De plus en plus de systmes connects sont utiliss pour fournir les lments essentiels de notre vie quotidienne. De l'eau et de l'lectricit qui entrent dans nos maisons aux traitements mdicaux que nous recevons, l'"Internet tendu des objets" (XIoT) est impliqu.Un nouveau rapport sur l'tat de la scurit du XIoT, rdig par les chercheurs de l'quipe Claroty82, montre que les vulnrabilits de ces systmes cyber-physiques divulgues au cours du second semestre 2022 ont diminu de 14 % depuis le pic atteint en 2021. Dans le mme temps, les vulnrabilits dcouvertes par les quipes internes de recherche et de scurit des produits ont augment de 80 % sur la mme priode, ce qui indique que les fournisseurs prennent le risque au srieux.
"Une grande majorit des fournisseurs ont maintenant un processus formel de divulgation des vulnrabilits", explique Nadav Erez, VP des donnes chez Claroty. "C'est vraiment excitant de voir une entreprise qui n'a pas de processus de divulgation passer travers cela et comprendre l'importance de ce processus et le construire et le formaliser galement."
La recherche montre que 62 % des vulnrabilits des technologies oprationnelles (OT) publies affectent les dispositifs de niveau 3 du modle Purdue pour les ICS. Ces appareils grent les flux de production et peuvent constituer des points de passage essentiels entre les rseaux informatiques et les rseaux OT, ce qui les rend trs attrayants pour les acteurs de la menace qui cherchent perturber les oprations industrielles.
Selon le rapport, 71 % des vulnrabilits ont reu un score CVSS v3 "critique" ou "lev", et 63 % des vulnrabilits sont exploitables distance sur le rseau, ce qui signifie qu'un acteur de la menace n'a pas besoin d'un accs local, adjacent ou physique au dispositif concern pour exploiter la vulnrabilit.
En ce qui concerne les risques, le principal impact potentiel est l'excution non autorise de codes ou de commandes distance (54 % des vulnrabilits), suivie par les dnis de service (plantage, sortie ou redmarrage) (43 %).
"Nous constatons une augmentation des rglementations gouvernementales dans le domaine des soins de sant et des infrastructures critiques", ajoute M. Erez. "Cette pression rglementaire se rpercute jusqu'aux fournisseurs. Nous constatons galement que les clients commencent prendre en compte la scurit lorsqu'ils choisissent un fournisseur. Si vous perdez un contrat parce que vous n'tes pas en mesure de fournir une nomenclature logicielle, cela vous incitera le faire pour le prochain contrat."
Source : Claroty
Et vous ?
Que pensez-vous de cette tude de Claroty ? Trouvez-vous qu'elle est pertinente, voire utile ?
Selon vous, outre la dimension scurit, quels autres critres retenez-vous pour le choix de votre fournisseur ?
Voir aussi :
Le nombre de vulnrabilits ICS signales a bondi de 110 % au cours des quatre dernires annes, dont 34 % concernent les appareils IoT, informatiques et mdicaux, d'aprs un rapport de Claroty
Prs de la moiti des projets IoT ne testent pas la scurit des logiciels, malgr que 73,6 % des personnes interroges considrent la scurit comme importante, d'aprs GrammaTech
80% des entreprises dclarent avoir t attaques, et plus de 60% d'entre elles ont pay une ranon, selon l'enqute de Claroty sur l'tat mondial de la cyberscurit industrielle en 2021
