Etude IoT : 95% des entreprises françaises déclarent devoir améliorer leur sécurité IoT

septembre 2020 par Palo Alto Networks

Ours en peluche et robots, cafetières/bouilloires, moniteurs cardiaques et équipements sportifs connectés, voitures connectées, consoles de jeu, une foule d’appareils se connectent régulièrement à des réseaux d’entreprise. Face à cette situation, les responsables IT/sécurité tirent la sonnette d’alarme et préconisent des mesures de grande ampleur pour éviter qu’ils ne servent de vecteurs de piratage des réseaux d’entreprise.

C’est ce qui ressort d’une nouvelle étude commandée par Palo Alto Networks sur les pratiques de sécurisation de l’Internet des objets (IoT). L’étude a permis d’interroger 1 350 décideurs informatiques dans 14 pays d’Asie, d’Europe, du Moyen-Orient et d’Amérique du nord.*

Les répondants (85% en France contre 90% au Royaume-Uni) signalent majoritairement une augmentation du nombre d’appareils IoT s’étant connectés à leur réseau l’année passée. Cette masse hétéroclite d’objets connectés – poubelles, ampoules électriques et distributeurs de gel nettoyant pour les mains, équipements de sport, consoles de jeu, par exemples – déclenche un signal d’alarme : en France 95% des sondés indiquent que leur approche de la sécurité a besoin d’améliorations conséquentes, voire d’un remaniement total (10 %).

« Certains appareils qui sont introduits en toute bonne foi par les employés sur le réseau de leur entreprise ne sont souvent pas conçus dans une optique de sécurité et peuvent se transformer en accès facilement exploitable aux informations et aux systèmes les plus importants de l’entreprise », explique Thierry Karsenti, Vice-Président EMEA Systems Engineering chez Palo Alto Networks.

Côté français, 21 % des sondés travaillant pour des entreprises d’au moins 1000 personnes ont déclaré ne pas avoir segmenté les appareils IoT pour les affecter à des réseaux distincts. 5% avouent ne pas avoir encore commencé à envisager la sécurité spécifique à l’IoT.

C’est pourtant une pratique fondamentale pour sécuriser les réseaux d’entreprise. 27 % des répondants français ont indiqué appliquer les bonnes pratiques de la micro-segmentation afin de confiner les appareils IoT à leurs propres zones de sécurité, soumises à des contrôles rigoureux. 45% des personnes interrogées déclarent que leurs appareils IoT sont segmentés sur un réseau distinct de celui qu’ils utilisent pour les appareils principaux et les applications métier clés :

« La visibilité est certes une bonne chose, mais en l’absence d’une segmentation correcte du réseau, les cybercriminels ont la voie libre. Ils pourront éviter facilement tous les obstacles et accéder aux données et aux processus métier critiques. Nous devons nous mettre à l’œuvre pour trouver une solution à cette lacune étonnamment importante dont souffre la stratégie de sécurité de l’IoT », ajoute Thierry Karsenti.

« Les réseaux traditionnels sont mal équipés pour supporter la montée en charge induite par l’adoption des appareils IoT. Des standards de comportement des appareils doivent être établis pour aider à arrêter les activités malveillantes. Par exemple, si un thermostat connecté commençait à transmettre des gigaoctets de données à un site inconnu, cela déclencherait un signalement », a déclaré Tanner Johnson, analyste senior en cybersécurité chez Omdia. »

« Il est frappant de constater que si les entreprises sont probablement conscientes du problème, nombre d’entre elles ont été lentes ou totalement réticentes à prendre des mesures pour y remédier », précise Tanner Johnson. « C’est dommageable, car les risques introduits par les appareils IoT non sécurisés représentent le plus grand paysage de cybermenaces auquel nous n’ayons jamais assisté. »

Palo Alto Networks a publié cette étude pour mettre en évidence les menaces sur la sécurité liées à l’essor des appareils connectés à Internet. Business Insider Intelligence prévoit qu’il y aura plus de 41 milliards d’appareils IoT en 2027, soit 8 milliards de plus que l’an dernier.

L’Unit 42 a constaté qu’en juin, 57 % des appareils IoT dans les réseaux américains qu’il avait examinés étaient vulnérables à des attaques d’une gravité moyenne à élevée. Les chercheurs de l’Unit 42 ont également effectué un suivi des malwares qui ciblent les appareils IoT et ont découvert des failles dans divers appareils tels que les caméras IP, les routeurs chez les particuliers et les unités de stockage.

Principales conclusions :

Appareils inattendus détectés sur les réseaux d’entreprise

· Une poubelle, un distributeur de gel nettoyant pour les mains, tasses à café connectées, etc.

· Au-delà, les sondés révèlent les différents appareils identifiés sur leur réseau d’entreprises. En France par exemple, ils déclarent des petits appareils de cuisine connectés tels que les bouilloires, machines à café (40% contre 22% au Royaume-Uni et 52% aux Pays-Bas). Un tiers (33%) des répondants français ont détecté des équipements sportifs (home trainer, rameurs, cordes à sauter). 28% ont détecté des consoles de jeu et chose plus surprenante, 46% ont détecté des jouets (ours/peluches et robots) connectés de bureau.

A l’échelle mondiale, la quasi-totalité des répondants déclarent que leur entreprise a besoin d’améliorer son approche de la sécurité IoT

· 17 % disent avoir besoin d’un remaniement complet (contre 10% en France)

· 41 % veulent effectuer un très grand nombre d’améliorations (contre 44% en France et seulement 25% aux Pays-Bas)

· 38 % pensent avoir besoin de quelques améliorations (contre 41% en France et 57% aux Pays-Bas)

Les bonnes pratiques ne sont pas assez répandues

· Dans le monde, une entreprise sur cinq (21%) seulement utilise la micro-segmentation pour confiner les appareils IoT à leurs propres zones de sécurité, soumises à des contrôles rigoureux.

Quelques informations/secteurs à l’échelle globale

Secteur financier : En ce qui concerne la sécurité de l’IoT, le secteur financier reconnaît qu’il reste beaucoup à faire sur la sécurité de l’IoT, un répondant sur deux déclarant qu’il fallait une amélioration majeure.

o 50% ont déclaré qu’une amélioration majeure était nécessaire (révision complète 8% + amélioration significative 42%)

o Bien que plus de la moitié des répondants des services financiers (72%) déclarent segmenter leurs réseaux, et plus d’un quart (27%) ne segmentent pas leurs appareils IoT sur un réseau distinct de celui qu’elles utilisent pour les appareils principaux et les applications métier clés (système RH, serveur de messagerie, système financier, etc.).

Secteur industriel :

o Plus de la moitié des répondants du secteur industriel (75%) disent qu’ils segmentent leurs réseaux

o Un sur cinq (24%) ne segmentent toujours pas leurs appareils IoT sur un réseau distinct. En ce qui concerne la sécurité de l’IoT, le secteur industriel reconnaît qu’il reste beaucoup à faire. En effet, un répondant sur deux déclarant qu’il fallait une amélioration majeure et même une refonte complète (plus d’un sur dix, 12%), 52% de grande amélioration (révision complète 12% + amélioration significative 40%)

Quelques résultats pour la zone EMEA :

o Les répondants de la zone EMEA sont aussi convaincus que ceux des autres régions qu’ils disposent de la visibilité de tous les appareils IoT sur leurs réseaux (par exemple : EMEA 92% contre 96% en Amérique du Nord)

o Les répondants de la zone EMEA estiment qu’ils ont un peu moins à faire en matière de stratégie de sécurité IoT que l’Amérique du Nord (92% des personnes interrogées dans la zone EMEA ont déclaré devoir améliorer leur stratégie, contre 95% des personnes interrogées en Amérique du Nord).

o Au sein de la région EMEA, les organisations de certains pays exigent moins d’amélioration de leur sécurité IoT que d’autres. Si plus de la moitié des répondants en France (54%), en Allemagne (52%) et au Royaume-Uni (51%) pensent qu’une amélioration majeure est nécessaire, seuls 35% des répondants néerlandais indiquent qu’une amélioration majeure est nécessaire.

o Au sein de la région EMEA, les organisations de certains pays sont moins concernées que d’autres. France (54%), Allemagne (52%), Royaume-Uni (51%) et, dans une assez large mesure, Pays-Bas (35%). En effet, les répondants néerlandais ont le pourcentage le plus élevé indiquant que peu d’amélioration est nécessaire - 57%.

o Plus d’un répondant allemand sur dix (13%) déclare qu’une refonte complète est nécessaire

o La marge d’amélioration se dessine plus précisément lorsque vous demandez où les entreprises de la zone EMEA se voient dans la mise en œuvre de la sécurité IoT. La vulnérabilité des entreprises britanniques est suggérée par le fait que 43% ne segmentent pas les appareils IoT sur un réseau distinct de celui qu’elles utilisent pour les appareils principaux et les applications métier clés (système RH, messagerie serveur, système financier, etc.). Cela se compare défavorablement aux organisations néerlandaises, avec seulement 19% ne faisant état d’aucune segmentation et la plupart des organisations néerlandaises segmentant ou micro-segmentant (81%).

o Les répondants britanniques sont moins susceptibles de trouver des équipements sportifs connectés que les autres pays (18% UK contre 30% en zone EMEA). Les voitures connectées sont moins susceptibles d’être connectées à un réseau britannique (14% contre 24% en EMEA).

* Méthodologie de l’enquête :

Palo Alto Networks a demandé à Vanson Bourne, un cabinet d’études de marché spécialisé dans les technologies, de réaliser une enquête sur les pratiques de sécurité IoT. Vanson Bourne a interrogé 1350 décideurs informatiques dans 14 pays d’Asie, d’Europe, du Moyen-Orient et d’Amérique du nord.