Cet article a été publié à l'origine par IoT Business News
L'internet des objets est partout, des capteurs météorologiques aux systèmes de contrôle industriel en passant par les montres intelligentes, les réfrigérateurs et les dispositifs médicaux implantés. Le nombre d'appareils IoT utilisés dans le monde devrait dépasser les 15 milliards cette année (soit trois fois le nombre d'utilisateurs humains sur l'internet), et devrait presque doubler d'ici 2030.
IoT Les appareils connectés recèlent un énorme potentiel de changement positif, mais leur capacité à connecter des objets, à partager des informations et à effectuer des actions est précisément ce qui les rend extrêmement vulnérables. La prolifération des appareils crée beaucoup de risques, car la surface d'attaque des appareils connectés s'étend à pratiquement tous les niveaux de la société.
Étant donné que les dispositifs IoT abondent dans les applications destinées aux infrastructures critiques, aux soins de santé et à l'usage des consommateurs, il est important d'assurer une bonne sécurité sur le site IoT . Parmi les exemples les plus notables illustrant les vulnérabilités des dispositifs IoT , on peut citer les dispositifs médicaux compromis tels que les appareils cardiaques et les pompes à insuline, ainsi que les connexions sans fil défectueuses dans les voitures qui ont permis à un pirate de couper les freins, d'éteindre le moteur ou de prendre le contrôle de la direction. Il existe également des récits personnels qui font froid dans le dos, comme cet incident où un moniteur pour bébé compromis a permis à un pirate informatique d'observer un bébé et de menacer de manière audible ses parents de le kidnapper. Malheureusement, une enquête récente menée par Pulse et Keyfactor a révélé que si 62 % des responsables de produits et de fabrication sont préoccupés par la sécurité de leurs appareils IoT , seuls 42 % d'entre eux estiment disposer d'une stratégie claire pour sécuriser les identités des appareils.
Comme c'est souvent le cas avec les nouvelles technologies, la croissance explosive du site IoT a été plus rapide que la sécurité. Mais à mesure que les appareils IoT se banalisent, les risques augmentent considérablement, jusqu'à mettre la vie des gens en jeu. La sécurité IoT doit devenir une priorité - et il incombe à chaque organisation de prendre les mesures nécessaires pour s'assurer que toute application ou tout appareil utilisé IoT est sécurisé.
Priorité à la sécurité IoT à chaque étape
Les fabricants d'appareils n'ont souvent pas de norme de sécurité claire à utiliser, ce qui crée beaucoup d'ambiguïté et d'incohérence sur le marché. Cette ambiguïté peut se répercuter en aval, entraînant des incohérences dans les pratiques d'authentification, les mises à jour de sécurité en cours et les communications entre les appareils connectés. Bien que des changements soient en cours, comme la norme Matter pour les maisons intelligentes, les efforts visant à établir des normes de sécurité minimales pour les appareils IoT ne sont pas encore assez répandus.
Pour surmonter les risques croissants associés aux appareils IoT , les organisations doivent adopter le même type d'approche que celle appliquée au développement software - en introduisant la sécurité dès le début du processus de développement et en lui donnant la priorité à chaque étape ultérieure. Avec cet état d'esprit, les équipes peuvent créer des identités de confiance pour les appareils, assurer la confidentialité des données et maintenir l'intégrité des données et des microprogrammes fonctionnant sur chaque appareil. Le respect des meilleures pratiques suivantes contribuera à renforcer la sécurité des appareils sur le site IoT .
Créez des identifiants uniques pour chaque appareil.
Les certificats numériques sont utilisés pour vérifier l'identité de l'expéditeur d'un message électronique en créant une méthode d'authentification unique et hautement sécurisée pour chaque appareil. Fournir à chaque appareil un certificat numérique unique est nettement plus efficace que d'utiliser simplement des mots de passe par défaut ou même des clés partagées pour le cryptage symétrique. En effet, le chiffrement symétrique ne fait pas de différence entre les appareils, ce qui rend impossible le partage d'informations avec un appareil connecté spécifique ou la connaissance de l'appareil d'où proviennent les données. L'utilisation du cryptage asymétrique avec des certificats numériques uniques permet aux fabricants de partager des informations avec un appareil spécifique et de savoir de quel appareil spécifique les données proviennent, ce qui permet une authentification hautement sécurisée de chaque appareil et garantit l'intégrité des données.
Prenez des précautions supplémentaires pour le stockage des clés privées.
La création d'identifiants uniques pour chaque appareil IoT nécessite l'utilisation de la cryptographie asymétrique, qui génère une paire de clés publique et privée. Alors que les clés publiques peuvent être partagées, les clés privées doivent être stockées en toute sécurité. Le meilleur moyen est d'utiliser une sécurité basée sur hardware, telle que Trusted Mobile Platform (TPM) ou Secure Storage. Une puce TPM, par exemple, protège les clés et les certificats numériques par l'intermédiaire d'un processeur de cryptage sécurisé compatible avec le site hardware, offrant ainsi une solide protection contre la compromission.
Vérifier les mises à jour du micrologiciel et de software .
La possibilité pour les pirates d'installer une adresse software malveillante sur les appareils connectés constitue une menace importante. L'utilisation d'une paire de clés publique/privée et l'obligation pour les équipes de développement de signer leur code réduisent cette menace. Chaque appareil aurait besoin d'une clé publique correspondant à la clé privée de l'équipe de développement, ce qui permettrait de vérifier que la mise à jour provient bien de l'équipe et qu'elle n'a pas été modifiée en cours de route.
Assurer une gestion continue du cycle de vie.
Tout système statique est intrinsèquement peu sûr, et les certificats numériques et les paires de clés utilisés s'affaibliront avec le temps. Sans une gestion adéquate, les certificats risquent fort d'expirer ou de servir d'outil d'infiltration pour les cybercriminels, à l'insu de l'équipe. En effet, un certificat reste valide, même s'il a été mis hors service avant sa durée de vie de 398 jours. Avec la quantité croissante de dispositifs IoT , le suivi de l'inventaire sur le terrain et la détection des changements de dispositifs sont les défis de sécurité les plus importants pour les organisations. Pour mettre en œuvre une gestion adéquate du cycle de vie, les équipes doivent cartographier l'ensemble des appareils et des clés et certificats numériques associés au sein de leur organisation. Cela permet d'établir un inventaire exact de ce qui est utilisé et de faciliter le suivi de tous les certificats et clés, en particulier lorsque des mises à jour sont nécessaires ou lorsque les équipes doivent révoquer un certificat pour un appareil qui n'est plus utilisé.
Au fur et à mesure que l'écosystème IoT s'est développé et a atteint sa maturité, de graves problèmes de sécurité sont apparus, qui pourraient coûter des millions de dollars aux fabricants d'appareils et entraîner une perte de confiance non quantifiable. Dans le pire des cas, une faille de sécurité pourrait mettre des vies en danger. Le nombre considérable d'appareils IoT dans le monde et le fait qu'ils remplissent désormais des fonctions essentielles dans divers domaines signifient qu'il est temps de prendre au sérieux la sécurité de IoT . En donnant la priorité à la sécurité de IoT par le biais du cryptage, d'identifiants uniques et d'une gestion continue du cycle de vie, les organisations peuvent être assurées que les nouveaux appareils innovants qu'elles introduisent sur le marché - ainsi que les appareils utilisés dans le cadre de leurs propres activités - n'introduiront aucun risque perturbateur.