Nous suivre Industrie Techno

IoT : près de 60% des objets connectés d'entreprise sont vulnérables aux cyberattaques, selon Palo Alto Networks

Kevin Poireault
Soyez le premier à réagir

Soyez le premier à réagir

IoT : près de 60% des objets connectés d'entreprise sont vulnérables aux cyberattaques, selon Palo Alto Networks

Les objets connectés médicaux sont particulièrement vulnérables aux cyberattaques, selon Palo Alto Networks.

Plus de la moitié des objets connectés utilisés dans le milieu professionnel sont potentiellement attaquables virtuellement, a conclu la firme cyber Palo Alto Networks. La faute à un manque de chiffrement des communications et de mise à jour de systèmes obsolètes.

Environ 98% du trafic des objets connectés utilisés dans un environnement professionnel ne sont pas chiffrés. C’est l’inquiétant constat rapporté le 10 mars 2020 par la société américaine de cybersécurité Palo Alto Networks après avoir testé 1,2 million d'appareils aux Etats-Unis, soit 73 milliards de communications, grâce à Zingbox, leur outil d’analyse dans le cloud racheté en septembre 2019 pour 75 millions de dollars.

Pire, 57% sont « vulnérables à des attaques de gravité moyenne à élevée », indique également le rapport. Le secteur de la santé est le plus critique pour les chercheur de l’Unit 42, l’équipe qui a mené l’étude au sein de Palo Alto Networks. Beaucoup de protocoles utilisés pour les communications entre équipements médicaux, comme DICOM, ont plus de dix ans et sont bardés de vulnérabilités. Les cyberassaillants l’ont bien compris et les ciblent de plus en plus.

Des systèmes d’exploitation obsolètes

« Sans compter que 83% des équipements d'imagerie médicale tournent sur des systèmes d'exploitations obsolètes », déplore Alex Hinchliffe, chercheur à l’Unit42. Ce dernier mentionne Windows 7, dont une partie du support technique n'est plus fourni par Microsoft depuis la mi-janvier 2020, ou encore Windows XP, encore plus ancien. Mais le problème peut venir d'autres systèmes d'exploitation, comme l'open source Linux « qui est la cible d'un grand nombre de cyberattaques, comme le botnet Mirai ou d'autres de ses ramifications », ajoute-t-il.

Un problème d’abord imputable aux fournisseurs de ces objets connectés, selon le spécialiste : « Les fabricants veulent être les premiers à commercialiser leurs produits et ne réfléchissent aux vulnérabilités et aux correctifs que dans un second temps, dans des versions ultérieures. »

Mais la vulnérabilité des appareils IoT vient aussi d’un manque de prise en compte de la cybersécurité dans les réseaux d’entreprises, poursuit Alex Hinchliffe : « Un certain nombre d'appareils n'ont pas été pensés pour être connectés à internet, et parfois ne le sont pas. Mais de nombreux réseaux d'entreprises sont peu sécurisés et les frontières entre les terminaux IT (ordinateurs), les appareils IoT et les machines utilisées pour les tâches opérationnelles - constituant ce qu'on appelle l'OT (operation technologies) - sont poreuses. »

De récent et timides progrès dans le chiffrement des communications

« L'industrie ressent le besoin croissant de connecter l'IT et l'OT car de plus en plus de responsables de l'atelier s'enquièrent des données de production - combien de voitures ont été assemblées, combien de gélules ont été fabriquées, détaille le chercheur. La segmentation entre IT et OT est donc indispensable, mais nous sommes seulement à l'aube d'une prise de conscience de cet impératif. Même nos clients qui ont mis en place des mesures de segmentation s'en sont tenus à séparer l'IT de l'OT à un seul endroit. La microsegmentation, elle, est encore très rare [technique qui consiste à isoler, virtuellement, chaque équipement d’un réseau, ndlr]. Elle est pourtant capitale. »

Des progrès sont à noter cependant, nuance le chercheur : le chiffrement des connexions à internet – qui agit non pas au niveau de l’objet lui-même ou entre les objets d’un même réseau mais sur la couche supérieure, soit entre le point d’accès du réseau et les serveurs internet, via les certificats SSL/TLS –  se généralise.

Mieux, « ici et là, on commence à voter des lois pour forcer les fabricants d'objets connecté à respecter un certain nombre de réglementations relatives à leur sécurité, à commencer par le chiffrement des communications en interdisant les mots de passe en dur dans le code de programmation intégré, conclut-il. C'est le cas en Californie, par exemple. »

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

La Banque publique d’investissement (Bpifrance) a opté pour la solution cloud d’Amazon pour stocker les données relatives[…]

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

Pour  bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Pour bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Plus d'articles