Au cours des derniers mois, j'ai eu plus de conversations que jamais avec des équipes de produits, des ingénieurs et des responsables de la sécurité qui sont tous confrontés à la même pression : comment suivre le rythme de l'évolution de la sécurité de IoT sans ralentir l'innovation nécessaire au lancement de nouveaux produits.
Qu'il s'agisse des nouvelles réglementations relatives à IoT , des attentes croissantes des consommateurs en matière de sécurité ou des cyberattaques de plus en plus sophistiquées contre les appareils intelligents, les défis sont réels et ne cessent de croître. C'est pourquoi nous avons mis à jour nos 10 étapes vers la sécurité de IoT eBook. Non seulement pour rafraîchir le contenu, mais aussi pour donner aux équipementiers des conseils pratiques, ancrés dans la réalité d'aujourd'hui.
🔍 Nouveautés
Cette édition récemment mise à jour est votre guide pour construire des produits sécurisés, conformes et prêts pour l'avenir. L'édition mise à jour :
- Reflète les nouveaux modèles de menace : Les microprogrammes, les chaînes d'approvisionnement en software et les identités des appareils sont désormais des cibles privilégiées.
- Couvre l'évolution des normes et des attentes : Ce qui était acceptable il y a trois ans ne l'est plus aujourd'hui.
- Relever les défis techniques : De la crypto-agilité aux mises à jour OTA dans des environnements à ressources limitées.
- Ajoute des conseils plus approfondis sur la mise à l'échelle en toute sécurité : Parce que ce qui fonctionne pour 10 appareils ne suffit pas pour 10 000.
C'est pourquoi j'ai rassemblé cinq priorités fondamentales sur lesquelles tous les équipementiers devraient se concentrer pour commencer à intégrer la sécurité dès la conception - dès aujourd'hui. Entrons dans le vif du sujet.
🛠️ La sécurité dès la conception
1. Construire une architecture de confiance zéro avec l'PKI pour l'IoT
La confiance numérique repose sur l'infrastructure à clé publiquePKI, et il est essentiel d'établir votre racine de confiance (RoT) dès le début du processus de développement. Il y a quelques éléments à prendre en compte, tels que l'infrastructure de confiance hardware, software ou hybride, ainsi que des éléments de conception, y compris les types de clés et d'algorithmes, par exemple.
En résumé, il est essentiel de réfléchir dès le départ aux choix de conception, car c'est le point de départ de l'établissement d'une plateforme de sécurité des produits pour les appareils que vous développez aujourd'hui et à l'avenir.
2. Mise en œuvre d'un approvisionnement sécurisé et d'une gestion du cycle de vie
Une fois que la RdT a été établie, un processus initial sécurisé d'approvisionnement des appareils peut être mis en place. En général, un certificat de naissance est délivré à chaque appareil périphérique, sous la forme d'un certificat X.509 qui constitue l'identité immuable de l'appareil. Ce certificat est valable pendant toute la durée de vie de l'appareil pour en prouver l'origine et l'authenticité.
Des certificats opérationnels peuvent également être délivrés aux appareils utilisés par un client final afin de garantir la confiance en cours d'exécution et d'établir des connexions TLS sécurisées. TLS au fil du temps. Il est également essentiel de mettre en place un processus solide de gestion du cycle de vie des certificats pour gérer les identités au fil du temps.
3. Protéger les microprogrammes et les mises à jour OTA
Les mises à jour de micrologiciels par voie hertzienne sont courantes, mais il est essentiel de s'assurer que vous avez mis en place un processus de développement de code sécurisé, y compris la signature initiale, l'audit et les mises à jour à distance. Cela permet d'éviter l'installation de logiciels malveillants sur les appareils que vous avez vendus à vos clients, et de garantir que vous disposez d'un enregistrement correct de toutes les opérations de signature en cas d'audit.
4. Intégrer la crypto-agilité et la protection du futur
Le NIST a annoncé que les algorithmes RSA et ECC seront obsolètes d'ici 2030, et les fabricants de produits doivent donc réfléchir à la manière de mettre à jour la cryptographie qui se trouvent à l'intérieur des appareils de terrain, en particulier si les appareils sont encore sous garantie ou s'ils doivent rester opérationnels après cette échéance imminente.
Les produits connectés ont la possibilité d'adopter également des des algorithmes à sécurité quantique. Bien que l'intégration dépende des contraintes hardware et software , il est crucial - en particulier dans certaines industries - de prendre en compte cette possibilité dans le développement des lignes de produits actuelles afin de garantir la sécurité et la résilience à long terme.
5. Attribuer la propriété de la sécurité tout au long du cycle de vie du produit
La sécurité des produits ne relève pas de la responsabilité d'une seule personne ou d'une seule entreprise. Il s'agit d'une combinaison de plusieurs parties prenantes qui s'unissent dans le cadre d'un plan cohérent, depuis le fabricant de composants jusqu'à l'opérateur ou le client final, en passant par l'intégrateur de produits ou de solutions.
Garantir une sécurité solide des appareils IoT tout au long du cycle de vie du produit nécessite une responsabilité claire à chaque étape. Les régulateurs industriels ou régionaux jouent également un rôle en fournissant des orientations pour aider à élever la norme pour les appareils connectés, en particulier ceux qui protègent nos infrastructures critiques et notre qualité de vie.
La sécurité de lIoT évolue rapidement - ne vous laissez pas distancer
La sécurité dès la conception n'est plus seulement une meilleure pratique - elle est fondamentale pour une sécurité solide des appareils IoT . Commencez par ces cinq priorités et utilisez l'eBook mis à jour comme un guide pratique pour renforcer votre posture de sécurité à travers les produits connectés.
👉 Téléchargez la nouvelle version révisée de 10 étapes vers la sécurité de IoT et faites le premier pas vers la construction d'appareils plus sûrs et plus résilients.
