Industrie : Lacunes en matière de sécurité OT et IoT

6 novembre 2024
| Pas de commentaires
Industrie : Lacunes en matière de sécurité OT et IoT
Exposition

Partager le post

Selon les résultats d'une étude récente, près de la moitié des responsables informatiques des entreprises industrielles allemandes considèrent que les mesures destinées à se protéger contre les cyberattaques sont insuffisantes. Le contrôle industriel et le domaine de l’IoT sont particulièrement menacés.

Dans une récente enquête menée auprès des responsables informatiques de l'industrie allemande, pas même la moitié (46 %) étaient convaincus que l'économie était suffisamment protégée contre les cyberattaques. Moins d’un tiers (29 %) déclarent connaître réellement les réglementations et normes de cybersécurité pertinentes pour leur secteur ; un quart ne les connaît même pas. Ce sont les principaux résultats du « OT+IoT Cybersecurity Report 2024 » de la société de cybersécurité ONEKEY de Düsseldorf. Plus de 2024 entreprises industrielles ont été interrogées au printemps 300 pour le rapport sur la sécurité des contrôles industriels (Operational Technology, OT) et des appareils pour l'Internet des objets (IoT). Outre les responsables informatiques, les directeurs généraux (CEO), les directeurs de l'information (CIO), les directeurs de la sécurité de l'information (CISO) et les directeurs de la technologie (CTO) ont également eu leur mot à dire. Le rapport paraîtra sur le site Web de ONEKEY en octobre.

Exposition

Les fabricants sous-estiment les cyber-risques

Le résultat qui donne à réfléchir peut être résumé comme suit : bien que la numérisation industrielle s'accélère depuis des années et que de plus en plus de logiciels soient utilisés dans les systèmes de contrôle, la conscience des cyber-risques associés semble être nettement sous-développée chez de nombreux fabricants et opérateurs. «Il s'agit déjà d'un danger concret pour les fabricants et donc pour tous les exploitants d'appareils et d'infrastructures industriels», déclare Jan Wendenburg, PDG de ONEKEY.

Il en explique les raisons comme suit : « Pour de nombreux fabricants, il est difficile d'identifier les réglementations de conformité réellement pertinentes. Il se passe beaucoup de choses au niveau international : le nouveau Cyber ​​​​Resiliance Act dans l’UE, le PSTI en Angleterre, le Biden Act aux États-Unis et bien d’autres. Nous avons donc développé un assistant de conformité qui utilise une combinaison d'évaluation automatisée de la cybersécurité et d'assistant virtuel pour guider les entreprises dans une évaluation simplifiée de la conformité organisationnelle. La documentation résultante peut être utilisée immédiatement pour répondre aux exigences futures en matière de cybersécurité et de certifications supplémentaires.

Exposition

Abonnez-vous à la newsletter maintenant

Lisez les meilleures nouvelles de B2B CYBER SECURITY une fois par mois



En cliquant sur "S'inscrire", j'accepte le traitement et l'utilisation de mes données conformément à la déclaration de consentement (veuillez ouvrir pour plus de détails). Je peux trouver plus d'informations dans notre Déclaration de protection des données. Après votre inscription, vous recevrez d'abord un e-mail de confirmation afin qu'aucune autre personne ne puisse commander quelque chose que vous ne voulez pas.
Développer pour plus de détails sur votre consentement
Il va sans dire que nous traitons vos données personnelles de manière responsable. Si nous collectons des données personnelles auprès de vous, nous les traitons conformément aux réglementations applicables en matière de protection des données. Vous trouverez des informations détaillées dans notre Déclaration de protection des données. Vous pouvez vous désinscrire de la newsletter à tout moment. Vous trouverez un lien correspondant dans la newsletter. Après votre désinscription, vos données seront supprimées dans les plus brefs délais. La récupération n'est pas possible. Si vous souhaitez recevoir à nouveau la newsletter, il vous suffit de la commander à nouveau. Faites de même si vous souhaitez utiliser une adresse e-mail différente pour votre newsletter. Si vous souhaitez recevoir la newsletter proposée sur le site, nous avons besoin d'une adresse e-mail de votre part ainsi que d'informations nous permettant de vérifier que vous êtes le propriétaire de l'adresse e-mail fournie et que vous acceptez de recevoir les bulletin. D'autres données ne sont pas collectées ou ne sont collectées que sur une base volontaire. Nous utilisons des fournisseurs de services de newsletter, qui sont décrits ci-dessous, pour traiter la newsletter.

CleverReach

Ce site Web utilise CleverReach pour envoyer des newsletters. Le fournisseur est CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Allemagne (ci-après « CleverReach »). CleverReach est un service permettant d'organiser et d'analyser l'envoi de newsletters. Les données que vous saisissez dans le but de vous abonner à la newsletter (par exemple l'adresse e-mail) seront stockées sur les serveurs de CleverReach en Allemagne ou en Irlande. Nos newsletters envoyées avec CleverReach nous permettent d'analyser le comportement des destinataires de la newsletter. Cela peut inclure Le nombre de destinataires qui ont ouvert le message de la newsletter et la fréquence à laquelle le lien de la newsletter a été cliqué sont analysés. À l'aide de ce que l'on appelle le suivi des conversions, il est également possible d'analyser si une action définie au préalable (par exemple, l'achat d'un produit sur ce site Web) a eu lieu après avoir cliqué sur le lien dans la newsletter. De plus amples informations sur l'analyse des données par la newsletter CleverReach sont disponibles sur : https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Le traitement des données a lieu sur la base de votre consentement (art. 6 al. 1 lit. a DSGVO). Vous pouvez révoquer ce consentement à tout moment en vous désinscrivant de la newsletter. La légalité des opérations de traitement de données qui ont déjà eu lieu n'est pas affectée par la révocation. Si vous ne souhaitez pas une analyse par CleverReach, vous devez vous désinscrire de la newsletter. À cette fin, nous fournissons un lien correspondant dans chaque message de la newsletter. Les données que vous avez stockées chez nous dans le but de vous abonner à la newsletter seront stockées par nous ou par le fournisseur de service de newsletter jusqu'à ce que vous vous désabonniez de la newsletter et supprimées de la liste de distribution de la newsletter après que vous ayez annulé la newsletter. Les données que nous stockons à d'autres fins ne sont pas affectées. Une fois que vous avez été retiré de la liste de distribution de la newsletter, votre adresse e-mail peut être stockée par nous ou le fournisseur de services de newsletter dans une liste noire si cela est nécessaire pour empêcher de futurs envois. Les données de la liste noire ne seront utilisées qu'à cette fin et ne seront pas fusionnées avec d'autres données. Cela sert à la fois votre intérêt et notre intérêt à respecter les exigences légales lors de l'envoi de newsletters (intérêt légitime au sens de l'art. 6 al. 1 lit. f RGPD). Le stockage dans la liste noire n'est pas limité dans le temps. Vous pouvez vous opposer au stockage si vos intérêts l'emportent sur nos intérêts légitimes. Pour plus d'informations, voir la politique de confidentialité de CleverReach à l'adresse: https://www.cleverreach.com/de/datenschutz/.

Le traitement des commandes

Nous avons conclu un contrat de traitement des commandes (AVV) pour l'utilisation du service susmentionné. Il s'agit d'un contrat requis par la loi sur la protection des données, qui garantit que les données personnelles des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du RGPD.

Les contrôles industriels et les appareils IoT sont négligés

Dans les analyses conventionnelles de cybersécurité, l'accent est principalement mis sur les systèmes et réseaux informatiques, tandis que les contrôles industriels des machines et systèmes ainsi que les appareils IoT (Internet des objets) reçoivent souvent moins d'attention, selon les résultats du rapport ONEKEY. Cependant, la majorité des personnes interrogées (51 %) sont convaincues que le milieu des hackers s'est déjà concentré sur l'utilisation abusive des commandes des machines et des systèmes ainsi que des appareils IoT. Ils soupçonnent que les cybercriminels les utilisent déjà activement comme passerelle vers les réseaux d’entreprise. Un autre quart (23 %) s'attend à ce que de plus en plus de pirates informatiques concentrent à l'avenir leurs incursions numériques sur les contrôles industriels et l'Internet des objets.

« Près des trois quarts des dirigeants du secteur interrogés supposent que les pirates informatiques attaquent de plus en plus les contrôles industriels et les appareils IoT. Il est donc extrêmement urgent que les fabricants de ces commandes et appareils protègent leurs produits contre les cyberattaques », Jan Wendenburg, PDG de ONEKEY, exhorte à se dépêcher.

Près de la moitié (46 %) des personnes concernées ne peuvent pas répondre à la question de savoir quelles normes techniques sont importantes pour la cybersécurité des appareils, machines et systèmes, selon le « OT+IoT Cybersecurity Report 2024 » de ONEKEY. Moins d'un quart (23 %) considèrent que la nouvelle loi sur la cyber-résilience (CRA) de l'Union européenne est pertinente, même si selon le calendrier actuel, à partir de 2027, les appareils et contrôles industriels qui ne sont pas conformes à la CRA ne le seront plus. être autorisée à être vendue dans l'Union européenne.

« Compte tenu des délais de développement habituels de plus de deux ans, il est surprenant de constater à quel point l'importance des nouvelles réglementations est peu connue deux ou trois ans avant leur entrée en vigueur », déclare Jan Wendenburg. Il explique : « Si les systèmes de contrôle ne répondent pas aux exigences du CRA à partir de 2027, cela posera non seulement des problèmes importants aux fabricants d'appareils, de machines et de systèmes, mais également aux utilisateurs industriels. Il est donc dans l’intérêt de toutes les personnes impliquées dans l’Industrie 4.0 d’améliorer rapidement la cybersécurité dans les domaines OT et IoT jusqu’au minimum requis par la loi.

Les entreprises sous-estiment le potentiel de menace de l’OT et de l’IoT

Selon le rapport, l'ignorance généralisée en matière de cybersécurité dans le secteur OT et IoT est due au fait que la plupart des entreprises considèrent d'autres domaines de l'entreprise comme des cibles plus vulnérables pour les pirates informatiques et négligent donc les composants industriels. 42 % des dirigeants interrogés dans le cadre du « OT+IoT Cyber ​​​​Security Report 2024 » considèrent que les systèmes de paiement et financiers méritent particulièrement d'être protégés contre les cyberattaques. 39 pour cent (plusieurs réponses possibles) voient le plus grand danger dans les attaques contre les réseaux d'entreprise et les centres de données. 36 % pensent que les pirates informatiques ciblent les données des clients. Un bon quart (26 %) craignent que les communications par courrier électronique soient interceptées par des personnes non autorisées. Un quart exactement craignent la perte de secrets commerciaux et de documents de brevet. Un bon cinquième (22 %) classent les services cloud comme une passerelle pour les pirates informatiques. Selon l'enquête, d'autres domaines particulièrement dignes de protection comprennent : les systèmes personnalisés sur le lieu de travail (16 %), les systèmes de surveillance et de sécurité (16 %), les infrastructures critiques et les données de santé (15 %), les systèmes de télécommunications (12 %), les applications Web et les sites Web (9 pour cent), ainsi que les mégadonnées et les systèmes dotés d'intelligence artificielle (8 pour cent).

L’enquête a révélé que le potentiel de menace dans les domaines de l’OT et de l’IoT est relativement faible. Seulement 11 % des personnes interrogées considèrent les systèmes de gestion de la production et de la chaîne d'approvisionnement comme une cible privilégiée des cybercriminels. Seuls 12 % d’entre eux estiment que des attaques de pirates informatiques sur des appareils et des systèmes proviennent de l’Internet des objets. Les systèmes de production et les systèmes de contrôle industriels (systèmes OT) ne sont pas exposés à un dixième (9 %) des dangers graves liés aux attaquants provenant d'Internet. Ce n'est que pour les applications et appareils mobiles que le risque est considéré comme encore plus faible (5 %).

Le patron de ONEKEY appelle l'industrie à inciter ses fournisseurs à assurer la cybersécurité nécessaire des appareils, machines et systèmes. Il explique : « Bien entendu, les fabricants doivent s’assurer que leurs produits sont conformes à la CRA. Mais une entreprise qui n’utilise pas de produits conformes aux normes CRA n’est pas non plus dans une position optimale. Il est donc dans l’intérêt de toutes les personnes impliquées dans l’Industrie 4.0 d’accorder au thème de la cybersécurité l’attention qu’il mérite au-delà des ordinateurs et des réseaux, y compris les systèmes de contrôle industriels et l’Internet industriel des objets. »

Plus sur ONEKEY.com

 

À propos de ONEKEY

ONEKEY (anciennement IoT Inspector) est la première plateforme européenne d'analyses automatiques de sécurité et de conformité pour les appareils de l'industrie (IIoT), de la production (OT) et de l'Internet des objets (IoT). À l'aide des "jumeaux numériques" et de la "nomenclature logicielle (SBOM)" des appareils créés automatiquement, ONEKEY analyse indépendamment le micrologiciel pour détecter les failles de sécurité critiques et les violations de conformité, sans aucun accès au code source, à l'appareil ou au réseau.

Articles liés au sujet

Les tueurs EDR constituent une menace sérieuse

Les tueurs EDR sont des outils malveillants qui désactivent le logiciel EDR des systèmes compromis. Cela les rend vulnérables à de nouvelles menaces. Le danger de ➡ En savoir plus

NIS2 – comment une infrastructure SaaS contribue

On estime que jusqu’à 40.000 2 entreprises allemandes seront concernées par la NISXNUMX à l’avenir. La directive vise à améliorer la cyber-résilience et ➡ En savoir plus

Architecture Zero Trust – Opportunités et risques

La confiance c'est bien, le contrôle c'est mieux : l'architecture Zero Trust bouleverse les modèles de sécurité traditionnels en vérifiant chaque accès. ➡ En savoir plus

25 ans avec de nombreux défis en matière de cybersécurité

À l’approche de l’an 2000, le monde de l’informatique et des affaires a observé avec inquiétude le tristement célèbre « bug de l’an 2 » – un ➡ En savoir plus

DeepSeek et Qwen sont les outils des hackers

Les criminels exploitent de plus en plus DeepSeek et Qwen. En utilisant des techniques de jailbreaking, ils créent leur contenu malveillant pour commettre des vols financiers et d'informations ➡ En savoir plus

Clés d'accès : une gestion efficace soutient les RSSI

Une nouvelle solution de gestion des clés de sécurité aide les organisations à sécuriser l’authentification. Il offre au service informatique un contrôle complet sur l'ensemble du cycle de vie ➡ En savoir plus

Voici les vulnérabilités de sécurité et les techniques d'attaque les plus importantes

Le nombre de vulnérabilités de sécurité signalées a augmenté de 2024 % en 38. Avec la dépendance croissante aux systèmes logiciels, ➡ En savoir plus

DORA : Comment les sociétés financières relèvent les défis

La loi sur la résilience opérationnelle numérique (DORA) a été adoptée pour faire face aux cybermenaces croissantes dans le secteur financier et pour ➡ En savoir plus

 

Messages RP
, , , , , , ,