En novembre 2017, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a publié une étude intitulée « Baseline Security Recommendations for the Internet of Things in the context of critical information infrastructures ». Cette étude a principalement pour objectif de prodiguer aux entreprises d’Europe des conseils pour la sécurité de l’Internet des objets (IoT) en prenant en compte des facteurs tels que la complexité des infrastructures critiques, les cyber-menaces existantes et les solutions disponibles pour la protection de systèmes comme l’IoT. Kaspersky Lab, en sa qualité de membre du groupe d’experts IoTSEC de l’ENISA, a participé à l’élaboration du rapport en formulant ses propres recommandations.
Une multiplication des menaces liées à l’IoT qui témoignent d’un réel besoin de sécurité
Selon une étude de Kaspersky Lab, les incidents impliquant des équipements non informatiques connectés font partie du trio de tête des incidents ayant les conséquences financières les plus lourdes, que ce soit pour les PME ou les grandes entreprises. Pour faire face à la multiplication des menaces liées à l’IoT et fédérer les compétences en matière de cybersécurité, l’ENISA a réuni un panel d’éminents représentants de plusieurs leaders du marché, parmi lesquels des spécialistes de Kaspersky Lab, afin d’établir des conseils d’experts pour la protection de infrastructures critiques. Dans le cadre de son rapport « Baseline Security Recommendations for IoT », l’Agence a publié des préconisations destinées aux institutions européennes, aux fabricants de matériel pour l’IoT et aux développeurs de logiciels.
« Kaspersky Lab possède une vaste expertise dans le domaine de la sécurité des infrastructures critiques. Nous pensons que notre contribution aux recommandations de l’ENISA pour la sécurité de l’IoT va aider les entreprises à élaborer des stratégies de cybersécurité plus efficaces et les législateurs à concevoir des réglementations hautement pertinentes face aux cybermenaces modernes », commente Andrey Doukhvalov, responsable des technologies du futur et Chief Strategy Architect chez Kaspersky Lab.
Des recommandations aux professionnels du secteur pour rendre l’IoT moins vulnérable
Les experts IoTSEC de Kaspersky Lab ont adressé leurs recommandations sur deux fronts – aux responsables politiques européens et aux concepteurs de matériel et logiciels pour l’IoT. A l’attention des responsables politiques européens, ils formulent les conseils suivants :
- Se focaliser sur des recommandations, directives et exigences de certification sectorielles plutôt que sur des approches globales
- Instaurer une normalisation dans l’ensemble de l’UE et définir une terminologie et une taxonomie de l’IoT à l’échelle européenne pour des normes internationales de cybersécurité
- Coopérer activement avec les entreprises et associer le secteur privé à la définition des politiques en s’appuyant sur des associations et groupes industriels existants tels que l’AIOTI
- Mettre en place un système de défense à plusieurs niveaux contre les cybermenaces, extrêmement pertinent pour les équipements IoT
Pour ceux qui travaillent directement avec les systèmes IoT, les experts de Kaspersky Lab conseillent les précautions suivantes afin d’en renforcer la sécurité :
- Veiller à ce que tous les employés actualisent et valident constamment leurs connaissances et compétences en cybersécurité
- Assurer l’interopérabilité des données avec un système fiable et automatique de correctifs. Les fabricants de matériel et développeurs de logiciels IoT doivent adopter des politiques de gestion du risque pour leur chaîne logistique et communiquer leurs exigences de cybersécurité à leurs fournisseurs et partenaires
- Procéder à un examen du code au cours du processus de mise en œuvre afin de réduire le nombre de bogues dans la version finale d’un produit, tout en identifiant toute tentative d’intrusion malveillante ou de contournement de l’authentification
La liste complète des conseils pour la protection des infrastructures critiques de l’IoT figure dans l’étude de l’ENISA.