Appareils connectés IoT, OT : 9 étapes pour sécuriser votre entreprise

C’est un fait indéniable ! L’univers des appareils connectés est en pleine expansion. En 2023, on estime à plus de 15 milliards le nombre d’appareils IoT dans le monde. Un chiffre qui pourrait atteindre les 30 milliards en 2025. (Source : étude Statista.)

Et les entreprises ne sont pas en reste dans cette évolution. Capteurs industriels, caméras de surveillance, thermostats intelligents, etc. : ces dispositifs apportent une autre dimension à la gestion des infrastructures.

Mais, en même temps, ils ouvrent la porte à de nouveaux risques. Pour preuve, 57 % des organisations ont déjà signalé une faille de sécurité liée aux appareils connectés.

Cet article propose de lister les principaux enjeux de sécurité concernant les objets connectés, mais aussi les meilleures pratiques pour vous protéger.

L’intégration des appareils IoT ou OT dans les infrastructures traditionnelles introduit, donc, des risques significatifs pour la sécurité de votre organisation. Et il ne faut pas se mentir. Les pirates informatiques profiteront de ces occasions.

Mais, d’où proviennent ces nouveaux risques ?

Lorsque les utilisateurs installent leurs propres applications ou équipements (BYOD) sans solliciter le service informatique, ils échappent aux contrôles IT. C’est le Shadow IT. Le souci c’est que cette pratique complique la gestion sécuritaire. Mais ce n’est pas tout. Des processus mal définis peuvent eux aussi provoquer des failles : si certains appareils ne sont pas bien intégrés, ou sont « oubliés », ils passeront sous le radar des équipes IT.

La plupart du temps, les appareils connectés ne sont pas conçus pour gérer les mises à jour de manière efficace. Cela rend difficile l'application des correctifs de sécurité. Pourtant, réaliser ses mises à jour très régulièrement est l'une des  principales mesures à prendre, pour se protéger des cybermenaces.

C’est une autre défaillance des appareils connectés. Ils sont souvent déployés avec des configurations par défaut et des mots de passe faibles, réutilisés ou codés en dur. Et, cela constitue une véritable aubaine pour les cyber attaquants. Ne pas changer un login et un password admin dans un appareil IoT au moment de sa mise en production, c’est donner le champ libre aux hackers pour en prendre le contrôle.

Pour finir, le danger peut provenir de l’écosystème IoT lui-même. L’utilisation de composants non sécurisés ou obsolètes tels que du code open source ou des logiciels tiers peuvent devenir des sources de compromission. De plus, l’usage d’APIs ou d’applications Web ou mobiles élargit ces risques. 

En bref, l’intégration d’appareils connectés apportent son lot de risques à prendre en charge pour protéger votre SI. Mais nous l’avons vu, les appareils connectés ne sont pas des dispositifs comme les autres. Alors comment faire ?

Cet inventaire est important car il permet de prendre conscience de l’ampleur de la connectivité IoT au sein de votre entreprise. Il permet également de révéler les appareils connectés “oubliés”. Ils ne sont pas à négliger, car ils peuvent devenir des portes d’entrée pour les cyber attaquants.

Vous allez donc répertorier au même endroit l’ensemble de vos appareils connectés, qu’il s’agisse de capteurs industriels, de caméras de sécurité, de dispositifs médicaux ou de systèmes de gestion des bâtiments intelligents.

Pourquoi est-il essentiel d’obtenir une base d’inventaire exhaustive, centralisée et fiable ? Parce que toutes vos futures décisions de gestion et de sécurisation de vos équipements s’appuient sur la fiabilité des données de votre inventaire.

Que ce soit pour le renouvellement de matériel, la gestion des configurations ou de la cybersécurité, des informations erronées risquent de fausser les décisions puis les actions que vous pourriez entreprendre.

C’est la première étape à mettre en œuvre pour élaborer un inventaire exhaustif ou presque. Car, comme le dit l’adage célèbre : « On ne peut gérer et sécuriser que ce que l’on connaît ». Et si 20, 30 voire 40 % de vos matériels échappent à cette visibilité, c’est autant d’angles morts exploitables par des cyber attaquants. 

En général, vous enregistrez vos PC, serveurs, routeurs, smartphones, etc. dans une CMDB (Configuration Management Database) par le biais d’outils de gestion du parc informatique. 

Mais problème ! Ces logiciels ne prennent en charge que les appareils équipés d’un système d’exploitation (OS) traditionnel et acceptant l’installation d’agents de gestion.

Alors qu’en est-il des appareils connectés ? Souvent, ces dispositifs utilisent un OS personnalisé basé sur Linux, un firmware spécifique, etc. Il est en conséquence impossible d’y déployer un agent et de les gérer avec des méthodes classiques.

La gestion des appareils connectés s’avère donc plus complexe et nécessite des stratégies alternatives. Comment pallier ce problème ? 

Plusieurs méthodes sont à votre disposition :

Tout d'abord, vous pouvez établir un inventaire complet de vos appareils connectés à l’aide d’un tableur Excel. Vous pouvez, par exemple, enregistrer, pour chaque dispositif, le fabricant, la version du firmware, les interfaces réseau, les données qu’il manipule, etc. Bémol : cette méthode nécessite de mettre à jour manuellement vos informations au fil des changements de votre parc.

Ensuite, vous pouvez utiliser l’écoute passive. Les appareils connectés envoient souvent des signaux pour se connecter. Ils utilisent par exemple des protocoles standards, comme le protocole ARP, pour associer leurs adresses IP à des adresses MAC. En interceptant ces requêtes, l’écoute passive peut identifier les appareils connectés, même ceux qui ne disposent pas d’un OS

C'est une autre possibilité. Les scanners de vulnérabilités utilisent des requêtes SNMP (Simple Network Management Protocol) pour interroger les appareils, révélant des détails précis comme les adresses IP, les ports ouverts, les versions de firmware, etc. Grâce au fingerprinting, ils identifient également le type d’appareil (s’agit-il d’une imprimante, d’une caméra ou d’un capteur IoT ?)

En combinant les informations recueillies par l’écoute passive (pour la découverte en temps réel) et par les scanners (pour les détails techniques et les vulnérabilités), vous obtenez une vue complète et de confiance sur votre parc informatique.

Historiquement, les systèmes industriels utilisaient des protocoles propriétaires qui limitaient leur exposition aux cybermenaces. 

Cependant, la tendance actuelle favorise leur intégration avec Internet et les réseaux IT. Résultat ? Les pirates informatiques bénéficient de plus d’opportunités pour développer des attaques sophistiquées.

Pour vous défendre face à ce risque croissant, une pratique largement éprouvée consiste à segmenter votre réseau d’entreprise en créant des sous-réseaux. Vous isolez ainsi vos appareils connectés des systèmes critiques de votre réseau (bases de données ou serveurs de production). 

Vous pouvez, pour cela, vous appuyer sur des VLAN (Virtual Local Area Network) et la création de règles strictes entre les segments au niveau de votre pare-feu.

Établir une « fiche type » de comportements standards pour chaque type d’appareil connecté permet de repérer rapidement toute activité suspecte.

Dans cette optique, en plus de détecter les appareils connectés, l’écoute passive aide à comprendre leur fonctionnement normal et à identifier d’éventuels comportements suspects.

Comment cela se passe-t-il ? 

En observant le trafic réseau, l’écoute passive aide à établir un profil comportemental typique pour chaque appareil connecté. Et, par voie de conséquence, à détecter les comportements anormaux.

Les appareils connectés sans OS communiquent souvent avec des serveurs spécifiques ou échangent des données via des protocoles connus. L’écoute passive enregistre ces échanges et permet de repérer les connexions inhabituelles ou potentiellement dangereuses.

Chaque appareil présente des habitudes de trafic spécifiques. Un thermostat IoT, par exemple, peut émettre des données périodiques vers un serveur cloud. L’écoute passive détecte toute anomalie par rapport à ce modèle, comme un pic soudain de trafic ou une connexion vers un domaine inconnu.

Un autre aspect important de la sécurité des appareils connectés est le management des vulnérabilités et la remédiation. Il s’agit d’identifier et de prioriser les vulnérabilités en fonction du risque qu’elles représentent. 

Après avoir identifié les appareils et leurs caractéristiques, le scanner de vulnérabilités peut procéder à l’évaluation des risques. 

Comment cela se passe-t-il ?

Les scanners utilisent des bases de données de vulnérabilités (comme le CVE — Common Vulnerabilities and Exposures) pour comparer les services et protocoles trouvés sur les appareils avec les vulnérabilités connues.

Les appareils connectés sont parfois déployés sur de longues périodes sans mise à jour. En observant le trafic réseau, l’écoute passive permet de détecter les signes d’appareils obsolètes ou compromis (lors de communications vers des domaines suspects).

De plus, la vigilance est de mise, face à l’obsolescence des systèmes. Les appareils connectés, notamment dans le secteur industriel, peuvent rester en service pendant 10 à 15 ans. Il est donc important de suivre les recommandations et les rappels des constructeurs afin de garantir leur sécurité.

Enfin, mettez en place des systèmes de détection des menaces et de réponse aux incidents. 

Grâce à l’analyse des données capturées, l’écoute passive aide à identifier des vulnérabilités ou des risques liés aux appareils connectés sans OS :

Si un appareil utilise encore des mots de passe ou des configurations par défaut, les schémas de communication captés peuvent les détecter de manière indirecte. Les scanners vérifient également si les appareils utilisent ou non des configurations sécurisées. Ces appareils peuvent alors être marqués comme potentiellement vulnérables.

L’écoute passive permet de repérer les tentatives d’accès non autorisées vers les appareils connectés. Si un acteur externe tente de scanner ou d’attaquer un appareil sans OS, l’écoute passive capte ces tentatives et alerte les équipes de sécurité.

Sur la base des comportements attendus, l’écoute passive peut déclencher des alertes en cas d’activité suspecte. Par exemple, si un appareil commence à envoyer des données inhabituelles vers une destination externe, cela peut indiquer une tentative de piratage ou une compromission.

Une fois l’analyse terminée, les scanners de vulnérabilités fournissent des rapports complets pour identifier, classer et remédier aux failles de sécurité des appareils connectés. 

• Liste des appareils détectés : Ce rapport détaille tous les appareils connectés identifiés, même ceux sans OS.
• Vulnérabilités découvertes : Les résultats de l’analyse incluent les vulnérabilités trouvées, classées par niveau de gravité.
• Recommandations de remédiation : Le rapport peut fournir des suggestions pour corriger les vulnérabilités identifiées, telles que le changement des paramètres de configuration, la mise à jour des firmwares, ou des opérations de sécurité supplémentaires.

Les résultats des scans de vulnérabilités peuvent aussi être intégrés dans une stratégie de sécurité plus large :

• Gestion des vulnérabilités : Les informations collectées peuvent alimenter un processus de gestion des vulnérabilités, où les équipes IT priorisent les actions à mener sur la base des risques identifiés.
• Surveillance continue : Certains outils permettent une surveillance continue, où les appareils sont régulièrement réévalués pour identifier toute évolution ou nouvelle vulnérabilité.

En résumé, une combinaison de gestion, de détection et de remédiation est nécessaire pour protéger efficacement vos appareils connectés.

En suivant cette checklist, vous commencerez à renforcer votre posture de sécurité face aux menaces liées à l’IoT. Protéger vos appareils connectés, c’est préserver vos données. Mais c’est aussi garantir la continuité des opérations dans un environnement de plus en plus digitalisé. 

En bref, réduire les risques et maximiser les atouts des appareils connectés passe par une sécurité proactive. À ce propos, la réalisation d’audits informatiques réguliers permet de vérifier l’efficacité des mesures de contrôle en place et d’identifier les nouvelles vulnérabilités. 

Nos experts vous conseillent et élaborent des audits de sécurité adaptés à vos besoins

contactez-nous !