Anatomie d’une attaque IoT dans l’industrie
L’internet des objets met du temps à être adopté par les industriels. En cause ? Les risques présumés de sécurité qui lui sont associés. Il vous est indispensable de protéger vos informations confidentielles : fichiers ressources humaines, documents R&D, et autres.
Pour mieux comprendre comment vous prémunir de ces menaces, nous avons voulu nous mettre une nouvelle fois dans la peau d’un hacker. Comment piraterait-on votre propriété intellectuelle ?
Pirater votre propriété intellectuelle : le mode opérationnel
Votre propriété intellectuelle est votre bien le plus précieux. Si on vous vole ces informations, vous perdez votre avantage compétitif. Vous trouverez dans la vidéo ci-dessous le mode opérationnel d’un vol de vos données.
Pour résumé, voici les étapes de cette attaque IoT :
- Le hacker va sur le site web de votre entreprise
- Il clique sur les coordonnées de votre centre de recherche
- Il découvre les projets sur lesquels vous travaillez – ici les capteurs optiques pour les caméras d’une future voiture autonome
- Sur les réseaux sociaux, le hacker trouve les noms des ingénieurs travaillant dans ce centre de recherche
- Sur un moteur de recherche, il cherche le nom de plusieurs d’entre eux – il constate ici qu’ils sont associés à un club de bowling qui se réunit tous les mercredis
- Sur le site web du club de bowling, il réalise une attaque par injection de balise iframe, c’est-à-dire un exploit qui infecte tous les visiteurs d’un site web
- Un ingénieur se connecte sur le site web du bowling avec son ordinateur professionnel, qui se retrouve infecté par le virus du hacker
- Cet ingénieur se connecte au réseau de son entreprise avec son ordinateur, le virus infecte donc le réseau. L’équipe informatique supprimer le virus de l’ordinateur et scanne le réseau, tout semble réglé.
- Le virus du hacker a également infecté les thermostats, qui sont des objets connectés au réseau.
- Le hacker peut entrer dans le réseau en cherchant les identifiants et mots de passe standards du fabricant du thermostat.
- Il scanne le réseau et peut ainsi fouiller tous vos fichiers confidentiels. Pour les voler et les envoyer à votre concurrent.
Ce qu’il faut retenir : 3 astuces pour protéger votre réseau
Dans l’exemple présenté, plusieurs erreurs auraient pu être évitées, voici donc trois astuces pour vous prémunir des menaces liées à l’IoT.
1) Imposer une connexion sécurisée sur les ordinateurs de vos collaborateurs
Pour sécuriser les ordinateurs professionnels, les outils indispensables sont :
- Un client de sécurité VPN : afin de sécuriser la connexion Internet
- Un pare-feu de nouvelle génération : afin de bloquer instantanément les menaces
- Un système de sécurisation de la messagerie : afin de protéger votre réseau des emails malveillants
2) Changer les configurations standards des constructeurs (et les mettre à jour)
Il est indispensable de lister l’ensemble des objets connectés qui peuvent se connecter à votre réseau : ordinateurs, téléphones portables, montres connectées, thermostats, systèmes d’éclairage / ventilation / chauffage, caméras de surveillance, machines / automates, voitures connectées, systèmes de badges, capteurs, systèmes d’alarmes, ascenseurs, etc.
Et d’en gérer les droits d’accès, par des politiques de sécurité. Pour chaque objet qui se connecte, son mot de passe doit impérativement être modifié et mis à jour régulièrement.
3) Sécuriser l’intégralité de votre réseau, c’est-à-dire même les objets connectés
Certains objets n’ont pas été conçus initialement pour être connectés et ne sont donc pas armés contre les nouvelles générations de cyberattaques. Sécuriser chaque terminal serait une tâche ardue. C’est pourquoi, chez Cisco, nous vous proposons une solution pour sécuriser le réseau auquel se connectent vos objets : Cisco IoT Threat Defense.
L’internet des objets peut et doit être sécurisé afin que vous puissiez en tirer le meilleur parti. Si vous voulez en savoir plus sur comment sécuriser votre réseau IoT, rendez-vous sur notre page dédiée ou consultez notre livre blanc sur la sécurité globale dans l’industrie 4.0.
6 façons de se protéger contre les cyber-menaces de l’industrie 4.0
