97% des entreprises rencontrent des difficultés en matière de sécurisation de l'Internet des objets (IoT) et des appareils connectés. C'est l'un des enseignements d'une enquête mondiale indépendante menée sur l'état de la sécurité chez les fabricants et les utilisateurs finaux par la société Keyfactor (*). Le rapport intitulé Digital Trust in a Connected World: Navigating the State of IoT Security dévoile de manière nette les préoccupations et les défis auxquels les entreprises sont confrontées lorsqu'elles établissent une confiance numérique dans le monde hyperconnecté actuel.
L'enquête fait apparaître qu’une très large majorité ont des difficultés à sécuriser leurs produits IoT et connectés et que 98% des entreprises ont déjà subi des pannes liées aux certificats au cours des douze derniers mois, dont le coût moyen est estimé à plus de 2,25 millions de dollars.
« Toutes les entreprises subissent une pression croissante pour garantir la protection de leurs appareils IoT et connectés dans un paysage numérique de plus en plus complexe qui exige une confiance totale, commente Ellen Boehm, vice-président IoT Strategies & Operations chez Keyfactor. Les résultats de cette enquête démontrent l'importance de la sécurité de l'identité pour les fabricants d’appareils IoT mais également pour ceux qui les déploient et les exploitent afin d'établir une confiance numérique globale. A l’heure actuelle, la plupart des entreprises intègrent des solutions PKI à leur stratégie de sécurité IoT, mais malgré cela, 97% des entreprises sont confrontées à des problèmes de sécurité IoT. Il apparaît donc clairement que les équipes de sécurité peinent à exploiter ces outils. »
Le rapport indique dans le même temps que 89% des entreprises interrogées, qui exploitent et utilisent des produits IoT et connectés, ont été la cible de cyberattaques dont le coût moyen s'élève à 250 000 dollars.
En outre, au cours des trois dernières années, 69% d’entre elles ont constaté une augmentation des cyberattaques visant leurs appareils IoT. L'attaque du mois de mars contre Ring d'Amazon, qui a exfiltré des données sensibles de clients (séquences enregistrées, numéros de cartes de crédit...), en est un exemple.
« De nombreuses stratégies de sécurité IoT ne parviennent pas à prévenir et à protéger les appareils IoT contre les cyberattaques, notamment parce que les entreprises manquent d’expertise et de support pour savoir comment procéder, précise Ellen Boehm. Plus de la moitié des personnes interrogées reconnaissent ainsi que leur entreprise n’est pas sensibilisée et ne dispose pas de l'expertise nécessaire pour se préparer à ce type de cyberattaques. Il est donc urgent selon nous que les entreprises disposent de davantage de conseils afin de sécuriser correctement leurs appareils car elles ne peuvent pas se protéger contre ce qu'elles ne comprennent pas. »
Dans le détail, le rapport souligne également qu’au cours des trois dernières années, les répondants ont déclaré une augmentation moyenne de 20% du nombre d'appareils IoT et de produits connectés utilisés dans leur entreprise.
Parallèlement, les professionnels de l'informatique n’ont pas totalement confiance dans la sécurité de leurs appareils IoT et connectés, 88% des répondants estimant que des améliorations sont nécessaires en matière de sécurité des produits IoT et connectés utilisés au sein de leur organisation, allant d’une amélioration significative pour un tiers des répondants, à une amélioration certaine pour 60% d’entre eux.
En matière de stratégie, quatre entreprises sur dix déclarent qu'elles ont intérêt à utiliser une PKI pour émettre des identités numériques sur les appareils IoT et IIoT (Industrial IoT) dans leur environnement. Le rapport montre aussi que les budgets consacrés à la sécurité de l'IoT augmentent, mais sont alloués aux coûts importants liés aux pannes de certificats.
Bien que les budgets consacrés à la sécurité des appareils IoT augmentent déjà au fur et à mesure des années, une hausse de 45% est prévue au cours des cinq prochaines années. Toutefois près de la moitié (52%) de ce budget risque d'être réattribué aux coûts liés aux cyberattaques visant les produits IoT et connectés.
Côté responsabilité en cas d’attaques, 48% des personnes interrogées estiment que le fabricant d'appareils IoT ou connectés devrait être en grande partie responsable des cyberattaques ciblant leurs produits.
Pour consulter les résultats complets du rapport Digital Trust in a Connected World: Navigating the State of IoT Security, il est possible de le télécharger ici.
(*) L'enquête a été menée par la société d’études de marché Vanson Bourne pour le compte de Keyfactor auprès de 1 200 professionnels de l'IoT et des produits connectés en Amérique du Nord, ainsi que dans les régions Europe et Asie-Pacifique. Toutes les personnes interrogées avaient une certaine responsabilité ou connaissance de l'IoT ou des produits connectés au sein de leur entreprise, incluant des fabricants d'équipements d'origine (OEM) et ceux qui utilisent et exploitent des appareils connectés au sein de leur entreprise.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC