Le secteur industriel évolue rapidement, et les organisations accélèrent leurs efforts de numérisation avec l'automatisation, l'IA et les capteurs et machines connectés. Mais si ces efforts améliorent l'efficacité et permettent de nouveaux modèles commerciaux, ils introduisent également des menaces de cybersécurité telles que les attaques IoT et les vulnérabilités des ransomwares qui menacent de perturber l'infrastructure industrielle et les chaînes d'approvisionnement.
De nombreuses organisations industrielles protègent leurs opérations à l'aide d'une infrastructure à clé publique (PKI). Les résultats du rapport Keyfactor's Rapport sur l'état de l'identité des machines en 2023 révèlent que les principaux facteurs qui favorisent l'utilisation de PKI, des clés et des certificats numériques dans l'entreprise sont les suivants les stratégies de confiance zéro (50 %), les appareils IoT (49 %) et les services basés sur le cloud (48 %). Le rapport couvre les répondants de plus de 12 secteurs d'activité, dont un pourcentage élevé des secteurs industriels et manufacturiers.
Même si les fabricants sont conscients de l'importance de la cybersécurité, certains d'entre eux ont du mal à en saisir la complexité dans les environnements industriels et à se tenir au courant des nouvelles exigences en matière de normes industrielles. normes industrielles émergentesdes protocoles et des concepts. Nous vous expliquons ici comment commencer à automatiser le cycle de vie de votre identité industrielle, comment la législation européenne en matière de cybersécurité a un impact sur le secteur industriel, et pourquoi certificats X.509 sont indispensables au marché de la cybersécurité industrielle.
PKI est au cœur des normes et réglementations en matière de cybersécurité
La prolifération des usines intelligentes et le rapprochement des technologies de l'information et de la communication au sein d'une même infrastructure ont fait de la numérisation une nécessité dans le monde industriel. Le besoin croissant de cybersécurité industrielle a conduit à de nouvelles normes et réglementations qui consolident le marché, de sorte que les fournisseurs et les opérateurs disposent d'une feuille de route claire pour répondre aux exigences de sécurisation de leur environnement d'usine intelligente.
"La cybersécurité est absolument essentielle, et nous constatons que la technologie PKI fait partie intégrante des normes industrielles de cybersécurité qui sont en train de voir le jour", a déclaré Andreas Philipp, Senior Business Development Manager, IoT , à l'adresse Keyfactor. "Ces normes sont passées des meilleures pratiques à des lignes directrices précises et à des directives de mise en œuvre qui évolueront dans les années à venir."
Les normes et réglementations relatives à la cybersécurité dans le secteur industriel se situent à trois niveaux :
- Cadre général
- CEI 62443 : il s'agit du cadre de base pour la définition des niveaux de sécurité et des fonctions pour les opérateurs, les développeurs de produits et les fournisseurs de services.
- Règlement et directive
- Loi européenne sur la cyber-résilience : Exigences obligatoires pour les produits contenant des éléments numériques.
- EU NIS2 (sécurité des réseaux et de l'information) : Renforcer la cybersécurité dans l'Union européenne.
- Directive européenne sur les machines : Accroître la confiance dans les technologies numériques.
- Normes industrielles (extrait)
- IEEE 802.1. AR : Identités sécurisées
- OPC 10000-12 : UA Partie 12 : Découverte et services globaux
- OPC 10000-21 : UA Partie 21 : Embarquement des appareils
- BRSKI (RFC 8995) : Amorçage de l'infrastructure de clés sécurisées à distance
"Ces normes et réglementations sont à différents stades de publication, et il appartiendra ensuite aux fournisseurs tels que Keyfactor de mettre en œuvre la fonctionnalité et de façonner les composants de l'infrastructure tels que PKI pour s'adapter à la technologie industrielle et à la pile de protocoles", a déclaré M. Philipp.
Identité des appareils : Le point de départ du cycle de vie de confiance
Mais les normes et réglementations de l'industrie peuvent s'effondrer si elles n'ont pas un objectif commun : la confiance. La confiance doit être établie entre le fabricant de l'appareil, l'intégrateur et l'opérateur. L'industrie continuera à être confrontée au défi d'établir la confiance tout au long de la chaîne d'approvisionnement, à moins qu'elle ne commence par l'identité de l'appareil.
"Si vous n'êtes pas en mesure de provisionner, de fournir ou d'imprimer une identité numérique dans votre appareil physique, tous les scénarios ultérieurs sont inutiles", prévient M. Philipp.
Alors, comment les entreprises industrielles peuvent-elles émettre des dispositifs de confiance ? La réponse est IEEE 802.1AR. La norme IEEE 802.1AR spécifie une identité standard pour les appareils et constitue la base de toutes les fonctions et caractéristiques futures, y compris :
- Approvisionnement sécurisé des appareils
- Démarrage sécurisé
- Mise à jour sécurisée de software
- Communication de confiance
Keyfactor fournira une solution aux organisations industrielles pour mettre en œuvre la norme IEEE 802.1AR pour le provisionnement des IDevID et LDevID et pour permettre un HSM USB à faible coût de notre partenaire Swissbit, un leader dans le stockage et la protection des données. Keyfactor publiera le code source sur Github Repro dans le courant de l'année et communiquera de plus amples informations lors d'événements et de séminaires en ligne à venir.
Lancement de l'Open Industrial PKI et du programme EJBCA Ready
De nombreux constructeurs de machines et fabricants de composants savent que PKI est le moteur de la confiance dans leur réseau, mais ils ne savent pas comment tirer parti de la technologie PKI . C'est la raison pour laquelle Keyfactor s'est associé à Campus Schwarzwaldun centre allemand d'enseignement, de recherche et de technologie dans le domaine de l'ingénierie mécanique et de l'industrie manufacturière. Ensemble, nous avons fondé le réseau d'innovation ouverte appelé Open Industrial PKI.
Cette organisation à but non lucratif offre un service gratuit d'émission et de gestion de certificats X.509 afin de faciliter l'accès des entreprises industrielles à l'infrastructure PKI . Open Industrial PKI soutient l'industrie en proposant des meilleures pratiques et des exemples de mise en œuvre pour l'intégration PKI.
Keyfactor travaille également avec le Campus Schwarzwald sur le programme EJBCA Ready, un service indépendant et gratuit d'essais d'interopérabilité PKI , dans le cadre duquel les composants des appareils d'une organisation industrielle sont testés en fonction de leur conformité avec les interfaces standard PKI .
"Nous sommes ravis de nos partenariats avec le Campus Schwarzwald, car nous continuons à aider les fabricants et les opérateurs industriels en leur apportant l'expertise, la technologie et les ressources nécessaires pour mettre en œuvre la confiance et l'identité numériques", a conclu M. Philipp.
Pour en savoir plus sur les initiatives de Keyfactoren faveur de la cybersécurité industrielle et sur la manière dont PKI peut protéger votre organisation, regardez le webinaire à la demande suivant Le rôle de PKI dans la cybersécurité industrielle.
