BLOG

Cession du contrôle de l'IoT au nom de la sécurité

Miniature de Lori MacVittie
Lori MacVittie
Publié le 21 septembre 2017

Nous sommes, je pense que l’on peut dire sans se tromper, universellement enthousiasmés par la technologie. Le banal se transforme en magique par la simple introduction de la technologie. Bien sûr, l’effet de nouveauté s’estompe au bout d’un certain temps, mais à ce moment-là, une autre tâche devient contrôlable via un appareil ou un téléphone et le cycle recommence.

La réalité est que la plupart des gens ne gèrent pas leurs appareils (en nombre croissant) comme le service informatique gère les systèmes. Même pas les informaticiens. Vous vous souvenez de cette enquête Tripwire qui a révélé que « trente pour cent des professionnels de l’informatique et 46 % des travailleurs interrogés ne changent même pas le mot de passe par défaut de leurs routeurs sans fil » ? C'est légèrement plus élevé que les recherches révélant que « 40 % des Américains ont déclaré qu'ils étaient trop paresseux, trouvaient cela trop gênant ou qu'ils ne se souciaient pas vraiment… »5 de suivre les recommandations de sécurité de base.

Il n’est donc pas surprenant que, poursuivis par les professionnels de la sécurité et critiqués par la presse spécialisée, les fabricants d’IoT orientés vers le grand public semblent au moins intensifier leur jeu. Les mises à jour automatiques, les correctifs et les correctifs peuvent être diffusés régulièrement sur les appareils connectés avec la simplicité d'une case à cocher.

Les consommateurs, au moins, cèdent le contrôle aux fabricants qui promettent de protéger leurs appareils des attaquants.

 

Voilà, c'est l'espace consommateur . Jusqu’à présent, ce type de comportement semble être interdit dans l’entreprise, même en ce qui concerne les appareils IoT. Il est certain que les entreprises continueront à garder le contrôle de ces choses dans un avenir prévisible. Après tout, le rayon d’explosion d’une mise à jour qui tourne mal est assez important à l’intérieur du centre de données.

je m'en fiche, temps passé dessus

Mais cela n’est pas évolutif, et nous savons très bien, grâce à nos propres recherches et à notre examen de Shodan.io, qu’un pourcentage assez important d’appareils IoT au sein des organisations sont non seulement exposés à Internet, mais vulnérables.

Et s'ils sont vulnérables, cela signifie qu'il devrait y avoir (peut-être y a-t-il ?) un correctif disponible. Mais si ces deux affirmations étaient vraies, ne verrions-nous pas moins d'appareils disponibles pour le recrutement en tant que thingbot ?

Compte tenu d'une étude IDC réalisée il y a deux ans, qui estimait que les correctifs, les mises à jour et les installations consommaient 20,7 % de la semaine pour un employé informatique moyen, il ne semble pas possible qu'ils parviennent, même avec l'automatisation, à gérer le doublement prévu du nombre d'appareils (de 9 259 appareils aujourd'hui à 18 631 ) au cours des deux prochaines années.

Alors, que faire ?

La question à laquelle nous devons répondre est la suivante : encourageons-nous les fabricants à aller jusqu’au bout et à mettre à jour automatiquement leurs appareils qui résident dans l’entreprise ? Parce qu’il est quelque peu injuste de les blâmer sans reconnaître que la lassitude vis-à-vis des correctifs et le manque de personnel peuvent empêcher l’application de ces correctifs en premier lieu. Comme le soulignent d’autres recherches intéressantes de Tripwire : « En 2015, plus de 6 000 nouveaux CVE ont été attribués. Si seulement un dixième de ces vulnérabilités affectaient les appareils de votre zone de responsabilité, vous auriez été responsable de la résolution de 630 vulnérabilités par an, soit 2,5 vulnérabilités par jour ouvrable.

Cela représente beaucoup de vulnérabilités à traiter. Beaucoup, un nombre correspondant de patchs.

Malheureusement, ce n’est pas parce qu’un correctif est publié qu’il est appliqué immédiatement. Comme le souligne l'enquête Tripwire, « l'un des éléments clés qui affecte le temps nécessaire au déploiement des correctifs est le test. Il a été demandé aux personnes interrogées si elles testaient les correctifs avant leur déploiement, et 47 % ont répondu qu'elles le faisaient pour les ordinateurs de bureau et 55 % pour les serveurs . Lorsque vous examinez en détail le temps nécessaire pour mettre en production un correctif de sécurité, vous découvrez des données alarmantes. À savoir, 93 % des répondants font tester et déployer les correctifs de sécurité en moins d’un mois.

Pas mal, compte tenu du nombre de systèmes et des vulnérabilités correspondantes auxquels une entreprise moyenne ou grande est confrontée.

Mais considérez un instant que lorsque CVE-2017-8225 – affectant un seul fabricant chinois de caméras IP – a été annoncé, il a fallu moins de deux mois pour que plus de 600 000 caméras soient infectées par Persirai . Cela représente 10 000 appareils par jour. Ce qui veut dire qu'un mois est un mois de trop. Et ce n’était qu’une des vulnérabilités.

Alors que l’IoT envahit l’entreprise sous la forme de davantage de capteurs et de moniteurs, et qui sait quels sont ceux qui sont accessibles et souvent vulnérables, comment l’informatique peut-elle suivre le rythme ? Pourra- t-il suivre le rythme, même avec l’automatisation de son côté ?

Ma question est donc : le feriez-vous ? Céderiez-vous le contrôle des appareils IoT si (et je sais que c’est un gros si, mais jouez le jeu pour le bien de la découverte) les fabricants prenaient leurs responsabilités et assumaient davantage la responsabilité du maintien de la sécurité de leurs appareils ?

Vous pouvez répondre à cette question (et voir ce que vos pairs pensent) ici . Allez-y, faites entendre votre voix !