Dans le rapport sur la sécurité de l'IoT 2022, les experts en informatique demandent une nomenclature (SBOM) pour les logiciels des appareils : les contrôles industriels, la production et la maison intelligente sont souvent "insuffisamment" protégés contre les pirates. Les experts exigent une preuve de tous les composants logiciels utilisés.
Shampoing, biscuits, soupes en conserve et médicaments ont une chose en commun : la liste de tous les ingrédients sur l'emballage et leur traçabilité du fabricant au producteur de l'ingrédient individuel. Les commandes industrielles intelligentes importantes, les systèmes de production intelligents et les appareils tels que les routeurs, les caméras réseau, les imprimantes et bien d'autres apportent leur firmware directement avec le système d'exploitation et les applications - sans preuve précise des composants logiciels contenus. Cela signifie souvent d'immenses risques d'attaque par des pirates et des voleurs de données dans les entreprises qui utilisent ces contrôles et dispositifs.
Qu'y a-t-il à l'intérieur des routeurs, réseaux & Co ?
Dans le cadre de l'étude "IoT Security Report 2022", 75% des 318 spécialistes et managers de l'industrie informatique interrogés sont favorables à une vérification précise de tous les composants logiciels, la soi-disant "Software Bill of Materials" (SBOM) pour tous les composants, y compris tous les logiciels inclus d'un terminal. "Dans le cadre de nos investigations de ces dernières années, pratiquement tous les appareils connectés à un réseau présentent des défauts cachés dans le firmware et les applications, dans une plus ou moins grande mesure, c'est pourquoi une description précise des composants logiciels est extrêmement importante pour un informatique de l'entreprise afin de vérifier et de maintenir le niveau de sécurité », déclare Jan Wendenburg, PDG de ONEKEY (anciennement IoT Inspector). L'entreprise a développé une analyse de sécurité et de conformité entièrement automatique pour les logiciels de contrôle, les systèmes de production et les appareils intelligents et la met à disposition en tant que plate-forme facile à intégrer pour les entreprises et les fabricants de matériel.
Les fabricants négligent la sécurité
Il n'y a donc pas beaucoup de confiance dans la protection des appareils IoT par les fabricants : 24% des 318 personnes interrogées la jugent "insuffisante", 54% supplémentaires tout au plus "partiellement suffisante". Les pirates surveillent donc depuis longtemps les appareils vulnérables - et la tendance est à la hausse. 63 % des experts en informatique confirment que les pirates utilisent déjà les appareils IoT comme passerelle vers les réseaux. Dans les entreprises en particulier, la confiance dans les mesures de sécurité relatives à l'IoT est faible : seul un quart des 318 personnes interrogées considèrent que la sécurité complète est garantie par leur propre service informatique, tandis que 49 % la considèrent comme "partiellement suffisante". Et 37 % des professionnels de l'informatique interrogés pour le rapport 2022 sur la sécurité de l'IoT ont déjà eu des incidents liés à la sécurité avec des terminaux qui ne sont pas des clients PC normaux.
La fabrication connectée augmente les risques
« Le risque augmente encore plus à mesure que la production en réseau continue de se développer. En général, on peut s'attendre à ce que le nombre d'appareils en réseau double dans quelques années », déclare Jan Wendenburg de ONEKEY. En plus de la plate-forme d'analyse automatique pour vérifier le micrologiciel de l'appareil, l'entreprise exploite également son propre laboratoire de test, dans lequel le matériel des principaux fabricants est testé et des rapports de vulnérabilité, appelés avis, sont publiés régulièrement.
Des responsabilités peu claires dans les entreprises
Autre risque : le contrôle industriel, les systèmes de production et autres terminaux d'infrastructure intelligente sont souvent utilisés pendant plus de dix ans. Sans stratégies de conformité, cependant, il n'y a généralement pas de directives de mise à jour dans l'entreprise. De plus, il existe souvent une situation très floue en matière de responsabilité : parmi les 318 représentants d'entreprises interrogés, une grande variété de personnes et de départements sont responsables de la sécurité de l'IoT. L'éventail va de CTO (16 %) à CIO (21 %), de Risk & Compliance Manager (22 %) à IT Purchasing Manager (26 %). Dans 21 % des entreprises, des consultants externes prennent même en charge l'achat d'appareils et de systèmes IoT.
D'autre part, seuls 23 % effectuent le contrôle de sécurité le plus simple - une analyse et un test du micrologiciel inclus pour détecter les failles de sécurité. "C'est de la négligence. Un examen du logiciel de l'appareil prend quelques minutes, le résultat fournit des informations claires sur les risques et leur classification en niveaux de risque. Ce processus devrait faire partie du programme obligatoire avant et pendant l'utilisation des terminaux - du routeur à la machine de production », résume Jan Wendenburg de ONEKEY.
Plus sur Onekey.com[UNE CLÉ]