Ce n'est un secret pour personne que les appareils connectés à l'internet ont besoin de sécurité pour protéger les données - et l'appareil lui-même - contre toute compromission. Cependant, dans de nombreux cas, les produits IoT ne sont pas conçus avec une sécurité suffisante pour se défendre contre les menaces actuelles. D'autres fois, les fabricants de hardware commettent des erreurs dans la mise en œuvre de leurs propres contrôles de sécurité, comme dans le cas de l'incident survenu récemment chez Netgear.
Quoi qu'il en soit, l'ajout de capacités réseau aux dispositifs embarqués signifie que nous ne pouvons plus appliquer les mêmes techniques de sécurité que celles utilisées dans les systèmes isolés. La conception d'un produit connecté sécurisé nécessite une réflexion et une planification considérables et il n'existe pas de solution unique. La manière dont la sécurité doit être mise en œuvre dépend d'une multitude de facteurs, notamment
- Quelles sont les données stockées ou transmises entre l'appareil et les autres applications connectées ?
- Le dispositif est-il soumis à des exigences réglementaires ? (i.e. PCI DSS, HIPAA, FDA, etc.)
- Quelles sont les limites de hardware ou de la conception qui affecteront la mise en œuvre de la sécurité ?
- Les dispositifs seront-ils fabriqués en interne ou dans une installation éloignée ou non fiable ?
- Quelle est la durée de vie prévue de l'appareil ?
L'idée ici n'est pas de fournir un guide complet pour la conception d'appareils sécurisés sur le site IoT , mais plutôt de vous faire réfléchir en termes d'exigences de sécurité. Voici six questions simples à se poser :
6 points essentiels à prendre en compte pour la conception d'un site IoT sécurisé
1. Quand le dispositif obtient-il une identité ?
Si la nouvelle loi californienne sur la sécurité IoT n'a pas été assez claire, des exploits récents nous montrent que les mots de passe codés en dur ou les clés partagées ne suffisent pas. Chaque appareil a besoin d'une identité unique. La question logique suivante est : "Quand l'appareil obtient-il cette identité ?"
Certains dispositifs sont fabriqués en interne, d'autres par des sous-traitants. Certains appareils nécessitent une identité pour établir la connectivité, tandis que d'autres peuvent attendre plus tard dans le processus. Il sera essentiel de comprendre le provisionnement initial de l'identité en termes de conception du produit et de gestion du cycle de vie.
2. Comment l'appareil s'authentifiera-t-il de manière sécurisée ?
IoT Les appareils de l'UE ont besoin d'une identité unique qui peut être utilisée pour s'authentifier lorsqu'ils tentent de se connecter à des passerelles ou à des systèmes dorsaux. Grâce à cette identité unique, les fabricants peuvent également garantir la confiance tout au long du cycle de vie du produit et révoquer ou remplacer les informations d'identification pour limiter les risques.
Supposons que vous fabriquiez un appareil qui stocke des données et les transmet à un serveur dorsal. Vous devrez vous assurer que chaque appareil a été doté d'identifiants uniques permettant de vérifier l'authenticité des autres systèmes et de garantir l'intégrité des données transmises par l'appareil.
3. Les données stockées sur le dispositif doivent-elles être cryptées ?
Selon le type d'appareil et les exigences réglementaires, il peut être nécessaire de crypter les données stockées sur l'appareil. En général, si l'appareil contient des informations personnelles identifiables (PII), il devra crypter les données au repos. Le cryptage des données peut nécessiter une conception importante en ce qui concerne la quantité de processeur et la puissance de calcul nécessaires à l'appareil. Les fonctions cryptographiques et PKI Les fonctions de cryptographie et d'encryptage pèsent également sur la consommation de la batterie, il est donc important de prendre ces considérations en compte dès le départ.
4. Comment le dispositif établira-t-il des communications sécurisées de bout en bout ?
L'appareil devra établir une session sécurisée avec les systèmes dorsaux en utilisant un cryptage suffisant pour protéger les communications. Pour ce faire, on utilise généralement SSL/TLS - déjà largement utilisé pour sécuriser les connexions entre les navigateurs web et les serveurs. Cependant, il faut garder à l'esprit que, tout comme le cryptage des données au repos, le cryptage des données en transit nécessitera également une certaine puissance de calcul.
5. Comment la confiance sera-t-elle gérée sur le dispositif ?
L'un des éléments souvent négligés de la conception de la sécurité est la manière dont la confiance est accordée à un dispositif et gérée tout au long de son cycle de vie. Si la confiance est relativement facile à gérer dans un environnement de fabrication fiable, c'est beaucoup plus difficile une fois que l'appareil quitte l'usine.
De nombreux appareils ont une durée de vie de plusieurs mois ou années et les normes de sécurité actuelles sont constamment remises en question. Nous pouvons supposer sans risque que ce qui est sûr aujourd'hui pourra être violé à un moment ou à un autre dans l'avenir. Il est impératif de pouvoir gérer la racine de confiance d'un appareil pour s'assurer qu'il reste sécurisé.
6. Comment les mises à jour de software/firmware seront-elles validées ?
Chaque appareil connecté devra être mis à jour à un moment ou à un autre de sa durée de vie. L'un des avantages des appareils IoT est qu'ils peuvent recevoir des mises à jour software/firmware par voie hertzienne (OTA). Cela dit, la possibilité de n'autoriser que les mises à jour autorisées est essentielle pour garantir l'intégrité de l'appareil et du code qui s'y exécute.
En d'autres termes, utilisez des processus de signature de code sécurisés pour valider la signature des mises à jour et garantir que seul du code fiable est exécuté sur l'appareil. La protection des clés et des certificats de signature de code est tout aussi importante pour empêcher les attaquants de compromettre les processus de signature afin d'injecter des logiciels malveillants sur les appareils.
1. Quand le dispositif obtient-il une identité ?
Si la nouvelle loi californienne sur la sécurité IoT n'a pas été assez claire, des exploits récents nous montrent que les mots de passe codés en dur ou les clés partagées ne suffisent pas. Chaque appareil a besoin d'une identité unique. La question logique suivante est : "Quand l'appareil obtient-il cette identité ?"
Certains dispositifs sont fabriqués en interne, d'autres par des sous-traitants. Certains appareils nécessitent une identité pour établir la connectivité, tandis que d'autres peuvent attendre plus tard dans le processus. Il sera essentiel de comprendre le provisionnement initial de l'identité en termes de conception du produit et de gestion du cycle de vie.
2. Comment l'appareil s'authentifiera-t-il de manière sécurisée ?
IoT Les appareils de l'UE ont besoin d'une identité unique qui peut être utilisée pour s'authentifier lorsqu'ils tentent de se connecter à des passerelles ou à des systèmes dorsaux. Grâce à cette identité unique, les fabricants peuvent également garantir la confiance tout au long du cycle de vie du produit et révoquer ou remplacer les informations d'identification pour limiter les risques.
Supposons que vous fabriquiez un appareil qui stocke des données et les transmet à un serveur dorsal. Vous devrez vous assurer que chaque appareil a été doté d'identifiants uniques permettant de vérifier l'authenticité des autres systèmes et de garantir l'intégrité des données transmises par l'appareil.
3. Les données stockées sur le dispositif doivent-elles être cryptées ?
Selon le type d'appareil et les exigences réglementaires, il peut être nécessaire de crypter les données stockées sur l'appareil. En général, si l'appareil contient des informations personnelles identifiables (PII), il devra crypter les données au repos. Le cryptage des données peut nécessiter une conception importante en ce qui concerne la quantité de processeur et la puissance de calcul nécessaires à l'appareil. Les fonctions cryptographiques et PKI Les fonctions de cryptographie et d'encryptage pèsent également sur la consommation de la batterie, il est donc important de prendre ces considérations en compte dès le départ.
4. Comment le dispositif établira-t-il des communications sécurisées de bout en bout ?
L'appareil devra établir une session sécurisée avec les systèmes dorsaux en utilisant un cryptage suffisant pour protéger les communications. Pour ce faire, on utilise généralement SSL/TLS - déjà largement utilisé pour sécuriser les connexions entre les navigateurs web et les serveurs. Cependant, il faut garder à l'esprit que, tout comme le cryptage des données au repos, le cryptage des données en transit nécessitera également une certaine puissance de calcul.
5. Comment la confiance sera-t-elle gérée sur le dispositif ?
L'un des éléments souvent négligés de la conception de la sécurité est la manière dont la confiance est accordée à un dispositif et gérée tout au long de son cycle de vie. Si la confiance est relativement facile à gérer dans un environnement de fabrication fiable, c'est beaucoup plus difficile une fois que l'appareil quitte l'usine.
De nombreux appareils ont une durée de vie de plusieurs mois ou années et les normes de sécurité actuelles sont constamment remises en question. Nous pouvons supposer sans risque que ce qui est sûr aujourd'hui pourra être violé à un moment ou à un autre dans l'avenir. Il est impératif de pouvoir gérer la racine de confiance d'un appareil pour s'assurer qu'il reste sécurisé.
6. Comment les mises à jour de software/firmware seront-elles validées ?
Chaque appareil connecté devra être mis à jour à un moment ou à un autre de sa durée de vie. L'un des avantages des appareils IoT est qu'ils peuvent recevoir des mises à jour software/firmware par voie hertzienne (OTA). Cela dit, la possibilité de n'autoriser que les mises à jour autorisées est essentielle pour garantir l'intégrité de l'appareil et du code qui s'y exécute.
En d'autres termes, utilisez des processus de signature de code sécurisés pour valider la signature des mises à jour et garantir que seul du code fiable est exécuté sur l'appareil. La protection des clés et des certificats de signature de code est tout aussi importante pour empêcher les attaquants de compromettre les processus de signature afin d'injecter des logiciels malveillants sur les appareils.
En bref - La sécurité commence dès la conception
La sécurité n'est pas le fruit du hasard. Elle doit être conçue dès le premier jour et maintenue jusqu'à ce que l'appareil soit éteint pour la dernière fois. Les exigences de sécurité doivent être définies en fonction du cycle de vie complet de l'appareil afin de garantir qu'il reste fiable et opérationnel de sa conception à sa fin de vie.
Les entreprises qui se dotent d'une identité forte dès la conception seront en mesure de commercialiser plus rapidement leurs produits, de les différencier, de résister à des exigences réglementaires plus strictes et de se prémunir contre des rappels de produits coûteux (et souvent embarrassants).
Par où commencer ?
Découvrez comment Keyfactor et Thales permettent aux fabricants de sécuriser la conception IoT et la fabrication zéro confiance. Regardez le webinaire IoT World Today à la demande.
