Une nouvelle étude révèle l’étendue des pertes financières imputables aux failles de sécurité de l’IoT
D’après l’enquête DigiCert sur l’état de l’IoT en 2018, la sécurité représente la principale préoccupation des entreprises interrogées – 91% d’entre elles estiment même qu’elle sera primordiale dans les deux prochaines années.
LEHI, Utah (6 decembre 2018) – Selon une nouvelle étude menée par DigiCert, Inc., leader mondial des solutions de sécurité TLS/SSL, PKI et IoT, l’absence de bonnes pratiques de sécurité coûte très cher aux entreprises à l’heure où l’Internet des objets (IoT) redéfinit les contours de leurs business models. Au cours des deux dernières années, la sécurité IoT a fait perdre pas moins de 30 millions d’euros aux 25% d’entreprises les plus en difficulté dans ce domaine. En France, la plus grande perte s’est même chiffrée à 160 millions d’euros.
Ces résultats apparaissent dans un contexte où l’IoT poursuit son irrésistible ascension au sein des entreprises. Ainsi, 76% des sondés indiquent que l’IoT est déjà essentiel pour leur entreprise, tandis que 91% déclarent qu’il le deviendra dans les deux années à venir.
Menée en septembre 2018, cette enquête a été réalisée par ReRez Research auprès de 700 organisations de plusieurs grands secteurs d’activité en France, au Royaume-Uni, en Allemagne, aux États-Unis et au Japon.
Principales préoccupations
Les questions de sécurité et de confidentialité arrivent en tête des préoccupations entourant les projets IoT: 82% des sondés ont ainsi déclaré être de ” quelque peu ” à ” extrêmement ” inquiets quant aux problématiques de sécurité.
Selon Mike Nelson, Vice-président de la sécurité IoT chez DigiCert: ” les entreprises sont aujourd’hui conscientes du fait que l’Internet des objets est bel et bien là, et qu’il va continuer à révolutionner notre façon de vivre, de travailler et de nous divertir. La sécurisation des équipements IoT reste une priorité absolue mais difficilement réalisable pour beaucoup d’entreprises. Toutefois, il est essentiel d’intégrer la sécurité très en amont des projets IoT, puis tout au long du processus d’implémentation afin de bloquer des attaques dont le volume est appelé à augmenter. Dès lors qu’elles appliquent des mesures draconiennes en matière d’authentification, de chiffrement et d’intégrité des équipements et systèmes IoT, les entreprises peuvent négocier ce virage en toute sérénité “.
Performances
Pour une meilleure visibilité sur les enjeux spécifiques des entreprises dans leur parcours IoT, les sondés ont dû répondre à une série de questions traitant divers sujets. Leurs réponses ont ensuite été notées et divisées en trois niveaux:
” Niveau 1: Entreprises rencontrant le moins de problèmes et faisant preuve d’une bonne maîtrise des aspects spécifiques à la sécurité IoT.
” Niveau 2: Entreprises se situant dans la moyenne.
” Niveau 3: Entreprises rencontrant le plus de problèmes et maîtrisant le moins les enjeux de la sécurité IoT.
Failles de sécurité IoT
Les sondés ont été interrogés sur les incidents de sécurité IoT subis par leur organisation ces deux dernières années. La différence entre le haut et le bas du classement est flagrante: les entreprises les plus en difficulté dans l’implémentation de l’IoT sont aussi les plus exposées à d’éventuels incidents de sécurité. Toutes les entreprises de niveau 3 ont subi des incidents de sécurité IoT sur cette période, contre seulement 25% des entreprises de niveau 1. Par ailleurs, les entreprises du niveau 3 rencontrent également davantage de problèmes dans certains domaines. Elles sont notamment:
” Plus de 4,5 fois plus nombreuses à avoir subi des accès non autorisés à leurs objets IoT
” Près de 14 fois plus nombreuses à avoir subi une compromission de données via un objet IoT
” 6,5 fois plus nombreuses à avoir essuyé une attaque par malware ou ransomware via un objet IoT
Et il ne s’agissait pas là d’incidents bénins. En France, la plus grande perte signalée par une entreprise de niveau 3 s’est élevée à 160 millions d’euros.
Parmi les pertes financières déplorées ces deux dernières années, 5 grands facteurs se dégagent:
” Pertes financières directes
” Pertes de productivité
” Amendes et pénalités pour infraction à la législation / règlementation
” Perte d’image
” Chute du cours de l’action
Parallèlement, bien qu’elles aient elles aussi subi des incidents, la grande majorité des entreprises de niveau 1 s’en sont sorties sans le moindre impact financier. Elles attribuent la force de leur sécurité à ces pratiques :
” Chiffrement des données sensibles
” Intégrité des données en transit
” Adaptation des mesures de sécurité
” Sécurisation des mises à jour à distance
” Sécurisation des clés de chiffrement privées
Selon Mike Nelson, ” avant d’accélérer l’implémentation de l’IoT, les entreprises doivent impérativement trouver le bon équilibre entre efficacité d’une part, et sécurité et confidentialité d’autre part. Cette étude montre que les entreprises qui adoptent les bonnes pratiques de sécurité sont moins exposées aux risques et aux conséquences d’éventuelles attaques sur leurs équipements connectés. Il semblerait par ailleurs que ces bonnes pratiques de sécurité IoT, telles que le chiffrement, l’intégrité et l’authentification, gagnent du terrain à mesure que les entreprises prennent conscience des enjeux. ”
Recommandations
Pour aider les entreprises en pleine transformation IoT à renforcer leur sécurité, cette enquête nous livre des enseignements dans cinq grands domaines:
1. Évaluation des risques: effectuez des tests d’intrusion pour évaluer les risques associés à vos objets connectés. Sur cette base, élaborez une liste des priorités pour vous mettre à jour dans des domaines essentiels comme le chiffrement et l’authentification. Vous comblerez ainsi toutes les failles de votre dispositif de sécurité.
2. Chiffrement: dans le cadre de l’inventaire de tous vos objets connectés, assurez-vous que toutes les données soient bien chiffrées, en stockage comme en transit. Faites du chiffrement de bout en bout une condition sine qua non pour tous vos objets IoT.
3. Authentification: passez en revue toutes les connexions humaines et matérielles à vos objets IoT pour vérifier que le système d’authentification n’autorise que les accès validés. Des certificats digitaux vous permettront également d’établir un système d’authentification transparent, avec des identités associées à des protocoles cryptographiques.
4. Intégrité: appliquez des mesures de base pour préserver l’intégrité de vos appareils et de vos données: sécurisation de tous les démarrages, mises à jour à distance sécurisées et signature de code pour garantir l’intégrité de tout code exécuté sur vos équipements.
5. Évolutivité: optez pour une architecture de sécurité évolutive et prête à accueillir vos déploiements IoT. Enfin, collaborez avec des partenaires dotés des structures nécessaires et prêts à s’engager sur tous vos impératifs de sécurité IoT, afin de vous concentrer sur votre cœur de métier.
À propos de DigiCert, Inc.
DigiCert est le leader mondial des solutions PKI, IoT et TLS/SSL de chiffrement et d’identification. Les entreprises les plus innovantes, dont 89% du Fortune 500 et 97% des plus grandes banques mondiales, font confiance à DigiCert et à son expertise dans l’identification et le chiffrement des serveurs web et des appareils IoT. Parmi sa gamme de certificats numériques, DigiCert propose des certificats TLS pour des déploiements PKI de toute taille pilotés par CertCentral®, sa solution de gestion du cycle de vie des certificats. L’entreprise est reconnue pour sa plateforme de gestion des certificats destinée aux entreprises, son support client rapide et expert, et ses solutions leaders du marché. Pour connaître toute l’actualité et les nouveautés DigiCert, rendez-vous sur digicert.fr ou suivez-nous sur Twitter @digicert.