Nouvelles Du Monde

Les logiciels obsolètes sur les appareils augmentent les risques liés à la cybercriminalité

Düsseldorf.

  • Toutes les entreprises soumises à la nouvelle réglementation NIS2 doivent mettre à jour le logiciel de leurs appareils
  • S’applique à tous les équipements, machines et systèmes dans les bureaux, les laboratoires, la production et la logistique

« Le projet gouvernemental NIS2 a été adopté et n’attend plus qu’à être annoncé. Avec l’entrée en vigueur de NIS2, non seulement les réseaux informatiques des entreprises concernées seront soumis aux nouvelles réglementations en matière de cybersécurité, mais également tous les contrôles industriels, les équipements de bureau et de laboratoire, les machines et systèmes industriels intégrés au réseau », déclare Jan Wendenburg, PDG de l’entreprise allemande de cybersécurité UNE CLÉL’expert en cybersécurité cite comme exemples typiques du secteur des bureaux les imprimantes, les caméras de sécurité, les détecteurs de mouvement, les systèmes d’éclairage intelligents, les systèmes de conférence en réseau, les tableaux blancs et autres dispositifs de présentation, les contrôles d’accès, les capteurs d’occupation des locaux, les chariots à courrier et les systèmes de verrouillage intelligents. Dans l’industrie, les machines CNC, les lignes de production, les systèmes de stockage et de logistique, les véhicules autonomes, les robots, les capteurs et les systèmes de toutes sortes sont également concernés, il donne d’autres exemples.

Jan Wendenburg précise : « Toutes les entreprises soumises à la NIS2 doivent vérifier et documenter que tous ces appareils sont équipés de logiciels à jour et sont donc aussi bien équipés que possible contre les cyberattaques. »

La directive européenne « Network & Information Security 2 » (NIS2) s’applique à toutes les entreprises classées comme infrastructures critiques (KRITIS). Il s’agit notamment des opérateurs et fournisseurs des secteurs de l’énergie, des transports, des banques, des infrastructures des marchés financiers, de la santé, de l’eau potable, des eaux usées, de l’administration publique, des infrastructures numériques, de la gestion des services TIC, des services postaux et de messagerie, de la gestion des déchets, de l’aérospatiale, de la fabrication, de la production et de la distribution de produits chimiques, de la production, de la transformation et de la distribution de denrées alimentaires, de la fabrication de produits médicaux, des machines, des véhicules et des équipements électriques/électroniques ainsi que des installations de recherche. L’Office fédéral de la sécurité de l’information (BSI) compétent estime que près de 30 000 entreprises sont concernées et propose une option en ligne pour vérifier si elles sont soumises à la NIS2 : www.bsi.bund.de/dok/nis-2-betroffenheitspruefungL’expert Jan Wendenburg souligne : « NIS2 couvre l’ensemble de la chaîne d’approvisionnement de KRITIS ainsi que ses fournisseurs et partenaires commerciaux. Toute entreprise qui entretient des relations commerciales avec un hôpital, un fournisseur d’énergie ou un prestataire de services financiers, par exemple, devrait mieux se préparer à NIS2, y compris ses appareils en réseau au bureau, au laboratoire et dans la production. »

« Personne ne se soucie du logiciel d’impression »

Selon l’expert en cybersécurité des appareils, des machines et des systèmes, « très peu d’entreprises ont à l’esprit la résilience aux attaques de pirates informatiques en dehors des réseaux informatiques ».

Il donne un exemple pratique : « Le logiciel de l’imprimante n’est souvent pas au centre de l’attention tant que l’imprimante fonctionne correctement. Mais en réalité, les pirates informatiques peuvent accéder au réseau de l’entreprise via des programmes obsolètes dans les imprimantes. » Pour les programmeurs expérimentés, le processus est un jeu d’enfant : « Les pirates commencent par l’imprimante, trouvent un Active Directory, exécutent une requête à l’aide d’un compte sur l’imprimante et, dans le pire des cas, se retrouvent au cœur même de l’informatique de l’entreprise. »

Listes des composants logiciels requis pour NIS2 et CRA

Le micrologiciel, comme on appelle dans le jargon technique le logiciel intégré dans les appareils, les machines et les systèmes, est considéré par de nombreux experts comme une « lacune critique » dans la stratégie de sécurité des entreprises et des autorités. La recommandation : « Les entreprises concernées par NIS2 devraient obtenir le plus rapidement possible une liste des composants logiciels auprès des fournisseurs de tous les appareils en réseau au sens large qui sont en service opérationnel. » Cette liste de composants, connue dans le secteur de la sécurité sous le nom de Software Bill of Materials (SBOM), répertorie tous les programmes utilisés dans l’entreprise dans leur intégralité. Comme il est généralement difficile d’accéder au micrologiciel pour les appareils plus anciens, comme une imprimante en service depuis dix ans, Jan Wendenburg recommande d’utiliser les outils SBOM pour enregistrer automatiquement tous les composants logiciels et générer une liste de composants logiciels correspondante. « Cela n’est pas seulement important pour la conformité NIS2, mais aussi pour le futur acte de l’UE sur la cyber-résilience (CRA). »

Contexte technique : L’exactitude des informations sur les composants a un impact direct sur l’efficacité de la comparaison avec la base de données « Common Vulnerabilities and Exposures » (CVE) du Centre national de recherche et développement sur la cybersécurité financé par le gouvernement fédéral américain. Toutes les vulnérabilités avérées des logiciels, y compris des micrologiciels, y sont enregistrées de manière centralisée, de sorte qu’une comparaison peut être utilisée pour déterminer si votre propre appareil contient des points d’entrée connus depuis longtemps – et donc également connus des pirates informatiques – pour les cybercriminels.

« Un inventaire complet et actualisé des logiciels de tous les appareils, machines et systèmes connectés au réseau informatique est la condition préalable à la cybersécurité et au respect des réglementations légales, de NIS2 à CRA », résume Jan Wendenburg, PDG de ONEKEY. Il souligne : « Chaque chaîne de sécurité n’est aussi solide que son maillon le plus faible. Un seul appareil doté d’un logiciel obsolète peut suffire à faire d’une entreprise entière la cible de cybercriminels. » Compte tenu des milliers d’attaques par jour, pour lui, « la question n’est pas de savoir si une entreprise sera attaquée par des pirates informatiques, mais quand et dans quelle mesure elle sera protégée contre eux. »

L’Office fédéral de police criminelle fait état de près de 135 000 cas de cybercriminalité officiellement signalés pour 2023 et soupçonne un chiffre sombre de 90 pour cent. Cela correspond à environ 1,5 million d’attaques par an.

UNE CLÉ est le spécialiste européen leader dans le domaine de la cybersécurité et de la gestion de la conformité des produits et fait partie du portefeuille d’investissement de PricewaterhouseCoopers Allemagne (PwC). La combinaison unique d’une plateforme automatisée de cybersécurité et de conformité des produits (PCCP) avec des connaissances spécialisées et des services de conseil offre une analyse, un soutien et une gestion rapides et complets pour améliorer la cybersécurité et la conformité des produits depuis l’achat, la conception, le développement, la production jusqu’à la fin de vie.

Les failles de sécurité critiques et les violations de conformité dans le micrologiciel de l’appareil sont identifiées de manière entièrement automatique dans le code binaire en quelques minutes grâce à la technologie basée sur l’IA – sans code source, accès à l’appareil ou au réseau. La création intégrée de « Software Bill of Materials (SBOM) » permet de vérifier de manière proactive les chaînes d’approvisionnement en logiciels. Les « Digital Cyber ​​​​Twins » permettent une surveillance automatisée 24h/24 et 7j/7 de la cybersécurité, même après la publication, tout au long du cycle de vie du produit.

Le Compliance Wizard(TM), en instance de brevet, intégré couvre déjà le futur Cyber ​​Resilience Act (CRA) de l’UE et les exigences existantes selon les normes IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 et bien d’autres.

L’équipe de réponse aux incidents de sécurité des produits (PSIRT) est efficacement soutenue par la priorisation automatique et intégrée des vulnérabilités et le temps de résolution des erreurs est considérablement réduit.

Des entreprises internationales de premier plan en Asie, en Europe et en Amérique bénéficient déjà avec succès de la plateforme de cybersécurité et de conformité des produits ONEKEY et des experts en cybersécurité ONEKEY.

Contact presse : Informations complémentaires : ONEKEY GmbH, Sara Fortmann, E-Mail : [email protected], Kaiserswerther Straße 45, 40477 Düsseldorf, Allemagne, Internet : www.onekey.com Agence de relations publiques : euromarcom public relations GmbH, Mühlhohle 2, 65205 Wiesbaden, Allemagne, E-mail : [email protected], Web : www.euromarcom.de

Matériel supplémentaire : www.presseportal.de Source : ONEKEY GmbH

#Les #logiciels #obsolètes #sur #les #appareils #augmentent #les #risques #liés #cybercriminalité

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie