L'Internet des objets (IoT) regorge d'appareils innovants, mais nombreux sont ceux qui manquent de sécurisation adéquate. Ce phénomène, connu sous le nom de Shadow IoT, permet aux cybercriminels d'infiltrer les réseaux d'entreprise via des dispositifs introduits à l'insu des équipes IT.
Examinons en détail ce qu'est le Shadow IoT et ses implications pour la cybersécurité.
Le Shadow IoT désigne les appareils IoT connectés au réseau d'entreprise sans autorisation ni visibilité pour les administrateurs. Contrairement à un marché noir imaginaire, il s'agit d'une réalité préoccupante où les employés intègrent discrètement des dispositifs personnels.
Les entreprises doivent inventorier scrupuleusement leurs réseaux pour protéger leurs actifs contre les vulnérabilités. Autrefois simple avec des postes fixes, cette tâche est aujourd'hui complexe face à la prolifération des BYOD (Bring Your Own Device) : smartphones, laptops personnels, trackers fitness ou consoles portables.
Les administrateurs réseau peinent à détecter ces connexions non autorisées, ouvrant la porte à des attaques externes.
Le Shadow IoT n'est pas théorique : selon le rapport Infoblox « What's Lurking in the Shadows 2020 », 20 % des entreprises n'ont détecté aucun appareil fantôme, 46 % en ont trouvé 1 à 20, 29 % entre 21 et 50, et une minorité plus de 50. Ce sondage international révèle une exposition généralisée.
Les appareils Shadow IoT manquent souvent de sécurisation robuste, exposant des vulnérabilités exploitables. Une fois infectés, ils propagent malwares et ransomwares via le réseau. Leur connexion persistante aux services cloud crée des ports ouverts, idéaux pour les scans automatisés des hackers.
Un compromis réussi permet d'utiliser l'appareil comme pivot pour attaquer l'infrastructure interne, menaçant données sensibles et opérations.
Aucun appareil IoT n'est intrinsèquement sûr sur un réseau critique. Des cas concrets l'illustrent : les ampoules Philips Hue ont servi de vecteur d'attaque réseau, et un casino a été piraté via un thermomètre d'aquarium connecté.
Ces exemples soulignent que toute connexion Internet expose à des risques, quel que soit l'appareil.
La prévention passe par une politique stricte : privilégiez les appareils non connectés. Pour les indispensables, utilisez les données mobiles ou un hotspot personnel, isolant ainsi du réseau corporate.
À domicile, segmentez les réseaux : un SSID invité pour l'IoT protège vos données principales. En entreprise, déployez un réseau séparé pour les BYOD.
Les failles des appareils IoT, combinées à une exposition continue, constituent un cauchemar sécuritaire. Adoptez des pratiques d'isolation pour minimiser les risques, au bureau comme à la maison.
Pour approfondir, explorez les problèmes et correctifs de sécurité IoT courants.
