MtoM Mag - Le journal de l'MtoM.

L’Internet des Objets (IoT) est, du point de vue de la sécurité, défaillant. Voici quelques exemples remarquables des énormes défaillances de la sécurité de l’IoT :

Véhicules : En juillet dernier, un pirate a signalé avoir pris le contrôle de la Jeep Cherokee d’un journaliste et coupé la transmission de la voiture alors qu’elle était en mouvement.¹

Appareils électroménagers : En janvier 2014, Proofpoint a publié un rapport révélant ce que certains qualifient comme la première attaque de l’IoT impliquant des appareils électroménagers connectés à Internet. La campagne mondiale, qui a concerné environ 100 000 équipements connectés (comprenant des routeurs à domiciles, des téléviseurs, et au moins un réfrigérateur), a envoyé plus de 750 000 emails malveillant ciblant des entreprises et des particuliers dans le monde entier. Dans de nombreux cas, les pirates ont pu corrompre ces terminaux parce que leurs propriétaires utilisaient des mots de passe par défaut, laissant les équipements exposés sur des réseaux publics.²

Appareils médicaux : En août, la FDA a averti qu’une pompe à injection Hospira Symbiq connectée à Internet était vulnérable aux attaques et a recommandé d’interrompre son utilisation, car un terminal compromis peut permettre à un attaquant de contrôler l’équipement pour altérer le dosage fourni.

Caméras de vidéosurveillance des domiciles : En novembre dernier, un site web a été lancé pour donner accès en direct aux visiteurs à plus de 70 000 caméras de sécurité non sécurisées dans 256 pays. N’importe qui dans le monde pouvait regarder en temps réel dans les bureaux et domiciles de ces personnes, et même dans leurs chambres. Ce qui a rendu ce piratage si facile à exécuter est que, comme dans l’attaque des appareils électroménagers mentionnée ci-dessus, personne n’avait pris la peine de changer les mots de passe par défaut lors de l’installation de ces caméras de « sécurité ».⁴

D’autres piratages de l’IoT ont ciblé des smartphones, des téléviseurs, des thermostats, des réfrigérateurs, des routeurs à domicile et des imprimantes. Le très grand nombre d’exemples de piratage existants est préoccupant. Le cabinet d’analyse de l’industrie Gartner prévoyait la mise en service de 4,9 milliards de ces « objets » connectés, souvent non sécurisés avant la fin 2015. Et ce nombre devrait passer à 25 milliards d’ici 2020.

Les entreprises et les institutions cherchant à incorporer l’IoT à leur écosystème numérique dans le cadre de leur transformation numérique doivent se demander si leur plateforme d’identité peut relever les défis qui accompagnent l’IoT. Le seul moyen de sécuriser les milliards de terminaux connectés et de gérer les milliards de relations numériques associés à la transformation numérique, consiste à utiliser une plateforme de gestion des identités numériques adaptée à l’échelle de l’IoT. Une plateforme d’identité moderne doit : •* Sécuriser l’IoT

 Comprendre le contexte

 Évaluer les risques en continu et promouvoir la confidentialité

Sécuriser l’IoT

L’IoT a amené en ligne des milliards de nouveaux utilisateurs, services cloud et équipements connectés. Les anciens systèmes d’identité n’ont pas été conçus pour gérer les relations numériques à une telle échelle, ce qui rend les nouvelles initiatives IoT vulnérables aux attaques malveillantes.

La solution pour les organisations consiste à choisir une plateforme d’identité qui soit à la fois souple, évolutive et capable de connecter les identités des utilisateurs, des terminaux et des services cloud dans un écosystème numérique. La possibilité de gérer cette myriade de relations sur un même écosystème d’identité numérique permet aux organisations d’inscrire les utilisateurs, les services cloud et les terminaux connectés, d’autoriser leur accès aux données ou de révoquer cet accès, et d’appliquer des politiques axées sur la sécurité et la personnalisation.

Comprendre le contexte

Le piratage continu des systèmes des entreprises et institutions démontre clairement l’énorme menace que représentent les attaques numériques et les violations des données. En cas de fuite des données utilisateurs ou de leur piratage par des cybercriminels, les conséquences financières, juridiques et en termes de réputation sont considérables pour les organisations. Des relations cultivées depuis des années sont perdues en quelques secondes si la confiance du client ou du citoyen disparaît. Pour les organisations numériques, la sécurité doit dépasser la simple vérification du nom d’utilisateur et du mot de passe. L’IoT est particulièrement vulnérable dans un contexte où les normes de sécurité et d’identité sont encore en cours d’élaboration pour les terminaux connectés.

Les entreprises et les institutions doivent pouvoir étendre l’identité numérique à tous les terminaux IoT pour sécuriser leurs écosystèmes numériques. Les informations de connexion ne suffisent plus à garantir la sécurité. Le contexte est désormais nécessaire pour comprendre la véritable nature d’une interaction numérique. Le client se connecte-t-il généralement depuis un pays précis ? Possède-t-il un bracelet électronique autorisé à accéder à ses données de santé ? À quelle heure se connecte-t-il d’habitude et quel type de système utilise-t-il ? Il est nécessaire de surveiller constamment les interactions numériques des clients et des citoyens.

En plus d’utiliser des indices contextuels pour évaluer le comportement des utilisateurs, l’identité des utilisateurs et les droits d’accès doivent être vérifiés à l’aide de SMS, d’e-mails, de questions de sécurité ou de données biométriques. Si un comportement suspect est détecté, les données de l’utilisateur peuvent être sécurisées. Avec l’arrivée de milliards de terminaux IoT en ligne et la création d’innombrables relations numériques, toutes les identités de l’écosystème numérique doivent être authentifiées en continu.

Évaluer les risques en continu et promouvoir la confidentialité Grâce à une surveillance permanente du contexte, les organisations peuvent construire des profils de risques adaptatifs pour les utilisateurs, qui leur permettent d’évaluer le risque associé à une adresse IP, un emplacement, un horaire de connexion, et autres indices contextuels concernant l’utilisateur, pour générer un score de risque. Les scores de risque les plus élevés déclenchent des mesures de sécurité renforcées et nécessitent une authentification multifactorielle. L’élaboration de scores de risques facilite également l’accès aux services numériques pour les utilisateurs vérifiés, en réduisant la sécurité en cas de risque faible. Si l’utilisateur présente un score de risque faible parce qu’il se connecte depuis un emplacement reconnu sur une adresse IP de l’entreprise, il est possible qu’il n’ait même pas besoin de saisir un mot de passe. Il est également possible d’appliquer une technologie d’apprentissage avancée axée sur la connaissance pour créer un profil d’utilisateur plus complet dans le temps, en analysant le comportement de l’utilisateur, comme sa saisie au clavier, pour obtenir une meilleure compréhension des habitudes et comportements de l’utilisateur. Grâce à cette connaissance du comportement habituel des utilisateurs, les entreprises sont mieux à même de réagir avec une augmentation ou une diminution des mesures de sécurité en temps réel. Pour protéger les entreprises et les institutions contre les piratages et les violations, une sécurité continue offre des moyens adaptatifs de limiter les risques

une exigence incontournable dans l’écosystème numérique actuel.

Il est essentiel pour les organisations adoptant l’IoT de développer une plateforme d’identité numérique conçue pour les défis à venir, inhérents à l’extension des écosystèmes numériques à des milliards de terminaux connectés. L’identité est la clé de la réussite d’une transformation numérique qui permette aux entreprises et aux institutions d’exploiter l’IoT en toute sécurité.

¹http://www.wired.com/2015/07/hacker...

⁴http://www.networkworld.com/article...