Au cours de la lecture de cet article, vous serez probablement amené à interagir avec plusieurs appareils connectés. Et vous n'y auriez probablement pas réfléchi si nous ne l'avions pas mentionné.
Ce comportement n'est qu'un des nombreux signes qui prouvent sans aucun doute que l'internet des objets (IoT), promis depuis longtemps, n'est pas seulement arrivé, mais qu'il s'est profondément ancré dans notre vie quotidienne.
C'est une bonne chose : le site IoT recèle un énorme potentiel. Nous en récoltons déjà les fruits dans de nombreux domaines, comme l'amélioration des informations médicales et la maintenance proactive des appareils, qui peuvent contribuer à améliorer la sécurité tout en nous faisant gagner du temps et de l'argent.
Mais malgré tous ces avantages, le site IoT comporte également de profonds risques en matière de sécurité. Au fur et à mesure que cette face cachée des appareils connectés apparaît, les organisations qui construisent et distribuent ces appareils se sont souvent trouvées prises au dépourvu.
Alors que nous continuons à avancer dans l'ère du IoT, la sécurité de bout en bout doit devenir une partie importante de la discussion. Nous devons mettre ces considérations au premier plan afin de nous assurer que rien n'est laissé au hasard.
L'impératif de sécurité du site IoT étant une priorité, nous avons récemment réuni un groupe d'experts pour une table ronde sur l'état actuel de la sécurité du site IoT et sur ce qui est nécessaire pour garantir la sécurité à l'avenir.
Voici quelques-unes des principales conclusions de cette discussion.
1) La sécurité sur le site IoT présente des défis uniques en termes d'échelle et de volume
L'un des principaux obstacles au démarrage est l'ampleur et le volume que le site IoT a atteint en si peu de temps. Plus précisément, IDC indique qu'il y aura 55,7 milliards d'appareils connectés d'ici 2025 et que les données générées par les appareils IoT augmenteront de 300 % entre 2019 et 2025. La taille de cet univers est sans précédent du point de vue de la sécurité.
À ce stade, les professionnels de la sécurité savent comment construire des architectures pour protéger des centaines ou des milliers d'appareils, voire des millions. Mais lorsque nous commençons à parler de dizaines de milliards d'appareils, la norme actuelle des processus de sécurité acceptés commence à s'effilocher. Déterminer la meilleure façon d'appliquer les pratiques de sécurité modernes à cette plus grande échelle sera l'un des premiers obstacles importants que nous devrons surmonter pour offrir un monde connecté entièrement sécurisé.
La plupart des points à retenir ci-dessous permettent d'examiner de plus près les différents éléments des dispositifs IoT qui devront être sécurisés.
2) Protéger les personnes qui peuvent parler aux appareils IoT et les contrôler a des conséquences réelles.
L'un des éléments les plus critiques de la sécurisation des appareils IoT consiste à verrouiller les personnes qui peuvent communiquer avec ces appareils et les contrôler sur le terrain. Cet élément de sécurité est toujours important pour s'assurer que les appareils ne tombent pas entre les mains de personnes malveillantes. Il est toutefois crucial dans des cas tels que les dispositifs médicaux et les véhicules connectés qui ont un impact direct sur la santé et la sécurité des personnes.
Offrir le niveau de protection nécessaire dans ce domaine commence par l'attribution d'une identité unique qui détermine qui peut communiquer avec un appareil, quelles mises à jour il peut lui envoyer et ce qu'il peut faire pour contrôler l'appareil pendant toute sa durée de vie. C'est au cours de cette conversation que l'authentification par le biais de capacités telles que l'infrastructure à clé publique (PKI) devient essentielle pour vérifier les identités et accorder (ou refuser) certains accès en conséquence.
3) Il n'existe pas de dispositif "innocent" IoT
Alors que de plus en plus d'appareils sont connectés, il est facile de considérer nombre d'entre eux comme "innocents". Il est vrai qu'un dispositif médical connecté à un patient présente un risque de sécurité plus grave et plus direct s'il est piraté qu'un appareil de climatisation connecté, mais cela ne signifie pas que l'appareil de climatisation est "innocent".
Aussi innocent qu'il puisse paraître, tout appareil connecté peut devenir une arme s'il tombe entre de mauvaises mains. En fait, il est déjà arrivé que des personnes malveillantes accèdent à des données sensibles en se faisant d'abord passer pour ces appareils "innocents" (comme les appareils de chauffage, de ventilation et de climatisation) afin d'enfreindre les pare-feux. C'est pourquoi il est essentiel d'accorder une attention particulière à la sécurisation de chaque appareil IoT (par exemple, via l'authentification et des mises à jour de sécurité régulières), quelle que soit l'utilisation prévue.
4) Il n'existe pas de données "banales" sur IoT .
Dans le même ordre d'idées, il est tout aussi essentiel de protéger les données collectées par les appareils IoT , quelles qu'elles soient et aussi banales qu'elles puissent paraître, car il n'existe pas de données IoT "banales". Prenons le cas d'un tracteur connecté qui fournit des données sur les cultures et les récoltes dans le champ où il se trouve. À première vue, ces données semblent certainement banales et largement inutiles, sauf pour quelques personnes. Cependant, si quelqu'un pouvait accéder à ce type de données provenant de centaines ou de milliers de tracteurs, il pourrait tout à coup commencer à prédire les rendements des cultures et se doter d'un solide marché à terme.
Ce n'est qu'un exemple parmi tant d'autres qui illustrent comment le flux de données provenant du site IoT peut devenir extrêmement perturbant et doit rester sous une gestion rigoureuse. Pour aller plus loin, l'authentification par certificat est l'un des meilleurs moyens que nous ayons vus pour établir les bonnes limites de confiance autour de ces données et s'assurer que seules les parties appropriées peuvent y accéder. Et cette authentification doit être forte, même si les données provenant d'un appareil semblent "banales".
5) Chaque dispositif IoT doit faire l'objet d'un plan de mise à jour tout au long de sa durée de vie.
Les dispositifs IoT mis sur le marché aujourd'hui pourraient bien être utilisés sur le terrain pendant 10 à 15 ans, en particulier dans les secteurs de l'industrie et des véhicules. Il ne fait aucun doute que des failles apparaîtront, que des faiblesses seront révélées et que la technologie dans son ensemble progressera de manière significative au cours de cette période. Et tant que ces dispositifs existeront, les fabricants devront trouver un moyen de les mettre à jour en conséquence s'ils veulent espérer qu'ils resteront sûrs pendant toute leur durée de vie.
Il est important que les fabricants élaborent un plan pour ces mises à jour avant que les appareils ne soient mis sur le marché. Ce plan doit prévoir un moyen de diffuser les mises à jour du micrologiciel en toute sécurité, de mettre à jour les bibliothèques cryptographiques sur lesquelles repose l'authentification, de révoquer l'authentification si nécessaire et de réenregistrer les certificats à mesure qu'ils expirent. En outre, le plan doit également envisager la manière dont les fabricants peuvent fournir ces mises à jour lorsque cela est nécessaire, même lorsque les appareils sont hors ligne ou changent de lieu (par exemple, dans l'UE, où les déplacements d'un pays à l'autre entraînent souvent des frais d'itinérance).
6) Les réglementations et la concurrence ne feront que renforcer l'importance de la sécurité de IoT .
Jusqu'à présent, le site IoT a été une sorte de "Far West" en matière de sécurité, mais les choses changent rapidement. Tout d'abord, les gouvernements et les groupes industriels commencent à promulguer des lignes directrices et des réglementations qui dictent le minimum requis du point de vue de la sécurité en ce qui concerne l'accès aux appareils, les mises à jour fournies et l'utilisation des données. Deuxièmement, les utilisateurs finaux de ces appareils sont attentifs et regardent au-delà des avantages et de l'innovation du site IoT pour s'assurer que la sécurité est bien présente, ce qui a commencé à faire de la protection un avantage concurrentiel dans ce domaine.
Bien qu'il reste encore un long chemin à parcourir en termes d'attentes et de réglementations en matière de sécurité, le vent commence à tourner dans la bonne direction. Par exemple, la FDA a commencé à publier des lignes directrices sur les meilleures pratiques en matière de cybersécurité pour les dispositifs médicaux (ces lignes directrices portent principalement sur l'authentification au moyen de clés et de certificats uniques et sur la capacité des dispositifs à recevoir des mises à jour), et les constructeurs automobiles collaborent désormais à l'élaboration de lignes directrices similaires. À l'avenir, nous pouvons nous attendre à ce que d'autres réglementations arrivent sur le marché, et leur présence rendra la sécurité des dispositifs IoT encore plus importante qu'elle ne l'est déjà.
7) IoT Les meilleures pratiques en matière de sécurité ne seront peut-être jamais normalisées.
Malgré l'augmentation des réglementations à laquelle on peut s'attendre dans les années à venir, il est important de reconnaître que les meilleures pratiques en matière de sécurité sur le site IoT ne seront peut-être jamais totalement normalisées. En effet, chaque dispositif IoT est différent : ils sont fabriqués différemment et ont des cas d'utilisation différents. Ces différences posent des défis uniques à l'élaboration d'un ensemble standard de meilleures pratiques que tout le monde peut suivre.
Du point de vue de la sécurité, nous constatons des points communs entre les différents cas d'utilisation, notamment l'importance de disposer d'informations d'identification uniques pour l'authentification sur chaque appareil et de pratiques sécurisées pour la fourniture de mises à jour. Cependant, toute personne travaillant dans le domaine de la sécurité sur le site IoT doit approfondir la signification exacte de ces points communs pour chaque appareil plutôt que de se contenter de conseils généraux.
8) La sécurisation de IoT nécessite une approche progressive
Enfin, compte tenu de toutes ces nuances, des nouvelles réglementations et d'un manque général de normalisation, il n'est pas facile d'assurer la sécurité du site IoT . C'est particulièrement vrai. La sécurité du site IoT est très différente de la sécurité traditionnelle de l'entreprise et constitue un nouveau domaine, même pour l'expertise approfondie de la construction de ces appareils.
La meilleure façon d'avancer est de procéder étape par étape, en commençant par examiner de près le type d'architecture de sécurité qui conviendra le mieux à vos appareils, à votre entreprise et aux besoins uniques de vos clients. À partir de là, vous pouvez commencer à évaluer les différentes technologies disponibles pour des éléments clés tels que l'authentification, le cryptage, la signature de code, etc. En cours de route, une bonne pratique à garder à l'esprit est d'utiliser des solutions déjà conçues qui peuvent contribuer aux étapes fondamentales du cycle de vie des appareils IoT dans la mesure du possible, car cela vous permet de tirer parti d'une mine de connaissances et d'expériences plutôt que de construire quelque chose par vous-même.
Écoutez les experts : Ce qu'il faut savoir de plus sur la sécurité des appareils IoT
La réussite du site IoT est extrêmement gratifiante. Cependant, le chemin est semé d'embûches qui peuvent être extrêmement préjudiciables à la réputation et aux revenus d'une organisation.
Par conséquent, le site IoT ne doit pas être pris à la légère et doit être traité différemment de tout autre projet de sécurité que vous avez entrepris par le passé.
En gardant cela à l'esprit, que devez-vous savoir d'autre lorsque vous réfléchissez à la sécurité des appareils IoT pour votre organisation ? Regardez notre table ronde avec des experts de Keyfactor, Tata Communications et Telus pour en savoir plus.
