in e-Marketing

Rapid7 met le cap sur la sécurité des objets connectés

Grâce à de nouveaux services de conseil et d’évaluation de sécurité, l’éditeur favorise la conception et le déploiement sécurisés de l’IoT.

Rapid7, Inc., éditeur majeur de solutions de sécurité analytique des données, présente de nouvelles offres de conseil et de tests de sécurité dont l’objectif est d’aider les entreprises à développer et déployer en toute sécurité leurs objets – grand public, professionnel et industriel – connectés à Internet (l’IoT).

Rapid7 compte ainsi aider les entreprises à réfléchir de manière stratégique à l’intégration des pratiques de sécurité aux cycles de développement de leurs objets connectés. L’offre Rapid7 inclura une évaluation et des essais complets des faiblesses potentielles en termes de matériels et de logiciels, ainsi que des analyses d’investigation des équipements piratés. 

Le risque lié aux équipements IoT n’est plus seulement théorique, il est bien réel 

Les équipements IoT piratés peuvent être utilisés pour lancer et amplifier des attaques par déni de service (DDoS). À l’image du malware Mirai, de récentes cyber-attaques ont exploité les failles des appareils IoT. Outre la protection de ces derniers, les professionnels de l’informatique et de la sécurité doivent défendre leurs réseaux contre ce nouveau vecteur de menaces. Les équipements IoT créent de nouvelles opportunités d’invasion des réseaux pour y dérober des informations et peuvent être piratés pour accéder à des espaces ou des ressources matérielles, voire pour nuire aux utilisateurs. Plus ces derniers dépendent des fonctionnalités des appareils connectés, plus le risque représenté par la perte ou le piratage de l’utilisation s’aggrave.

Deral Heiland, Directrice des études sur l’IoT chez Rapid7 explique : « Les incidents de sécurité ne se limitent plus aux cas dans lesquels un seul équipement vulnérable ciblé permet de pirater un système entier ou un utilisateur. Aujourd’hui, nous constatons des attaques à grande échelle, s’appuyant sur une multitude d’équipements, contre des entreprises de renom. Pour cette raison, les concepteurs et les fabricants d’appareils sont désormais scrutés sous tous les angles, et les attentes qui pèsent sur eux ne cessent de s’intensifier. Si leurs produits sont généralement considérés comme étant sûrs, bon nombre de concepteurs n’ont toujours pas fini d’assimiler les principes de base de la conception sécurisée. »

Rapid7 présente ses nouveaux services de conseil et d’évaluation pour les objets connectés grand public, professionnels, industriels, et pour les secteurs de la santé et du transport : 

  • Conseil stratégique : des conseils d’expert sur les méthodes de développement de technologies IoT à sécurité intrinsèque. Les consultants Rapid7 collaborent avec les experts du secteur et les regroupements industriels pour faciliter le développement de normes et de bonnes pratiques en matière de sécurité de l’IoT, et traduisent cette expertise en engagements vis-à-vis des développeurs IoT.
  • Modélisation des menaces : mise au point de modèles de menace complets sur la totalité du système de l’entreprise, capables d’évoluer tout au long du cycle de vie du produit pour aider à identifier et à neutraliser les problèmes les plus graves, ainsi qu’à documenter la politique de sécurité applicable à un produit donné.
  • Conseil en conception d’équipements : la conception du matériel est souvent la première étape d’un projet d’envergure. Elle peut déterminer les limitations et les points faibles. Rapid7 fournit des conseils pour chaque étape du développement, afin d’éviter que les problèmes matériels ne deviennent le tendon d’Achille de l’architecture de sécurité logicielle.
  • Gestion des incidents : après une attaque, l’obtention d’informations d’investigation provenant d’une autre source que les logs d’appareil peut s’avérer essentielle. Les équipes de Rapid7 spécialistes du matériel peuvent aider leurs clients à obtenir les informations dont ils ont besoin directement auprès d’un produit.
  • Tests de sécurité et analyses de vulnérabilité
    • Tests d’intrusion IoT : les tests d’intrusion et d’analyse des systèmes de Rapid7 ne se résument pas à une simple analyse. Ils envisagent l’écosystème des technologies IoT dans sa globalité, notamment les applications mobiles dédiées, les API, communications et protocoles Cloud, le matériel et les micrologiciels incorporés.
    • Test du matériel : Rapid7 examine la sécurité physique et l’architecture interne de l’appareil, y compris ses composants, pour déterminer l’ampleur et la diversité de sa surface d’attaque physique. Rapid7 fournit également des conseils pratiques pour faciliter la résolution des problèmes identifiés.
    • Test des protocoles : Rapid7 évalue et teste les communications bidirectionnelles de l’équipement, notamment les protocoles utilisés, la sécurité cryptographique des transmissions cryptées, la capacité à intercepter et à modifier les transmissions de données et le fuzzing des protocoles de communication, afin de déterminer le risque pesant sur l’entreprise et ses clients. L’éditeur fournit aussi des conseils pratiques pour hiérarchiser et atténuer les risques identifiés.
    • Analyse du micrologiciel : les spécialistes de Rapid7 extraient et examinent le contenu du micrologiciel afin de détecter d’éventuels comptes backdoor, failles d’injection, dépassements de tampon, chaînes de format et autres vulnérabilités, en étendant leur analyse au processus de mise à niveau du micrologiciel afin de garantir également la sécurité du cryptage des clés publiques et des fonctionnalités de la mise à niveau. 

Les spécialistes de la sécurité de Rapid7 sont largement reconnus pour leurs études dans le domaine de l’IoT. Responsables de la détection de failles de sécurité sur divers objets connectés (pompes à insuline , ampoules électriques, voitures, jouets ou encore des baby-phones), Rapid7 s’appuie sur ses études de sécurité pour mieux protéger les particuliers et les entreprises.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.