L’Internet des objets a mis à votre disposition une puissance de calcul sans précédent. Les bureaux modernes d’aujourd’hui disposent d’une connectivité en ligne pour tout, des commandes de température aux machines à café.
Cependant, ce méga réseau d’autoroutes de données nous expose également à de nouveaux défis de sécurité, que de nombreuses entreprises ont du mal à relever. Les appareils IoT non sécurisés représentent environ 26 % des violations de données, une augmentation rapide par rapport à 15 % en 2016. Et ce ne sont que les données des incidents signalés.
Les experts en sécurité affirment que de nombreuses entreprises ne sont même pas conscientes qu’elles ont été compromises. « Il n’y a que deux types d’entreprises : celles qui savent qu’elles ont été compromises et celles qui ne le savent pas », prévient Dmitri Alperovitch, ancien vice-président de McAfee Threat Research.
Ci-dessous, nous explorerons comment vos appareils IoT vous exposent aux cybercriminels et comment vous pouvez renforcer vos défenses contre les attaques.
Les vulnérabilités de votre entreprise
Appareils négligés
Les appareils de travail courants tels que les ordinateurs portables et les smartphones sont souvent au centre des programmes de sécurité des bureaux. Cependant, de nombreuses entreprises commettent l’erreur d’ignorer les appareils IoT apparemment simples et la sécurité des fournisseurs tiers, tels que votre partenaire de maintenance CVC. Les pirates ont volé des millions de détails de carte de crédit au géant américain de la vente au détail Target en passant par leurs systèmes de chauffage et de refroidissement. Les caméras de sécurité et numériques peuvent être utilisées comme points d’accès pour entrer dans le réseau.
Stratégies de sécurité non coordonnées
La plupart des entreprises ont adopté une approche en silo de la cybersécurité, en dirigeant les efforts les plus lourds vers les départements à haut risque qui détiennent des données sensibles, comme la finance, tout en laissant les départements jugés à faible risque développer leurs propres mesures de sécurité. Mais l’IoT distribue le risque à l’ensemble de l’entreprise, c’est pourquoi l’ancienne approche décentralisée met de nombreuses personnes en danger. Tout logiciel, utilisé par le marketing ou le juridique, est désormais un point d’entrée potentiel pour les criminels. Le matériel qui fonctionnait silencieusement en arrière-plan, comme les détecteurs de mouvement ou les jauges de température, est désormais un trou dans vos défenses.
Employés mal formés
La plupart des cyberattaques dévastatrices n’ont pas besoin d’utiliser un logiciel sophistiqué pour s’introduire dans votre réseau, la plupart d’entre elles sont réalisées à l’aide de l’ingénierie sociale. Les criminels de Wiley utilisent des e-mails d’apparence légitime pour voler des données sensibles de l’entreprise à des employés involontaires. Les attaquants ont également commencé à utiliser de nouvelles méthodes à mesure que les utilisateurs deviennent plus attentifs aux e-mails, tels que les appels malveillants ou les applications téléchargées via des appareils moins sécurisés tels que les smartphones personnels.
Mauvaises stratégies de réponse
La grande majorité des organisations au Royaume-Uni sont mal équipées pour gérer des cyberattaques à part entière. Les entreprises mettent en moyenne 3 semaines pour identifier une faille. Alors que la plupart disent avoir mis en place une stratégie de réponse, près de la moitié ne sont pas testés régulièrement – une préoccupation lorsque plusieurs appareils sont en ligne et que les cybercriminels ne cessent de développer des moyens d’exploiter le réseau.
Étapes de base pour se défendre contre les attaques
Sauvegardez vos données
La perte de vos données peut bloquer complètement vos opérations, coûter des millions de dollars en dommages et perdre des clients. Les sauvegardes sont essentielles. « En sauvegardant vos données, vous permettez à votre entreprise de continuer à fonctionner aussi près que possible, ce qui réduit le temps d’arrêt dont votre entreprise aura besoin », déclare Dave Blackhurst de la société de support informatique EvolvIT basée à Bristol.
Il existe plusieurs méthodes disponibles pour les PME aux budgets limités. L’un utilise des services basés sur le cloud. L’avantage des sauvegardes basées sur le cloud est qu’elles permettent aux entreprises d’augmenter rapidement leur capacité. Cependant, comme les données sont dans le cloud, la fonctionnalité de restauration dépend entièrement d’une connexion réseau solide, qui pourrait être affectée en cas de violation de données.
Une autre option serait de placer vos données sur une clé USB cryptée. Bien que la capacité puisse être plus limitée, les sauvegardes USB peuvent accélérer les opérations commerciales critiques par rapport aux solutions basées sur Internet. De plus, les propriétaires d’entreprise ont plus de contrôle sur qui et où se trouvent leurs données de sauvegarde.
Formez vos employés
La cybersécurité était gérée par le département. Avec les appareils IoT, la sécurité n’est plus seulement une responsabilité des gestionnaires de réseau, mais une initiative qui nécessite la conformité de tout le personnel. Votre confiance est aussi forte que les connaissances de votre employé le plus bas.
L’IoT oblige les entreprises à adopter une approche plus large et plus complète de la cybersécurité, qui comprend la formation de tout le personnel. De nombreuses attaques de phishing réussies ont commencé par de simples e-mails censés sonner l’alarme pour les employés avertis en matière de sécurité. Former tous les membres de l’entreprise à communiquer d’une manière qui ne peut pas être reproduite par un pirate informatique. Par exemple, en envoyant des messages « d’avertissement » internes pour les e-mails importants ou en essayant d’être uniques et détaillés dans leurs communications.
Les entreprises disposant d’une main-d’œuvre et de ressources plus importantes peuvent également exécuter des simulations réelles. Ces événements vous entraînent à réagir plus rapidement aux attaques réelles, en atténuant les dégâts. De plus, les simulations peuvent vous aider à affiner votre processus de documentation et à vous conformer à la politique stricte de déclaration de 72 heures du RGPD.
Envisagez de travailler avec un partenaire informatique
Les grandes entreprises peuvent dépenser des millions pour la cybersécurité. Cependant, les PME démarquées n’ont pas accès au même type de programmes. Même à un niveau de base, la sécurisation des données signifie l’application régulière de correctifs logiciels et la surveillance du réseau à la recherche d’activités suspectes – des activités que de nombreux propriétaires de petites entreprises n’ont ni le temps ni les compétences nécessaires pour effectuer.
Mais la menace de vol de données et de fraude est trop grande pour être ignorée, en particulier pour les PME. Plus de la moitié font faillite 6 mois après une attaque. Si vous ne pouvez pas engager votre propre responsable de la cybersécurité, faites confiance à un tiers de confiance. Vous aurez une équipe expérimentée et formée contre les derniers modes cybercriminels.
De plus, l’externalisation est un bon moyen de maintenir les coûts constants. « L’externalisation informatique sur une base mensuelle vous donne l’assurance que tous les problèmes informatiques sont couverts pour un tarif forfaitaire », déclare Blackhurst. Un tarif forfaitaire contribue à rendre la cybersécurité durable pour les petites et moyennes entreprises, ce qui est essentiel dans un environnement où les coûts de sécurité du réseau augmentent dans l’univers en pleine expansion des appareils IoT.