Secu
Combattre les menaces cachées des assets connectés non managés
Par La rédaction, publié le 12 octobre 2023
La transformation numérique a conduit à une explosion des appareils connectés, allant bien au-delà de ce que nous associons traditionnellement à l’IoT. Mais comment sécuriser ces assets connectés, en particulier ceux qui sont non managés ?
Par Yevgeny Dibrov, CEO & cofounder, Armis
Le monde des affaires a fondamentalement évolué. Plus agiles, les organisations ont adopté une approche cloud first et elles ont depuis longtemps intégré la transformation numérique à chaque étape de la chaîne de valeur pour accomplir davantage avec moins de ressources et être plus responsable. Cette stratégie nécessite l’intégration de nouveaux assets connectés et la gestion de nouvelles technologies.
Nous estimons que le nombre d’objets connectés atteindra les 75,66 milliards d’appareils d’ici 2025, contre 26,66 milliards en 2019. Cependant, ces actifs connectés englobent bien plus que ce que l’on associe traditionnellement à l’IoT. En effet, de nos jours, les assets connectés tout-en-un comprennent à la fois le hardware et le software : technologies opérationnelles (OT), systèmes de contrôle industriel (ICS), dispositifs médicaux connectés (IoMT), IT, cloud, 5G et bien plus encore.
Certains de ces assets sont managés, c’est-à-dire qu’un agent y est déjà installé, à l’instar des ordinateurs et des Smartphones. D’autres assets sont connectés à Internet et utilisés sur les réseaux d’entreprise, mais ne disposent pas d’agent de sécurité et sont donc non managés (par exemple, les IRM, les interrupteurs connectés, les thermostats contrôlés à distance, etc.).
Maîtriser à la fois les assets managés mais aussi ces assets « cachés » non managés est indispensable au bon fonctionnement de tout programme de sécurité, quelle que soit la taille de l’organisation, mais particulièrement pour les grandes entreprises qui ont davantage de points d’exposition. Voici ce que les chefs d’entreprise doivent savoir lorsqu’ils cherchent à améliorer leur posture de sécurité globale en gardant ces assets non managés au centre de leurs préoccupations.
Les défis posés par les assets non gérés
Les assets non managés peuvent laisser d’importantes failles en matière de sécurité s’ils ne sont pas pris en compte dans la gestion active de la sécurité.
Comme mentionné précédemment, ces assets ne permettent généralement pas l’installation d’agents de sécurité traditionnels. En l’absence de ces agents, les équipes IT et sécurité ne peuvent pas identifier ce qui est connecté au réseau de l’entreprise, ce qui signifie qu’elles n’ont aucune visibilité sur les assets présents dans leur environnement IT, et donc aucune information sur le comportement de ces technologies. Cela complexifie considérablement la tâche : gérer des assets que l’on ne peut pas voir rend la prévention, la détection et la réponse aux incidents mille fois plus difficiles.
Un autre défi majeur réside dans le fait que certains appareils ne peuvent pas être patchés, que ce soit à cause de l’indisponibilité de patchs ou de l’utilisation de technologies obsolètes encore en usage bien après leur date de fin de vie initialement prévue. Et qu’en est-il des politiques de divulgation de vulnérabilités (VDP) bien intentionnées ? Une arme à double tranchant, car les VDP constituent une cible de choix pour les acteurs de la menace, qui alignent leur viseur en conséquence.
Compte tenu de ces défis, on comprend mieux pourquoi les responsables de la sécurité ont du mal à dormir la nuit.
À LIRE AUSSI :
La sécurité doit être intégrée dans le processus de transformation digitale
Chaque entreprise à l’échelle mondiale est vulnérable aux menaces liées à cette nouvelle et vaste surface d’attaque créée par les assets connectés, en particulier ceux qui ne sont pas managés et donc plus susceptibles de ne pas être surveillés. Si la sécurité n’est pas prise en compte dès le départ et que la posture de cybersécurité d’une organisation se voit affaiblie, à quoi bon disposer de tous ces nouveaux outils rutilants ? Acquérir ces nouvelles technologies ne suffit pas : c’est la gestion et la mise en place de mesures de sécurité adaptées qui assurent un succès organisationnel durable.
Maîtriser ces assets est impératif. Et bien que ce soit difficile, ce n’est pas impossible avec les outils adaptés, la formation continue des équipes IT et la sensibilisation à la sécurité.
Des outils et des hommes
En premier lieu, les équipes IT doivent accorder la plus haute importance à la visibilité en identifiant l’intégralité des assets connectés à leur environnement IT, qu’ils soient gérés ou non, et utiliser ces informations pour mettre à jour leur inventaire d’assets numériques. Parallèlement, les équipes IT doivent maintenir une surveillance continue et en temps réel de leurs inventaires, afin de refléter la véritable nature de ce qui est connecté à leurs réseaux à tout moment. Dans un monde des affaires en constante évolution, cela s’avère essentiel, car les assets au sein de l’inventaire IT connaîtront des variations fréquentes.
Les outils offrant une visibilité complète aideront les responsables sécurité à sécuriser ces terminaux pour une meilleure gestion des vulnérabilités, des réponses aux incidents et une hiérarchisation plus immédiate de ceux qui nécessitent leur attention. De plus, lorsque cela s’avère nécessaire, les responsables IT peuvent aisément isoler les appareils suspects ou malveillants en les déconnectant ou en les mettant en quarantaine.
À LIRE AUSSI :
La formation continue
Les acteurs malveillants sont persévérants et de plus en plus sophistiqués dans leurs attaques. C’est pourquoi les professionnels IT doivent constamment garder une longueur d’avance afin de défendre efficacement leur organisation. Il est donc impératif d’assurer une formation continue et régulière sur les meilleures pratiques de sécurité et les stratégies à mettre en œuvre pour les équipes IT.
Par exemple, votre réseau est-il segmenté en plusieurs sous-réseaux pour garantir des barrières de sécurité en cas d’accès non autorisé à un asset connecté ? La connaissance et la mise en œuvre de cette stratégie peuvent immédiatement couper court à toute intrusion d’un attaquant s’il parvient à contourner un lecteur de badge ou une caméra de sécurité, l’empêchant ainsi de se déplacer latéralement pour atteindre et potentiellement perturber des assets critiques à la stratégie de l’entreprise : par exemple, un dispositif médical connecté qui contribue à sauver des vies ou un système de contrôle industriel (ICS) garantissant la sécurité et l’efficacité de la production alimentaire ou pharmaceutique.
Dans le cadre de leur formation continue, les membres de l’équipe IT doivent se tenir informés. Quelles sont les actualités récentes du secteur qui indiquent les tendances à venir ? Quels sont les cours et webinaires à suivre pour rester à la pointe ? Quels sont les événements majeurs du secteur IT offrant le plus de perspectives d’apprentissage et de réseautage pour encourager la collaboration des membres de l’équipe IT au-delà de leur propre organisation ?
La sensibilisation à la cybersécurité
Il n’y a pas de configuration « set and forget » en cybersécurité. Par conséquent, la sensibilisation à la sécurité doit être inculquée à l’ensemble de l’organisation, afin que tous les employés, quel que soit leur affectation, comprennent l’impact de leurs actions et de leurs domaines respectifs sur la posture globale de cybersécurité de l’entreprise. Cela implique la mise en place d’un dialogue ouvert entre les départements, de sorte que lorsqu’un chef de service installe un nouveau téléviseur connecté, il sait automatiquement qu’il doit en informer le service IT. Cette démarche garantit l’installation du logiciel le plus récent et la surveillance de cet appareil par le service IT dans le cadre de son inventaire des assets. En l’absence de cette sensibilisation à la sécurité, les silos de données et les lacunes en matière de communication peuvent créer des vulnérabilités inutiles. La cybersécurité doit toujours rester au centre des préoccupations de chaque membre de l’équipe.
À mesure que de nouvelles technologies s’ajoutent à notre arsenal d’outils, les professionnels de la sécurité ont l’opportunité d’évoluer et d’innover dans les bonnes pratiques de gestion face au risque cyber. C’est aussi une occasion de mettre en avant notre valeur ajoutée et de se différencier de la concurrence, tout en continuant à faire face aux vulnérabilités et à la menace cyber.
Les responsables de la sécurité doivent adopter les initiatives de sécurité et de transformation digitale en intégrant et en exploitant au maximum tous leurs actifs, qu’ils soient gérés ou non. Disposer dès le départ de solutions adéquates en matière de visibilité, de vulnérabilité, de veille et de sécurité permet d’arrêter les cybercriminels dans leur élan et de les empêcher de détourner l’innovation à des fins malveillantes.
À LIRE AUSSI :
À LIRE AUSSI :
