SANS Institute pointe les endpoints comme source la plus vulnérable en matière de sécurité

Dans son rapport Industrial IoT Security Survey 2018, SANS Institut a analysé les préoccupations des entreprises en matière de sécurité liées à l'utilisation croissante de l'Internet industriel des objets (IIoT). L'étude conclut que les organisations ont des points de vue disparates et peu réalistes sur la protection de l'Internet industriel des objets et que ces organisations considèrent les endpoints (terminaux) comme le point le plus vulnérable en matière de sécurité bien qu'il y ait une confusion sur ce qui constitue réellement ces terminaux.
 
La taille des systèmes connectés devrait doubler d'ici trois ans
L'étude SANS révèle que la plupart des entreprises dans le monde prévoit une croissance de 10 à 25 % de leurs appareils connectésCe taux de croissance fera doubler la taille des systèmes connectés aux dispositifs IIoT tous les trois à sept ans environ. Labase installée de dispositifs IoT devrait tripler, passant de 23,14 milliards d'unités en 2018 à 75,44 milliards d'unités en 2025. Il en résultera une complexité accrue du réseau à mesure que les IT (technologies de l'information) et les OT (technologies d'exploitation) se connecteront davantage ainsi qu'une hausse de la demande de bande passante. Les entreprises devront alors se doter d'un personnel qualifié en sécurité, de la conception à l'exploitation des systèmes IIoT. 
 
Une définition du terminal connecté floue
Sur plus de 200 personnes interrogées, plus de la moitié a signalé les aspects les plus vulnérables de leur infrastructure IIoT sous forme de données, de micrologiciels, de systèmes intégrés ou de terminaux. Toutefois, l'enquête révèle un débat autour de la définition d'un « endpoint ».
 
Selon Doug Wylie, directeur Industrie et Infrastructure chez SANS Institute, « L'écart dans la définition des terminaux IIoT est à l'origine d'une partie de la confusion entourant la responsabilité de la sécurité de l'IIoT. Nombreux sont ceux qui n'identifient et ne gèrent pas de manière adéquate les nombreux actifs qui se connectent aux réseaux - et représentent un danger pour leurs entreprises. Pour cette raison, il est important que les services de l'IT et l'OT de l'entreprise s'entendent sur une définition commune afin de s'assurer qu'ils identifient les 
 
risques de sécurité efficacement au fur et à mesure que leurs systèmes évoluent et s'adaptent aux nouveaux modèles architecturaux. »
 
Parmi les préoccupations concernant la sécurité de l'IIoT :

  • 32 % des dispositifs IIoT se connectent directement à l'Internet, contournant les aspects de sécurité informatique.
  • Près de 40 % des interrogés ont déclaré que l'identification, le suivi et la gestion des dispositifs et terminaux représentaient un défi important en matière de sécurité.
  • Seuls 40 % des interrogés ont déclaré appliquer et maintenir des correctifs et des mises à jour pour protéger leurs dispositifs et systèmes IIoT.
  • 56 % ont cité la difficulté de patch comme l'un des plus grands défis en matière de sécurité

L'enquête a également révélé des perceptions disparates de la sécurité de l'IIoT entre les différents départements d'une entreprise : OT, IT et direction.  64 % seulement des départements OT se déclarant confiants dans leur capacité à sécuriser l'infrastructure de l'IIoT, contre 83 % des départements informatiques et 93 % des dirigeants.

« Le rapport met en évidence une réelle disparité entre les organisations sur la question de la confiance qu'elles ont dans la sécurité réelle en matière d'IIoT »,déclare Barbara Filkins, directrice du programme Recherche & Analyse chez SANS et auteur du rapport.« Cette disparité révèle la nécessité d'un changement culturel majeur dans la façon dont les organisations industrielles doivent aborder les risques pour la sécurité dans un monde de l'IIoT. »

Méthodologie
Cette enquête a été menée auprès 200 administrateurs/analystes de sécurité, gestionnaires, directeurs de la sécurité, ainsi que d'autres métiers en IT (technologies de l'information) et OT (technologies d'exploitation) des entreprises de 1 000 à plus de 50 000 salariés à travers le monde. Un tiers des entreprises interrogées avait des opérations en Europe.