Nos entreprises s’inscrivent aujourd’hui dans un maillage complexe de données et de services applicatifs, et nous sommes tous de plus en plus sensibles à la disponibilité de ces services.

Les menaces pour la disponibilité des services Internet, telles que les attaques par déni de service distribué (DDoS), n’ont rien de nouveau mais, en 2016, les cybercriminels leur ont fait franchir un palier supplémentaire en militarisant l’Internet des objets (IoT). Les attaques DDoS visent à bloquer l’accès à un réseau, un service ou une application en bombardant la cible avec du trafic ou des requêtes parasites de sorte que ses utilisateurs légitimes ne puissent plus s’en servir, ce qui se traduit parfois par un impact considérable pour l’entreprise touchée.

En quoi l’IoT a-t-il changé la donne ? Nous avons tous entendu parler des botnets, ces réseaux d’ordinateurs infectés à travers le monde. Et bien, ce fléau s’étend dorénavant aux caméras de surveillance et autres objets connectés. Alors que le nombre de ces derniers est d’ores et déjà estimé à plus de 6 milliards, les cybercriminels ont une multitude de cibles à attaquer, et ils ne s’en privent pas.

Les risques de l’IoT
L’exploitation des objets connectés comme armes constitue le problème majeur en matière de cybermenaces (attaques DDoS ou ransomware, par exemple). L’époque est révolue où seuls des assaillants experts s’en prenaient à de grandes entreprises. À présent, la cybercriminalité « sous forme de service » permet à quasiment tout un chacun de lancer une attaque sans difficulté et à moindre coût (certains services allant jusqu’à proposer un « essai gratuit »). Cela signifie que chacun devient une cible potentielle, risquant de subir un préjudice considérable sur le plan financier et du point de vue de la réputation.
Les risques pour les PME sont importants car celles-ci ont tendance à ne pas investir dans les plus récentes technologies de sécurité et ne disposent pas d’équipes internes d’experts dans ce domaine. Il existe cependant pour elles des moyens de mieux se protéger contre les cybermenaces qui rôdent.

Se protéger contre la menace IoT dans une petite entreprise
Voici les quatre principales mesures à conseiller aux petites entreprises pour se protéger contre les attaques passant par des objets connectés :

1. Veiller à une bonne hygiène de sécurité au sein de l’entreprise – Nombreux sont les conseils gratuits couvrant des aspects tels que l’utilisation de mots de passe robustes, l’installation des mises à jour et des correctifs, l’isolement des réseaux invités ou encore la limitation d’accès aux infrastructures stratégiques. Si ces conseils semblent relever du plus élémentaire bon sens, nombre d’entreprises n’en réalisent l’importance qu’une fois trop tard.

2. Collaborer avec des prestataires de services de sécurité managés (MSSP) – Les MSSP permettent aux petites entreprises d’externaliser la sécurité de leur réseau afin de pas avoir à supporter entièrement la pression de la gestion du risque. Ils leur procurent un accès économique à la fois aux technologies les plus récentes et à du personnel compétent, de sorte qu’elles puissent mettre en place les défenses appropriées 24 heures sur 24, 7 jours sur 7.

3. Sensibiliser le personnel de l’entreprise – Les PME doivent sensibiliser et former leur personnel aux risques encourus, par exemple sous la forme de cours en ligne, pour l’aider à reconnaître les communications et les liens suspects. Les collaborateurs doivent être conscients qu’il est de la responsabilité de chacun – pas seulement les informaticiens – de protéger la propriété intellectuelle de l’entreprise et les données des clients et que l’impact d’un piratage ou d’une attaque se ferait sentir dans toute l’entreprise.

4. Eviter de contribuer au problème – Les entreprises doivent s’assurer que tous les équipements IoT installés sont mis à jour avec les plus récents logiciels, que les mots de passe par défaut sont changés, que ces équipements sont isolés d’Internet (dans la mesure du possible) et que tous les services non indispensables sont désactivés. A l’avenir, il est à espérer que les objets de l’IoT seront mieux conçus dans l’optique de la sécurité mais, pour l’heure, il faut limiter du mieux possible les capacités accessibles à d’éventuels pirates.

L’avenir des équipements IoT
Les équipements IoT sont utilisés activement dans des attaques depuis 2010 mais cette pratique ne s’est vraiment répandue qu’en 2016. Nous n’en sommes malheureusement qu’aux prémices des ennuis qui nous attendent. Jusqu’à présent, nous avons vu des objets de l’IoT exploités pour des attaques DDoS et des fraudes au clic mais il y a fort à parier que nous allons voir des cas d’extorsion et d’autres formes de cybercriminalité mettant à profit ces équipements.

Les PME ne doivent pas faire preuve d’excès de confiance en matière de cybersécurité, compte tenu de leur dépendance croissante aux services Internet. L’application d’une bonne « cyberhygiène », la sensibilisation du personnel au risque et la collaboration avec des MSSP sont des mesures essentielles pour la protection d’une entreprise dans le monde d’aujourd’hui.

Par Eric Michonnet, Directeur Régional Europe du Sud, Europe centrale et Afrique du Nord Arbor Networks