Dans le dernier épisode d’une série apparemment interminable d’incidents de sécurité IoT, Verkada, une startup de sécurité vidéo qui se vante de sa console de gestion en temps réel accessible depuis n’importe où, a récemment été piratée. Cet incident a exposé des flux vidéo en direct et enregistrés de plus de 149 000 caméras de sécurité utilisées dans des immeubles de bureaux, des écoles et chez des particuliers, parmi lesquels de grandes entreprises telles que Tesla et Cloudflare. Dans le cadre de cette violation, le mot de passe d’un administrateur a été publié sur Internet, permettant à des hackers de se connecter avec un accès privilégié à l’intégralité de la plateforme et des fichiers clients.
L’équipe de recherche ThreatLabZ surveille régulièrement les menaces liées à l’IoT parmi les plus de 150 milliards de transactions quotidiennes effectuées sur la plateforme Zscaler et a répertorié les caméras IP et réseau parmi les principaux dispositifs non autorisés utilisés sur les réseaux d’entreprise dans son rapport L’IoT dans l’entreprise en 2020.
En règle générale, la menace que posent les caméras IoT réside dans le fait que les appareils eux-mêmes sont faciles à pirater, permettant ainsi aux hackers d’accéder aux réseaux d’entreprise lorsque les employés vérifient les caméras de leur domicile depuis leur travail ou se livrent à des activités similaires. Ces types d’exploits sont monnaie courante, comme le botnet RIFT, qui recherche les vulnérabilités des caméras réseau, des caméras IP, des DVR et des routeurs domestiques.
Cette dernière violation représente cependant un autre type de problème de sécurité qui n’est pas exclusif aux appareils IoT (et certainement pas exclusif à Verkada) : les fournisseurs dans votre environnement qui peuvent stocker des données sans protection adéquate. En tant que professionnel de la sécurité, vous devez connaître les protocoles de sécurité en place pour toutes les données sensibles de votre écosystème, que vous les gériez vous-même ou qu’un fournisseur les gère en votre nom. Les ignorer, équivaudrait à avoir dans votre cocon pandémique une personne dont vous ne connaîtriez pas le comportement : vous espérez qu’elle ne fréquente pas les boîtes de nuit tous les week-ends, mais vous n’avez aucun moyen de savoir si vous êtes à l’abri.
Nous pouvons tirer quelques enseignements d’incidents tels que la violation de Verkada :
- Prenez le Zero Trust au sérieux. Premièrement, les « super administrateurs » ne devraient pas pouvoir facilement accéder à toutes vos données sensibles, en particulier aux données clients ; si un tel accès est requis, il doit être verrouillé derrière plusieurs couches d’authentification. L’un des principes fondamentaux de la politique de Zero Trust est l’obligation de limiter l’accès au minimum requis pour accomplir un travail, avec une surveillance et une authentification rigoureuse tout au long du processus. La politique d’accès contrôle chaque transaction dans Zero Trust Exchange, la plateforme qui alimente tous les services de Zscaler.
- Segmentez vos applications et retirez vos données d’Internet. Le backend de vos systèmes ne doit jamais être exposé à Internet de sorte qu’un hacker ne puisse même pas tenter de s’y connecter. En plaçant vos serveurs derrière un proxy, les hackers ne peuvent voir le serveur et ignorent jusqu’à son existence ; de plus tous les accès autorisés nécessitent des couches d’authentification parfaitement visibles par vos équipes de sécurité et leurs outils d’analyse. En segmentant les applications, vous limitez également les dommages que les acteurs malveillants peuvent causer s’ils réussissaient à pirater une application : ils ne peuvent pas aller plus loin.
- Gérez votre posture de sécurité du cloud. Les applications cloud et les emplacements de stockage de données que vous et vos partenaires utilisez doivent être configurés correctement. Vous pouvez facilement vous en assurer avec les bons outils : appuyez-vous sur la gestion de la posture de sécurité dans le cloud (CSPM) pour analyser vos environnements à la recherche d’erreurs de configuration, de violations de la conformité et d’autres problèmes qui vous rendent vulnérable.
Chaque témoignage de violation est une raison supplémentaire de progresser dans votre transition vers un Zero Trust total. Pour en savoir plus sur les tendances et les bonnes pratiques en matière de sécurité IoT, consultez le rapport ThreatLabZ, L’IoT dans l’entreprise en 2020 : l’émergence de l’IoT fantôme.
