#TheInternetofThings: Lorsque votre machine à laver et votre tensiomètre deviennent une cible pour les cyberattaques

L'Internet des objets est un écosystème large et diversifié où les dispositifs et services interconnectés collectent, échangent et traitent des données afin de s'adapter dynamiquement à un contexte. En termes plus simples, cela rend nos caméras, télévisions, machines à laver et systèmes de chauffage `` intelligents '' et crée de nouvelles opportunités pour la façon dont nous travaillons, interagissons et communiquons, et comment les appareils réagissent et s'adaptent à nous.

Il est important de comprendre comment ces appareils connectés doivent être sécurisés et de développer et mettre en œuvre des mesures de sécurité adéquates pour protéger l'Internet des objets contre les cybermenaces. Au-delà des mesures techniques, l'adoption de l'IdO a soulevé de nombreux nouveaux défis juridiques, politiques et réglementaires, de portée large et complexe. Afin de relever ces défis, la coopération entre différents secteurs et entre différentes parties prenantes est essentielle.

Le risque de `` militarisation '' par des criminels d'appareils IoT non sécurisés a déjà été identifié dans les éditions 2014 et 2015 d'Europol sur Internet Organized Crime Threat Assessment et dans le rapport 2016 de l'ENISA sur le paysage des menaces. C'est devenu une réalité fin 2016 avec plusieurs attaques DDoS d'une ampleur sans précédent provenant du botnet Mirai. Il faut supposer que les cybercriminels développeront de nouvelles variantes et élargiront la variété des appareils IoT affectés par ce type de malware.

Cette conférence conjointe Europol-ENISA, la première sur le sujet, a été l'occasion pour toutes les parties prenantes concernées de se réunir, de discuter des défis rencontrés et d'identifier les solutions possibles, en s'appuyant sur les initiatives et les cadres existants. Un accent particulier était mis sur le rôle des forces de l'ordre dans la réponse à l'abus criminel de l'IdO.

La réunion de deux jours a témoigné de la volonté de tous les acteurs internationaux concernés de veiller à ce que les nombreux avantages de l'IdO puissent être pleinement réalisés en s'attaquant conjointement aux problèmes de sécurité et en luttant contre les abus criminels de ces dispositifs, faisant en fin de compte du cyberespace un endroit plus sûr. pour tous.

Les principales conclusions de la conférence sont:

Publicité

• La nécessité d'une coopération accrue et d'un engagement multipartite pour traiter l'interopérabilité, ainsi que les problèmes de sécurité et de sûreté, en particulier à la lumière des développements émergents tels que l'industrie 4.0, les véhicules autonomes et l'avènement de la 5G.
• Comme la sécurisation du périphérique final est souvent techniquement difficile et coûteuse à réaliser, l'accent doit donc être mis sur la sécurisation de l'architecture et de l'infrastructure sous-jacente, en créant la confiance et la sécurité sur différents réseaux et domaines.
• Il est nécessaire de créer des incitations plus fortes pour résoudre les problèmes de sécurité liés à l'IoT. Cela nécessite de parvenir à un équilibre optimal entre opportunité et risque dans un marché où la haute évolutivité et le court délai de mise sur le marché dominent, en positionnant la sécurité comme un avantage commercial distinctif et en la plaçant au cœur du processus de conception et de développement.
• Pour enquêter de manière efficace et efficiente sur les abus criminels de l'IdO, la dissuasion est une autre dimension qui nécessite une coopération étroite entre les forces de l'ordre, la communauté CSIRT, la communauté de la sécurité ainsi que le pouvoir judiciaire.
• Cela crée un besoin urgent pour les forces de l'ordre de développer les compétences techniques et l'expertise nécessaires pour lutter avec succès contre la cybercriminalité liée à l'IoT.
• Ces efforts doivent être complétés par une sensibilisation des utilisateurs finaux aux risques de sécurité des appareils IoT.
• En tirant parti des initiatives et des cadres existants, une approche à plusieurs volets combinant et complétant les actions au niveau de la législation, de la réglementation et des politiques, de la normalisation, de la certification / étiquetage et au niveau technique est nécessaire pour sécuriser l'écosystème IoT.
• L'une des principales observations de la conférence est l'importance des bonnes pratiques de base pour relever ces défis de sécurité de l'IdO. Dans les mois à venir, l'ENISA publiera son rapport «Baseline Security Recommendations for IoT», comblant le fossé dans ce domaine.

Le directeur exécutif d'Europol, Rob Wainwright, a déclaré: «Les cybercriminels s'adaptent rapidement aux nouvelles technologies et les exploitent. Ils trouvent de nouvelles façons de victimiser et d'affecter la vie des gens et d'envahir leur vie privée, soit en collectant ou en manipulant des données personnelles, soit en s'introduisant virtuellement dans des maisons intelligentes . L’Internet des objets n’est pas seulement là pour durer, mais devrait s’étendre considérablement à mesure que de plus en plus de ménages, de villes et d’industries se connectent. Les appareils IoT non sécurisés deviennent de plus en plus des outils de cybercriminalité. Nous devons agir maintenant et travailler ensemble pour résoudre les défis de sécurité qui accompagnent l'IoT et pour garantir le plein potentiel. "

Le directeur exécutif de l'ENISA, le professeur Udo Helmbrecht, a également déclaré: «La révolution IoT commence à transformer notre vie personnelle et les infrastructures que nous utilisons régulièrement, telles que les maisons intelligentes, l'énergie intelligente et la santé intelligente. Les fabricants et les opérateurs de ces appareils ont besoin garantir que la sécurité dès la conception a été intégrée dans leur sélection et leur déploiement. L'ENISA est heureuse de travailler en étroite collaboration avec Europol pour informer les principales parties prenantes du rôle important que l'IdO joue et de la nécessité d'être conscient de la cybersécurité et de la criminalité aspects associés au déploiement et à l’utilisation de ces dispositifs ».