Ces dernières années, l’utilisation des objets connectés a connu un véritable succès. En effet, grâce à l’évolution fulgurante de la technologie, notamment du numérique, les compétences des entreprises s’améliorent.
Cependant, cela n’est pas sans risques car ces objets sont également porteurs de dangers parce qu’ils sont connectés au réseau de l’entreprise, et en général sans avoir de contrôle sur ces accès.
Si vous souhaitez reprendre la main sur les connexions et les informations utilisées par ces objets et protéger l’infrastructure de l’entreprise, il est nécessaire de tester leur sécurité.
C’est pourquoi dans cet article, nous vous dévoilons 04 phases pour déployer un audit de sécurité des IoT.
01) S’intéresser à la Sensibilité du constructeur
Lors de cette recherche passive, l’auditeur doit s’intéresser à l’entreprise qui fabrique ces objets. L’idée est de savoir si :
- ses équipements ont un système pour se mettre à jour;
- s’il existe un moyen de contacter le constructeur si l’on trouve une faille de sécurité;
- s’il a déjà publié des vulnérabilités;
- quelle est sa politique de mise à jour et de suivi de ses produits, etc.
Ainsi, il est important que l’éditeur ait une réelle politique de mise à jour. Dans le cas contraire, à partir du moment où une faille est détectée, soit vous jetez votre équipement, soit vous gardez une épée de Damoclès au-dessus de vous car votre objet sera toujours source de risque.
02) Rechercher des vulnérabilités
Les objets IoT sont des systèmes informatiques qui ne sont jamais re-développés de zéro. Il suffit donc de rechercher les briques applicatives utilisées pour vérifier les vulnérabilités associées déjà connues. Par exemple, un auditeur va vérifier si un objet est développé sur un système à base Linux, si oui quelles sont les bibliothèques utilisées, est-ce qu’on peut extraire le firmware, est ce qu’on peut étudier les connexions réseau, les connexions réseau sont-elles chiffrées, etc.
03) Exploiter les vulnérabilités trouvées
L’auditeur vérifie s’il peut exécuter des commandes sur l’IoT, s’il peut prendre la main sur l’IoT, s’il peut extraire des données, des mots de passe, des secrets, etc. qui seraient codés en dur dans l’IoT, ou des données enregistrées, etc. Si on prend l’exemple de la caméra, peut-on extraire ou modifier les images sauvegardées par la caméra ? Peut-on s’en servir comme rebond éventuel ?
Toutes les vulnérabilités de l’objet vont être testées et exploitées.
04) Rédiger une évaluation et un rapport.
Chaque vulnérabilité est prise en compte dans le domaine ciblé et l’auditeur y adjoint la préconisation associée pour combler la faille et vous permettre de ne plus être impacté par cette vulnérabilité. Puis l’auditeur présente et explique son rapport dans une restitution adaptée.
Quels sont les avantages d’un tel audit ?
Bien souvent, en évoquant l’infrastructure informatique, on pense aux serveurs, aux machines, aux ordinateurs portables, aux switchs et aux firewall, etc. Mais beaucoup d’autres éléments font également partie de votre infrastructure, comme le Wifi, les smartphones et leurs applications, et les objets connectés.
L’audit IoT représente donc une photographie à l’instant T du niveau de sécurité de cette partie d’infrastructure en dehors de l’IT.
L’audit vous permet alors d’obtenir une liste des vulnérabilités détaillées, triées par importance de criticité, et avec les préconisations associées.
Si vous n’avez pas d’auditeur en interne, CNCR GROUP se propose de vous apporter un accompagnement sur mesure. De plus, nous sommes spécialisés dans la protection de données et de capital digital. Pour plus de détails, n’hésitez pas à nous contacter.
Retrouvez des conseils et astuces intéressants sur notre blog pour mieux gérer votre patrimoine informatique.