La conférence Europol aborde les défis de sécurité de l’IoT

Internet des objets (IoT): lorsque votre machine à laver et votre tensiomètre deviennent la cible de cyberattaques

Avec au moins 20 milliards d’appareils devant être connectés à Internet d’ici 2020, l’Internet des objets (IoT) est là pour rester. S’il a de nombreux effets positifs indéniables, les menaces et les risques liés à l’IoT sont multiples et évoluent rapidement. Pour cette raison, l’Agence de l’Union européenne pour la sécurité des réseaux et de l’information (ENISA) et Europol ont uni leurs forces pour relever ces défis de sécurité en organisant une conférence dédiée de deux jours les 18 et 19 octobre 2017, à laquelle ont participé plus de 250 participants du secteur privé. secteur, communauté de la sécurité, application de la loi, communauté des équipes européennes de réponse aux incidents de sécurité informatique (CSIRT) et universités.

L’Internet des objets est un écosystème large et diversifié où des dispositifs et des services interconnectés collectent, échangent et traitent des données afin de s’adapter dynamiquement à un contexte. En termes plus simples, cela rend nos caméras, télévisions, machines à laver et systèmes de chauffage «  intelligents  » et crée de nouvelles opportunités pour la façon dont nous travaillons, interagissons et communiquons, et comment les appareils réagissent et s’adaptent à nous.

Il est important de comprendre comment ces appareils connectés doivent être sécurisés et de développer et mettre en œuvre des mesures de sécurité adéquates pour protéger l’Internet des objets contre les cybermenaces. Au-delà des mesures techniques, l’adoption de l’IdO a soulevé de nombreux nouveaux défis juridiques, politiques et réglementaires, de portée large et complexe. Afin de relever ces défis, la coopération entre différents secteurs et entre différentes parties prenantes est essentielle.

Le risque de «  militarisation  » des dispositifs IoT non sécurisés par des criminels a déjà été identifié dans les éditions 2014 et 2015 d’Europol sur les évaluations de la menace de la criminalité organisée sur Internet et dans le rapport 2016 sur le paysage des menaces de l’ENISA. C’est devenu une réalité fin 2016 avec plusieurs attaques DDoS d’une ampleur sans précédent provenant du botnet Mirai. Il faut supposer que les cybercriminels développeront de nouvelles variantes et élargiront la variété des appareils IoT affectés par ce type de malware.

Cette conférence conjointe Europol-ENISA, la première sur le sujet, a permis à toutes les parties prenantes concernées de se réunir, de discuter des défis rencontrés et d’identifier les solutions possibles, en s’appuyant sur les initiatives et les cadres existants. Un accent particulier a été mis sur le rôle des forces de l’ordre dans la réponse à l’abus criminel de l’IdO.

La réunion de deux jours a témoigné de la volonté de tous les acteurs internationaux concernés de veiller à ce que les nombreux avantages de l’IdO puissent être pleinement réalisés en s’attaquant conjointement aux problèmes de sécurité et en luttant contre les abus criminels de ces dispositifs, faisant du cyberespace un endroit plus sûr. pour tous.

Les principales conclusions de la conférence

  • Le besoin de plus de coopération et d’engagement multipartite pour traiter l’interopérabilité, ainsi que les problèmes de sécurité et de sûreté, en particulier à la lumière des développements émergents tels que l’industrie 4.0, les véhicules autonomes et l’avènement de la 5G.
  • Étant donné que la sécurisation du périphérique final est souvent techniquement difficile et coûteuse à réaliser, l’accent doit donc être mis sur la sécurisation de l’architecture et de l’infrastructure sous-jacente, en créant la confiance et la sécurité sur différents réseaux et domaines.
  • Il est nécessaire de créer des incitations plus fortes pour résoudre les problèmes de sécurité liés à l’IoT. Cela nécessite de parvenir à un équilibre optimal entre opportunité et risque dans un marché où la haute évolutivité et le court délai de mise sur le marché dominent, en positionnant la sécurité comme un avantage commercial distinctif et en la plaçant au cœur du processus de conception et de développement.
  • Pour enquêter de manière efficace et efficiente sur les abus criminels de l’IdO, la dissuasion est une autre dimension qui nécessite une coopération étroite entre les forces de l’ordre, la communauté CSIRT, la communauté de la sécurité ainsi que le pouvoir judiciaire.
  • Cela crée un besoin urgent pour les forces de l’ordre de développer les compétences techniques et l’expertise pour lutter avec succès contre la cybercriminalité liée à l’IoT.
  • Ces efforts doivent être complétés par une sensibilisation des utilisateurs finaux aux risques de sécurité des appareils IoT.
  • En tirant parti des initiatives et des cadres existants, une approche à plusieurs volets combinant et complétant les actions au niveau de la législation, de la réglementation et des politiques, de la normalisation, de la certification / étiquetage et au niveau technique est nécessaire pour sécuriser l’écosystème IoT.
  • L’une des principales observations de la conférence est l’importance des bonnes pratiques de base pour relever ces défis de sécurité de l’IdO. Dans les mois à venir, l’ENISA publiera son rapport «Baseline Security Recommendations for IoT», comblant le fossé dans ce domaine.

De plus en plus utilisé pour la cybercriminalité

Le directeur exécutif d’Europol, Rob Wainwright, a déclaré: «Les cybercriminels s’adaptent rapidement aux nouvelles technologies et les exploitent. Ils trouvent de nouvelles façons de victimiser et d’affecter la vie des gens et d’envahir leur vie privée, soit en collectant ou en manipulant des données personnelles, soit en pénétrant virtuellement dans des maisons intelligentes. L’Internet des objets n’est pas seulement là pour rester, mais devrait se développer considérablement à mesure que de plus en plus de ménages, de villes et d’industries se connectent. Les appareils IoT non sécurisés deviennent de plus en plus des outils de cybercriminalité. Nous devons agir maintenant et travailler ensemble pour résoudre les problèmes de sécurité liés à l’IdO et garantir le plein potentiel. »

Le directeur exécutif de l’ENISA, le professeur Udo Helmbrecht, a également déclaré: «La révolution IoT commence à transformer nos vies personnelles et les infrastructures que nous utilisons régulièrement, telles que les maisons intelligentes, l’énergie intelligente et la santé intelligente. Les fabricants et les opérateurs de ces appareils doivent s’assurer que la sécurité dès la conception a été intégrée à leur sélection et à leur déploiement. L’ENISA est heureuse de travailler en étroite collaboration avec Europol pour informer les principales parties prenantes du rôle important que l’IdO assume et de la nécessité d’être conscient des aspects de cybersécurité et de criminalité associés au déploiement et à l’utilisation de ces appareils ».

© Europol / La Norvège aujourd’hui