Nous sommes entourés de des milliards d’appareils connectés qui contribuent 24 heures sur 24 à pratiquement tous les aspects de notre vie – des transports aux divertissements, en passant par la santé et le bien-être. Étant donné que les appareils connectés dépendent de plus en plus des logiciels pour leurs nombreuses capacités et fonctionnalités, leur exposition aux cybermenaces augmente de façon exponentielle.
La combinaison de logiciels obsolètes, d’un fonctionnement 24 heures sur 24, 7 jours sur 7 et d’un accès aux informations fait des appareils connectés des cibles privilégiées pour les pirates. Les logiciels embarqués, propriétaires et open source offrent une surface d’attaque particulièrement attrayante.
Alors que le paysage des cybermenaces continue d’évoluer, les développeurs et les équipes de sécurité, chargés de veiller à ce que leurs clients et utilisateurs puissent profiter d’une utilisation sûre et sécurisée de leurs appareils connectés, ont du pain sur la planche. Si trouver et corriger les défauts tout au long du cycle de vie du produit – de la conception à la post-production – n’était pas un défi suffisant, le faire tout en maintenant des délais de production de plus en plus agressifs est devenu un défi de taille.
Voici les trois principales raisons pour lesquelles la cybersécurité des appareils connectés est plus fragile que jamais.
1. Les appareils connectés deviennent le terminal préféré des hackers
Les pirates reconnaissent rapidement que les appareils connectés peuvent être un point final facilement compromis. Parce qu’ils font souvent partie d’un système plus vaste – automobile, médical, industriel ou autre – les appareils peuvent agir comme des passerelles involontaires. C’est pourquoi ils attirent de plus en plus l’attention des pirates, exploités pour des intrusions et des déplacements latéraux sur de grands réseaux, pour l’exfiltration des données de l’entreprise ou d’autres activités malveillantes.
Les dispositifs médicaux connectés en sont un exemple (fin). Par exemple, une cyberattaque qui permet à un pirate informatique de prendre le contrôle d’un appareil d’IRM en fonctionnement peut exposer les patients à des risques personnels. La menace va plus loin. Un IRM est généralement connecté à des postes de travail qui permettent aux techniciens de travailler avec les images. Avec l’IRM lui-même, n’importe lequel des postes de travail connectés – et même d’autres systèmes intégrés, par exemple, les systèmes d’archivage et de communication d’images (PACS) – peuvent être les prochains à attaquer. Les renseignements personnels sur la santé et plus encore pourraient être une cible facile.
Si l’on considère que plus de 50 % des appareils connectés utilisés dans les services d’oncologie et de pharmacologie et les laboratoires hospitaliers fonctionner sur des dispositifs médicaux hérités, il est facile de comprendre à quel point les dispositifs médicaux connectés regorgent d’opportunités pour les pirates. Certains experts de premier plan en cybersécurité vont même jusqu’à dire que les appareils connectés armés constituent une menace réelle et, entre de mauvaises mains, peuvent entraîner des pertes massives.
Bien que nous ayons vu plus de gros titres sur les violations dans l’industrie des dispositifs médicaux, il y en a probablement eu d’autres dont nous n’avons pas entendu parler. De nombreuses attaques d’appareils médicaux et de soins de santé restent à huis clos, et le nombre réel d’attaques pourrait être bien supérieur à ce que nous obtenons des rapports des médias.
Pour que leurs appareils restent sécurisés, sûrs et opérationnels, les équipes de sécurité des produits doivent gérer de manière proactive les cyber-risques et la conformité dans l’ensemble de leur portefeuille, depuis les premières étapes de conception et de développement, jusqu’à l’utilisation opérationnelle et jusqu’à la fin de vie. .
2. Rupture de la chaîne
La chaîne d’approvisionnement attire beaucoup l’attention des fournisseurs, des gouvernements et des pirates informatiques – pour une bonne raison.
Pour les appareils connectés complexes, comme les véhicules d’aujourd’hui – de véritables réseaux informatiques sur roues – des couches de fournisseurs externes fournissent une grande partie des micrologiciels et des logiciels intégrés aux systèmes de sécurité, de transmission, d’infodivertissement et autres. L’OEM, l’assembleur de composants dans un produit fini, s’appuie sur, mais a un contrôle et une visibilité limités, sur ce qui se trouve dans les nombreux composants tiers, générant un nouveau niveau de risque pour le produit final, son fabricant et ses nombreux consommateurs. .
Le Vents solaires hack a touché plus de 18 000 clients SolarWinds qui ont installé des mises à jour malveillantes (connues sous le nom de Sunburst) via leur logiciel Orion tiers. Même les départements du gouvernement américain, normalement très surveillés et protégés, tels que la sécurité intérieure, l’État, le commerce et même le Trésor (!) ont été touchés.
Alors que ce piratage notoire s’est produit il y a plus d’un an, les rapports sur les nombreuses attaques de la chaîne d’approvisionnement depuis lors prouvent que SolarWinds n’était pas un événement singulier. De telles attaques devraient devenir encore plus courantes à mesure que les logiciels occupent une place de plus en plus importante dans la chaîne d’approvisionnement des fabricants d’appareils et de produits.
Les fabricants qui utilisent des micrologiciels et des logiciels tiers sont désormais tenus de vérifier soigneusement leurs fournisseurs pour éviter les attaques de type SolarWinds. Mais se familiariser avec un fournisseur fiable ne suffit pas. Les fournisseurs vont et viennent pendant la durée de vie d’un produit – surtout compte tenu des nombreux pénuries de la chaîne d’approvisionnement les fabricants ont été confrontés ces derniers temps. Peut-être qu’un nouvel acteur a mis au point une meilleure solution de micrologiciel ou qu’un fournisseur de confiance n’est pas en mesure de fournir les composants logiciels nécessaires à temps et doit être remplacé.
L’intégration de chaque fournisseur est un processus fastidieux et exigeant. Une erreur d’un nouveau fournisseur – un bug dans le code qui n’est remarqué que lorsque des milliers de versions sont déjà sur le terrain – pourrait détruire la marque d’un géant mondial. Cela pourrait exposer la direction d’une automobile ou le fonctionnement d’une machine médicale vitale à une cyberattaque entraînant de lourds dommages financiers, voire des pertes humaines.
N’oubliez pas que les fournisseurs tiers peuvent utiliser d’autres logiciels tiers dans leurs propres produits. En fait, il peut y avoir une très longue chaîne d’approvisionnement de tiers qui utilisent d’autres tiers avant d’obtenir le lot – tous ces éléments nécessitent une vérification sérieuse avant d’être utilisés.
3. Les composants open source s’accompagnent d’un nouvel ensemble de risques
Les bibliothèques open source sont utilisées un peu partout. Chaque fois que vous consultez une page Web, consultez vos e-mails, chattez, diffusez de la musique ou jouez à des jeux vidéo, votre ordinateur portable, votre téléphone portable ou votre console de jeu utilise un logiciel open source.
Les fabricants d’appareils ne sont pas différents. Les composants open source aident les développeurs d’appareils et de produits à créer des logiciels innovants plus rapidement, en utilisant des outils fiables prêts à l’emploi par la communauté open source. Cependant, bien que l’utilisation de l’open source aide les fabricants d’appareils à suivre des délais de développement serrés, il y a un hic.
A qui appartient l’open source ? Personne. Et aussi tous ceux qui l’utilisent.
S’il y a une vulnérabilité dans le code, à qui est-ce le problème ? Le tiens!
L’un des plus grands avantages des bibliothèques open source populaires est qu’elles ont une énorme communauté d’utilisateurs, ce qui vous permet de croire qu’elles sont solides et maintenues en permanence. Cependant, il appartient aux utilisateurs de suivre les versions et les mises à jour de sécurité. Pour être certain de sa sûreté et de sa sécurité, vous devez suivre les mises à jour de sécurité et réagir rapidement une fois que vous avez ajouté des composants open source à votre produit.
Ou alors, que pourrait-il arriver ?
Bibliothèque open source extrêmement populaire log4ja généré plus de 1,8 million d’attaques dans les premiers jours suivant sa publication. Pourquoi est-ce si attrayant pour les hackers ? Parce que de nombreuses applications Java utilisent log4j directement ou indirectement, fournissant des millions de vecteurs d’attaque.
Les développeurs d’appareils sont confrontés à plus de défis que jamais. Les écosystèmes de développement de produits deviennent de plus en plus stratifiés et complexes, à mesure que le paysage des menaces se développe et évolue rapidement. Cela semble être une tâche impossible, trop compliquée à entreprendre manuellement. Mais il existe une solution très utile.
La seule façon de garder une longueur d’avance sur les menaces de cybersécurité des appareils connectés est d’automatiser – de surveiller en permanence le nomenclature logicielle (SBOM) de chaque appareil pour suivre l’intégralité de son inventaire en temps réel. L’automatisation peut également permettre aux équipes de sécurité des produits de gérer les vulnérabilités dès les premiers stades de développement, jusqu’à la post-production. Lorsqu’elle est intégrée au processus de développement, une plate-forme de sécurité avancée des produits peut aider les équipes à détecter les vulnérabilités, à les visualiser dans leur contexte afin d’éliminer facilement les faux positifs, de hiérarchiser les problèmes qui comptent vraiment et de les atténuer, sans retarder la mise sur le marché.
Apprendre Cybellum permet aux fabricants d’appareils de garantir la sécurité et la conformité des produits qu’ils créent à vie, de la conception à la post-production et au-delà.
Sponsorisé par Cybellum