Dans l’optique de sensibiliser sur l’importance de ces menaces, l'ENISA et Europol ont organisé une conférence de deux jours à La Haye (Pays-Bas, siège d’Europol) à laquelle ont participé plus de 250 entités du secteur privé, de la sécurité, des forces de l'ordre, la communauté des centres européens d'alerte et de réaction aux attaques informatiques (CSIRT) et le milieu universitaire.
Il est important de comprendre comment sécuriser ces appareils connectés et de développer et mettre en œuvre des mesures de sécurité adéquates pour protéger l'Internet des objets des cybermenaces. Au-delà des mesures techniques, l'adoption de l'IdO a soulevé de nombreuses interrogations notamment dans les domaines juridiques et politiques, pour ne citer que ceux-là. Afin d’y répondre au mieux, Europol estime que la coopération entre les différents secteurs et entre les différentes parties prenantes est essentielle.
Le risque que des criminels puissent « armer » des dispositifs IdO non sécurisé a déjà été identifié dans de précédents rapports de l’ENISA et d’Europol sur les menaces de sécurité. En 2016, ce risque s’est manifesté par des vagues d’attaques DDoS d’une ampleur sans précédent provenant du botnet Mirai. Europol estime qu’il faut s’attendre à ce que les cybercriminels développent de nouvelles variantes et élargissent la variété des appareils IdO affectés par ce type de malware.
« Les entreprises doivent faire davantage attention à la sûreté de leurs objets connectés qui compromettent la sécurité des informations personnelles des utilisateurs face aux hackers criminels », a déclaré Rob Wainwright, directeur d'Europol, lors de la conférence. « Nous devrions tous nous sentir concernés », a-t-il continué.
Les principales conclusions de la conférence sont :
- la nécessité d'une coopération accrue et d'un engagement multipartite pour traiter de l'interopérabilité, ainsi que des questions de sécurité et de sûreté en particulier à la lumière des développements émergents tels que l'industrie 4.0, les véhicules autonomes et l'avènement de la 5G ;
- comme la sécurisation du périphérique final est souvent techniquement difficile et coûteuse à réaliser, l'accent doit être mis sur la sécurisation de l'architecture et de l'infrastructure sous-jacente, en créant la confiance et la sécurité entre les différents réseaux et domaines ;
- il est nécessaire de créer des incitations plus fortes pour résoudre les problèmes de sécurité liés à l'IdO. Cela nécessite d'atteindre un équilibre optimal entre les opportunités et les risques dans un marché où l'évolutivité élevée et le court délai de mise sur le marché dominent, plaçant la sécurité comme un avantage commercial distinctif au lieu d’être au cœur du processus de conception et de développement ;
- pour enquêter de manière efficace sur les abus criminels de l'IdO, la dissuasion est une autre dimension qui nécessite une coopération étroite entre les forces de l'ordre, la communauté CSIRT, la communauté de la sécurité et la justice ;
- cela crée un besoin urgent pour les forces de l’ordre de développer les compétences techniques et l'expertise pour lutter contre la cybercriminalité liée à l'Internet des objets avec succès ;
- ces efforts doivent être complétés en sensibilisant les utilisateurs finals aux risques de sécurité des appareils IdO ;
- tirer parti des initiatives et des frameworks existants, une approche à plusieurs volets combinant et complétant les actions de la législation, la réglementation et la politique, la normalisation, la certification/étiquetage et le niveau technique est nécessaire pour sécuriser l'écosystème IdO ;
- l'une des principales observations de la conférence est l'importance des bonnes pratiques de base pour résoudre ces problèmes de sécurité liés à l'IdO. À ce titre, au cours des prochains mois, l'ENISA va publier son rapport « Baseline Security Recommendations for IoT », qui comblera le vide dans la région.
« Les cybercriminels s'adaptent et exploitent rapidement les nouvelles technologies. Ils trouvent de nouvelles façons de faire des victimes et d'affecter la vie des gens soit en recueillant ou en manipulant des données personnelles, soit en pénétrant virtuellement dans des maisons intelligentes. L'Internet des objets n'est pas seulement là pour rester, mais devrait se développer de manière significative à mesure que de plus en plus de ménages, de villes et d'industries deviennent connectés. Les dispositifs IdO non sécurisés deviennent de plus en plus des outils pour mener la cybercriminalité. Nous devons agir maintenant et travailler ensemble pour résoudre les problèmes de sécurité liés à l'IdO et assurer le plein potentiel », a estimé Rob Wainwright.
Source : Europol