Le terme « Shadow IoT » désigne l'utilisation active d'appareils et de capteurs IoT dans une organisation sans que le service informatique en ait connaissance. Tous les appareils IoT non enregistrés sont considérés comme des objets connectés fantômes.
La façon la plus simple de comprendre l’IoT fantôme est de le comparer aux débuts de l’IoT fantôme, où il était courant que les employés utilisent leurs appareils personnels à des fins professionnelles. L’IoT fantôme est identique à celui-ci, mais à une échelle beaucoup plus grande et avec beaucoup plus de risques et de problèmes potentiels.
Le problème actuel réside dans le fait que les bureaux de la plupart des entreprises sont de plus en plus équipés d'appareils IoT. Plus ces appareils sont nombreux, plus les gens les utilisent de manière irresponsable, ce qui entraîne davantage de risques.
Les risques considérables de l’IoT fantôme
L'IoT fantôme est beaucoup plus répandu qu'on ne le pense : un tiers des entreprises possèdent environ 1 000 appareils IoT fantômes non enregistrés connectés au réseau interne de l'organisation chaque jour ouvrable. Cela comprend des appareils tels que des assistants numériques, des téléviseurs intelligents, des trackers d'activité, des consoles de jeu, des appareils intelligents, etc.
Mais au-delà des risques liés au nombre considérable de ces appareils, le plus gros problème est que les gens essaient rarement de les sécuriser. Pire encore, selon Microsoft , de nombreux pirates informatiques sponsorisés par des États utilisent déjà des appareils IoT fantômes comme armes.
Les appareils IoT fantômes ne sont qu'une source de risques et de problèmes. Ils occupent la bande passante de l'entreprise et introduisent des points d'entrée supplémentaires dans le réseau de l'entreprise. Ils ne sont ni contrôlés ni approuvés par le service informatique et représentent donc des risques potentiels pour les informations de l'entreprise sur le réseau. Grâce à des piratages relativement simples, comme le tunneling DNS , les cybercriminels peuvent facilement voler des données critiques de l'entreprise.
Il est même simple de trouver ces appareils sur le réseau. Les moteurs de recherche disponibles comme Shodan permettent aux pirates de trouver rapidement des appareils IoT non sécurisés qui exécutent HTTP, SSSH, SNMP ou FTP.
L'ironie ici est que les entreprises ne tirent aucun avantage de ces appareils. La simple négligence et le manque d'attention à l'IoT fantôme et à ses risques sont les seules conséquences de l'utilisation d'appareils IoT fantômes. Les gens ne savent même pas que le fait d'avoir des appareils IoT non enregistrés est un problème, ce qui rend les politiques écrites à ce sujet presque totalement inutiles.
Comment atténuer les risques liés à l'IoT fantôme
Il ne suffit pas de disposer de politiques écrites sur la nécessité d'enregistrer les appareils auprès du service informatique. Certes, vous devez mettre en place des règles expliquant comment les employés doivent utiliser les appareils compatibles Internet, mais cela ne suffit pas :
Identifiez tous les appareils IoT qui ne sont pas correctement sécurisés ou créez pour eux un réseau distinct qui n'est en aucun cas connecté au réseau principal où sont stockées toutes les informations cruciales de l'entreprise.
La sensibilisation est essentielle : les employés doivent être conscients des dangers de l’IoT fantôme, car une grande partie de la main-d’œuvre n’a pas conscience du problème.
Les produits compatibles Internet utilisés par votre entreprise et ses employés doivent être vérifiés pour évaluer leur niveau de sécurité. Plus radicalement, votre organisation peut également effectuer des audits de sécurité auprès des fournisseurs de ces appareils.
Ayez un plan détaillé de ce que votre organisation doit faire en cas de violation.
Principaux points à retenir
Le Shadow IoT est l’un des problèmes auxquels les grandes organisations sont confrontées au quotidien, avec ou sans en avoir conscience. Dans les deux cas, des plans d’action doivent être mis en place en matière de sécurité afin de mitiger les risques liés à cette dernière. Certaines des actions nécessaires sont évoquées dans cet article et d’autres doivent être définies en fonction de la gouvernance et de l’environnement spécifique de chaque entreprise sur la base d’une approche globale basée sur les risques.
Il n’existe pas de solutions infaillibles, mais des cadres d’assurance de sécurité existent, et ils vous permettent de cibler et de gérer les problèmes de sécurité de Shadow IoT en toute connaissance de cause des risques associés.
Enfin, nous vous recommandons fortement de prendre contact avec des experts spécialisés afin de vous aider à couvrir les risques auxquels votre organisation est confrontée en ce moment !