Les périphériques IoT mettent votre organisation en péril

Dans les bureaux des petites et moyennes entreprises d'aujourd'hui, vous pouvez trouver une vaste gamme d'appareils intelligents, tels que des imprimantes, des caméras, des capteurs utilitaires et des serrures de porte, qui peuvent communiquer avec d'autres appareils via des connexions sans fil. Même la salle de repos du personnel commence à bénéficier des technologies de la prochaine génération, telles que les réfrigérateurs intelligents et les cafetières intelligentes.

Bien que l'Internet des objets (IoT) ait permis une grande efficacité grâce à la connectivité, de nouvelles surfaces d'attaque en raison de la conception de sécurité faible ou des pratiques administratives. Non seulement les appareils ont été attaqués et compromis, mais les pirates informatiques ont utilisé les dispositifs collectivement dans les botnets pour lancer des attaques par déni de service distribué (DDoS) contre des sites Web et des réseaux d'entreprise. Le site Web de Krebs on Security, par exemple, a subi l'une des attaques les plus puissantes à ce jour, dans laquelle les logiciels malveillants Mirai «zombisaient» une foule d'appareils IoT connectés à Internet qui utilisaient des noms d'utilisateur et des mots de passe par défaut. > Risques de sécurité liés à l'équipement IoT

De nombreux périphériques IoT n'ont pas été conçus avec une sécurité forte et configurable. Certains périphériques ont un mot de passe codé en dur qui ne peut pas être modifié sans une mise à jour du micrologiciel, qui peut ne pas être disponible car le fournisseur ne l'a tout simplement pas créé ou le produit n'est plus pris en charge. David Britton, vice-président des solutions industrielles, de la fraude et de l'identité chez Experian, avertit que l'UPnP (Universal Plug and Play) est une préoccupation connexe, en particulier en ce qui concerne les routeurs sans fil.

"Plusieurs routeurs prennent en charge cette fonction de connexion automatique, et certains ont UPnP activé par défaut", a déclaré Britton. «UPnP permet aux périphériques de reconnaître et de se connecter immédiatement à un réseau, et même d'établir des communications avec d'autres périphériques sur le réseau sans aucune intervention ou configuration humaine.Le défi du point de vue de la sécurité est de réduire la visibilité ou le contrôle de l'administrateur. »

Britton souligne également que l'ensemble diversifié de technologies et de protocoles de connexion utilisés par les appareils IoT, tels que Wi-Fi, Bluetooth, RFID et ZigBee, présentent un ensemble de technologies et de protocoles de connexion différents. couche supplémentaire de complexité. Chaque type de connectivité comporte différents niveaux de sécurité et différents outils administratifs. Pour les petites entreprises qui n'ont pas de support technique interne, essayer de rester au top est difficile au mieux, ce qui les rend encore plus vulnérables aux attaques.

Façons de contrôler les menaces et de réduire les risques

Quelle est la solution à la débâcle de la sécurité de l'Internet des objets?

Johannes Ullrich, directeur de la recherche au SANS Technology Institute, affirme que "les organisations doivent commencer par contrôler l'acquisition et l'inventaire des appareils IoT". Dans son article SANS Internet Storm Center, Ullrich détaille les questions pertinentes à poser aux vendeurs pendant la phase d'évaluation des produits, par exemple combien de temps le fournisseur prévoit de publier des mises à jour de sécurité et comment le chiffrier est implanté. aussi, indiquant qu'il doit suivre les versions du firmware, la date de la dernière mise à jour, les ports utilisés par les appareils IoT et la dernière date à laquelle les mots de passe ont été mis à jour, entre autres éléments. Il recommande également de configurer une tâche récurrente dans votre calendrier pour mettre à jour, modifier et vérifier la fin de vie des périphériques IoT, afin d'éviter les vulnérabilités de sécurité inhérentes aux périphériques existants.

Ullrich et Britton croient qu'il est essentiel de changer le mot de passe par défaut. IoT avant de le connecter à un réseau. Un dispositif sans sécurité adéquate peut ouvrir une porte sur votre réseau, qu'un pirate peut exploiter en quelques secondes et accéder à d'autres périphériques connectés.

Ils recommandent d'activer une sécurité renforcée sur tous les réseaux Wi-Fi, ce qui implique de renforcer les mots de passe réseau et routeur, d'utiliser le cryptage et de limiter l'accès au réseau (à partir d'Internet si possible) via un pare-feu. Pour les routeurs sans fil, Britton dit de désactiver la configuration UPnP sur le routeur pour éviter toute connexion de périphérique non désirée. Si un périphérique IoT prend en charge l'authentification à deux facteurs, profitez-en. Cela peut être aussi simple que d'obtenir un code qui doit être entré lorsque vous vous connectez à l'appareil, ce qui ajoute une autre couche de protection.

Nos sources ont également conseillé d'être vigilant dans la gestion des applications installées. Téléchargez des applications uniquement à partir de fournisseurs réputés ou créés par des entités fiables et exécutez des logiciels anti-malware sur les appareils IoT ou ceux utilisés pour configurer les appareils IoT.

Enfin, faites des alertes et des notifications, et testez et vérifiez, une partie de votre liste de vérification des meilleures pratiques. Ullrich recommande de s'inscrire auprès de chaque fournisseur pour être averti lorsque des correctifs sont publiés, et de mettre en place des systèmes qui vous préviennent si un périphérique non autorisé est connecté à votre réseau. En ce qui concerne les tests, assurez-vous de tester les périphériques qui se connectent aux services cloud d'un fournisseur pour s'assurer qu'ils protègent suffisamment les données. Découvrez comment l'appareil s'authentifie auprès des systèmes du fournisseur et si les données sont correctement chiffrées - il devrait utiliser le protocole TLS (Transport Layer Security) pour les transmissions.

Pour plus de conseils sur la cybersécurité, consultez notre guide Mobby Business.

Un «directeur YouTube» aide les petites entreprises à créer des annonces vidéo

Ce n'est pas un secret que la publicité vidéo est plus importante que jamais pour les entrepreneurs, mais les images de qualité peuvent parfois être inaccessibles aux propriétaires de petites entreprises. YouTube cherche à changer cela avec une nouvelle suite de produits appelée "YouTube Director". YouTube prétend que l'application gratuite permettrait à un entrepreneur de créer une publicité vidéo en moins de 20 minutes.

(Entreprise)

13 Secrets du succès des entrepreneurs en série

Pour la plupart des entrepreneurs, démarrer et gérer une entreprise prospère au cours de leur carrière est assez difficile. Mais pour les entrepreneurs en série - ceux qui démarrent, gèrent et vendent souvent plusieurs entreprises - le frisson de la vie de démarrage est trop attrayant pour le faire une seule fois.

(Entreprise)