La prolifération des appareils sur Internet est en train de devenir un raz-de-marée. En plus de votre téléphone, de votre ordinateur, de votre console de jeux vidéo et de votre télévision, l’Internet relie désormais pratiquement tout ce qui a des appareils électroniques et des capteurs: appareils électroménagers, systèmes de chauffage et de climatisation, voitures, avions, navires, robots industriels, équipements collectifs, systèmes de sécurité à domicile, jouets pour enfants et dispositifs médicaux. D’ici 2025, on estime qu’il y aura au moins 75 milliards d’appareils connectés dans ce qu’on appelle «l’Internet des objets» (IdO) ou (IoT). Avec les progrès des microprocesseurs, des dispositifs de détection et des logiciels, tout ce qui peut être connecté sera bientôt connecté.
Il ne faut pas s’étonner que l’IdO se soit étendu aux réseaux gouvernementaux, en particulier à ceux gérés par le ministère de la Défense (MdD). Au MdD, tout, des moteurs aux capteurs de champ de bataille, en passant par les lecteurs d’accès de porte, peut être fourni avec une connexion réseau nécessaire à l’exécution de la tâche qui lui est attribuée. Outre cet équipement de base, le MdD propose également une multitude de périphériques grand public fonctionnant sur ses réseaux, des imprimantes aux moniteurs vidéo, aux caméras en passant par les réfrigérateurs. Ces appareils communiquent continuellement les uns avec les autres, ainsi qu’avec les quartiers généraux plus élevés jusqu’au Pentagone. Le résultat que certains observateurs appellent «l’Internet of Battlefield Things» (IOBT). Il existe un consensus général parmi les experts sur le fait que les forces armées qui ont créé l’IOBT en premier auront un avantage décisif sur ses concurrents.
Si l’évolution d’Internet vers l’IdO et l’IOBT est généralement positive, son arrivée pose un défi majeur en matière de cybersécurité. En termes simples, plus il y a d’appareils sur un réseau, plus les chances qu’un adversaire soit capable de pénétrer sont grandes. Les nouvelles sur la manière dont les adversaires cherchent à pénétrer les infrastructures critiques des États-Unis, y compris le réseau électrique, les réseaux gouvernementaux et les systèmes électoraux, ne manquent pas. Dans de nombreux cas, les pirates informatiques recherchent des solutions simples pour accéder aux réseaux via des appareils connectés. En 2016, il a été découvert que les dispositifs cardiaques implantables utilisés par l’Hôpital St. Jude étaient vulnérables au piratage. Les moniteurs pour bébé se sont révélés extrêmement vulnérables au piratage.
Les adversaires de cette nation tentent agressivement de pénétrer les réseaux, les systèmes et même les armes individuelles du MdD. Un nombre croissant d’informations critiques et classifiées sont générées par la masse de périphériques présents sur le réseau. Récemment, l’armée a découvert que les mouvements des troupes pouvaient être compromis en accédant aux appareils de suivi de la condition physique que portaient de nombreux membres du personnel. Au fur et à mesure que de nouveaux appareils sont ajoutés à l’IOBT, avec ou sans autorisation, le risque de pénétration et la compromission d’informations confidentielles critiques augmentent.
La croissance exponentielle d’IOT et d’IOBT crée de nouvelles vulnérabilités aux cyberattaques à un rythme alarmant. Les appareils IOT / IOBT compromis sont de plus en plus le moyen “facile” pour les attaquants de s’implanter sur le réseau d’une entreprise. Aujourd’hui, un périphérique est généralement ajouté à la liste blanche sur le réseau, ce qui signifie qu’il est identifié comme étant «approuvé». Cet appareil approuvé peut ensuite être utilisé pour exécuter des commandes à l’intérieur de votre pare-feu, ce qui peut aider les pirates informatiques à effectuer des reconnaissances et, éventuellement, à accéder à d’autres parties plus importantes d’un réseau. En outre, de nombreux périphériques non autorisés ou non enregistrés sont ajoutés à un réseau, augmentant ainsi les chances de pénétration. Les adversaires peuvent attaquer des périphériques vulnérables non seulement pour accéder à des informations sensibles, mais également pour compromettre physiquement des parties de votre système dont vous dépendez, par exemple, en temps de guerre. Au fur et à mesure que l’IOT / IOBT se développe, le problème de la vulnérabilité des périphériques augmente également.
Que fait le MdD face à cette vulnérabilité croissante?
Il y a sept ans, le ministère de la Défense (MdD) avait créé Comply to Connect (C2C) afin de sécuriser sa gamme croissante de points de terminaison réseau. C2C est un système formel pour 1) identifier et valider les nouveaux appareils connectés à un réseau; 2) évaluer leur conformité aux politiques de sécurité du MdD; 3) effectuer une surveillance continue de ces dispositifs, et; 4) résoudre automatiquement les problèmes liés aux appareils, réduisant ainsi le besoin de maintenir cyber hygiène sur les administrateurs de cybersécurité.
L’approche C2C combine les technologies de cybersécurité existantes et les technologies plus récentes pour faire face à la nature changeante de l’architecture réseau du ministère de la Défense (MdD). Le principe de base de C2C est de comprendre quels périphériques et quelles personnes se connectent aux réseaux MdD et quelle est leur sécurité. Avec cette connaissance, les commandants peuvent prendre des décisions de risque informées concernant ces connexions et les contrôler automatiquement en fonction de règles de sécurité. C2C fournit également au MdD un moyen de surveiller en permanence l’état des réseaux et des périphériques, qu’ils soient en réseau ou non, avec un degré de fidélité élevé. Les informations fournies par C2C alimenteront une console centralisée qui fournira à ces dirigeants une connaissance complète de la situation des principaux domaines de risque, ce qui, à son tour, éclairera la définition des politiques et l’allocation des ressources.
Sans C2C, le ministère de la Défense ne sait pas combien d’imprimantes, de contrôleurs industriels ou de réfrigérateurs il a sur ses réseaux. Il ne saura pas où ses outils de gestion des correctifs Windows ont cessé de fonctionner. On ne saura pas si les équipements fabriqués par Kaspersky et Huawei ont été retirés des systèmes, comme demandé par le Congrès. Il n’est pas possible de canaliser l’information réseau vers le leadership pour la prise de décision. En l’absence de ces capacités fondamentales, le MdD ne sera pas en mesure d’assumer les responsabilités fondamentales liées à la sécurisation de ses réseaux.
Le Congrès américain a ordonné à deux reprises au ministère de la Défense de mettre en œuvre la fonctionnalité C2C à deux reprises ces dernières années. Alors que le US Marine Corps et la US Navy, ainsi que quelques autres composants du MdD, ont avancé dans la mise en œuvre de ce programme, la plupart de ceux-ci ne l’ont pas encore fait. Le Congrès ne doit pas hésiter à demander au MdD s’il envisage de mettre pleinement en œuvre le C2C pour sécuriser ses systèmes et ses réseaux contre des ministère de la Défense de plus en plus sophistiqués.
