilité dans un seul capteur, un assaillant pourrait potentiellement accéder au réseau Wifi pour trouver des données sensibles de l'entreprise ou pour utiliser le capteur à ses propres fins.
En plus de cela, puisque des appareils IoT identiques peuvent utiliser le même firmware, si un pirate trouve un point d'entrée dans l'un d'entre eux, il pourrait potentiellement accéder aux données de centaines, de milliers, voire des millions d'appareils en profitant de leur vulnérabilité commune. Même si un appareil ne permet pas de faire beaucoup de dégâts, en exploitant des millions d'appareils, les pirates peuvent, par exemple, créer des réseaux de botnets extrêmement puissants pour mener des attaques DDoS de grande envergure. Bonne nouvelle, le risque de ce type d'attaques peut être réduit au minimum grâce à des procédures préventives standard, notamment en vérifiant soigneusement les nouveaux appareils avant leur déploiement, en maintenant le firmware à jour et en effectuant des contrôles de sécurité réguliers. Idéalement, ces tâches font partie d'une évaluation et d'une gestion automatisées, afin de pouvoir faire face efficacement au grand nombre de dispositifs.
Passer de la surveillance des dispositifs à la détection des anomalies
Les risques de sécurité de l'infrastructure IoT ne se limitent pas à la compromission du matériel, mais peuvent également concerner le chemin de communication des données entre le dispositif et le back-end, c'est-à-dire la base de données elle-même, où toutes les données IoT sont stockées, ainsi que la couche de représentation, c'est-à-dire l'interface utilisateur. Il est clair qu'une surveillance étroite de la sécurité est nécessaire, mais avec les capacités limitées des appareils IoT, la méthode standard de surveillance du CPU, de l'utilisation de la mémoire et des processus spécifiques n'est plus réalisable. En matière d'IoT, il est important d'avoir une vision globale et contextualisée de l'ensemble du réseau, et c'est là que les solutions de détection des anomalies peuvent aider à garder un œil sur les menaces de sécurité à tout moment.
En quoi cela consiste-t-il ? Plutôt que de surveiller les appareils individuels, les technologies de détection des anomalies peuvent identifier les problèmes en tirant parti de l'apprentissage automatique ou de l'apprentissage profond avec une classification avancée des données pour détecter les changements de comportement des éléments dans l'environnement IoT. L'idée est d'identifier les événements rares ou suspects qui diffèrent de la majorité ou des événements attendus. Par exemple, si un capteur envoie habituellement des données toutes les 10 secondes au back-end, mais change soudainement de schéma, ou si une vanne de chauffage intelligente se connecte soudainement à un serveur de messagerie, cela pourrait indiquer une activité malveillante. Il en va de même pour la surveillance du back-end. Si la quantité de données entrantes change soudainement, cela peut signifier qu'un événement extraordinaire s'est produit ou qu'une activité malveillante est en cours. En se contentant d'observer les journaux sans comprendre le comportement de base, il serait impossible de détecter de telles activités malveillantes.
Réponse rapide et endiguement par l'automatisation
Une fois qu'une anomalie a été détectée et marquée comme suspecte, une analyse et une réponse rapides sont nécessaires pour s'assurer que la violation est contenue efficacement. C'est là que l'automatisation devient essentielle, car il n'est pas possible pour les équipes de sécurité d'évaluer manuellement et simultanément des milliers ou des millions de dispositifs et d'indicateurs de compromission. Le défi consiste à collecter et à identifier instantanément les informations pertinentes dans un contexte donné afin d'appliquer la meilleure réponse et de réduire au minimum l'impact d'une attaque. Les solutions d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) peuvent offrir le soutien technique nécessaire à ces tâches.
Dans le contexte donné, une solution SOAR doit remplir deux fonctions. Tout d'abord, elle doit recueillir toutes les informations pertinentes pour permettre à l'analyste de sécurité de comprendre la situation, voire de déclencher une réponse automatique. Ensuite, elle doit interagir de manière transparente avec les principales technologies de sécurité de l'entreprise, telles que le système de gestion des incidents et des événements de sécurité (SIEM), les pare-feu et les éléments d'infrastructure comme les commutateurs ou les routeurs. L'objectif est, par exemple, de mettre rapidement en quarantaine un appareil individuel, de reconfigurer automatiquement le réseau pour éviter qu'un assaillant ne se déplace latéralement dans l'organisation, et d'informer toutes les parties prenantes du problème.
Tirer parti des nouvelles solutions IoT grâce à une approche robuste de la sécurité
Bien que les solutions IoT ajoutent un autre niveau de complexité pour le centre des opérations de sécurité et l'équipe de réponse aux incidents de sécurité informatique, en veillant à ce que les deux équipes aient aligné leur boîte à outils et leurs opérations sur cette approche en trois étapes, vous pouvez faire face avec plus de confiance aux défis de l'IoT et vous concentrer sur les avantages et commodités considérables offerts par cette nouvelle technologie.
