Par: Scott St. John
La demande d’appareils connectés est apparemment insatiable. Sur la base de la plupart des estimations, il existe aujourd’hui des milliards d’appareils connectés en ligne, générant des centaines de milliards de dollars de revenus, et ce chiffre devrait dépasser 1 billion de dollars sur les segments de marché de l’Internet des objets (IoT) d’ici 2026. Ajoutez à cela un autre 13 billions de dollars des revenus estimés de la plateforme IoT et l’élan prévu derrière l’IoT est vraiment stupéfiant.
Lorsque vous explorez un peu plus en profondeur, vous voyez qu’il existe une large gamme d’appareils IoT derrière ce boom, allant de votre sonnette vidéo aux appareils, équipements industriels, centres de données, appareils médicaux et satellites extraterrestres. Que nous les utilisions à la maison, les gérions au travail, les portions ou les incorporions physiquement à l’intérieur de nous, une chose est sûre: nous commençons vraiment à effleurer la surface de l’opportunité de l’IoT et les graves risques qui y sont associés.
Il y a un peu moins de quatre ans, un attaque DDoS par force brute contre le fournisseur de services Internet Dyn a été lancé en utilisant le Botnet Mirai, tirant parti de millions d’appareils connectés à l’IoT, tels que des webcams et des enregistreurs vidéo numériques relativement peu coûteux, pour faire tomber près de 1700 sites Web commerciaux y compris Amazon, Paypal et Netflix, et assommer Internet dans la plupart des États-Unis de l’Est. Les estimations des dommages sont stupéfiantes et englobent (près de 10 pour cent de) Les clients Dyn qui ont été désabonnés à la suite de l’attaque et la perte d’activité de certains des plus grands marchés en ligne du monde. Aujourd’hui, une seule faille de cybersécurité peut coûter cher à une entreprise des millions à des dizaines de millions de dollars en dommages et en frais de recouvrement.
Bien que l’attaque Dyn puisse sembler quelque peu ancienne, elle a marqué un point de basculement dans la sécurité de l’IoT à un moment où l’IoT venait de décoller. L’attaque Dyn a démontré l’utilisation d’un nombre sans précédent d’appareils, de vitesse, de coordination et de réponse réglementaire. Alors que les attaques précédentes utilisaient des centaines d’appareils, l’attaque Dyn en a mobilisé des millions. Les attaques précédentes avaient atteint des vitesses de 620 gigaoctets par seconde, mais l’attaque Dyn a établi des vitesses record à 1,2 téraoctets par seconde. La taille, la vitesse et niveau de sophistication ou cette attaque est un mauvais présage. Le botnet Mirai est maintenant largement dispersé, ce qui rend ce type d’attaque plus probable – et soulève des préoccupations légitimes en matière de sécurité selon lesquelles la fréquence et la gravité de ces types d’attaques devraient augmenter.
De plus, la fréquence et la gravité accrues d’attaques comme celles-ci ont suscité une réponse de sécurité IoT mondiale. Avec les préoccupations toujours croissantes pour la confidentialité des données, les régulateurs se sont efforcés de rattraper leur retard. Cela englobe tout, des nouveaux critères de conformité réglementaire pour certification de cybersécurité, à sanctions importantes (jusqu’à 7500 USD par incident) et responsabilité réglementaire (comme le GDPR) pour de futures violations – ce qui équivaut à des dizaines de millions de dollars, au minimum. En fait, le projet de loi californien tente de protéger les consommateurs en leur permettant de poursuivre les fabricants d’appareils en justice pour dommages-intérêts pour violation de données, et le règlement britannique proposé va jusqu’à permettre au gouvernement de saisir et détruire appareils IoT non conformes.
Mais le potentiel menace de sanctions réglementaires et la responsabilité civile est en fait dérisoire par rapport à l’ampleur des dommages qui pourraient être causés alors que des milliards d’appareils IoT continuent d’être mis en ligne. Ce n’est pas tant ce que sont ces appareils que ce qu’ils font, à quel point ils sont devenus essentiels à la mission et comment ils pourraient être utilisés à mauvais escient. Les appareils connectés à l’IoT contrôlent des parties du réseau électrique. Ils sont utilisés en médecine pour des choses telles que pompes à insuline et stimulateurs cardiaques. Les appareils connectés à l’IoT sont utilisés dans agriculture pour aider à contrôler et à gérer la chaîne d’approvisionnement mondiale. Ils sont utilisés pour le contrôle du trafic aérien, bancaire, véhicules autonomes, contrôle dynamique du trafic routier, et bien plus encore – dont la plupart ont déjà été piratés ou se sont avérés vulnérables aux attaques. Tout cela rend les attaques potentielles et même dommageables pratiquement imminentes – et la dispersion de logiciels malveillants tels que le botnet Mirai, et la possibilité de nouvelles variantes plus destructrices, franchement plus alarmantes.
Les experts ont été appel à une action de grande envergure des régulateurs gouvernementaux, des fabricants d’appareils connectés, des fournisseurs IoT, des organisations d’élaboration de normes et des citoyens ordinaires depuis des années. Pourtant, étonnamment, le règlement a rencontré une opposition. Et, bien que des organisations de développement de normes IoT progressent, vous ne les connaissez probablement pas bien. Au moins pas encore.
Pipeline a récemment eu l’occasion d’interviewer Joerg Borchert, président de Trusted Computing Group (TCG); Amy Nelson, coprésidente du comité technique du TCG; et
.