Comment développer la cyber-résilience des appareils connectés sans casser ce qui fonctionne déjà ?

Si vous êtes responsable de la sécurisation des appareils connectés sur le terrain - qu'il s'agisse de capteurs industriels, de contrôleurs ou de passerelles - vous avez probablement ressenti cette tension :

Comment renforcer la sécurité et répondre aux nouvelles réglementations telles que la loi sur la cyber-résilience (CRA) sans interrompre les opérations, réécrire les microprogrammes ou gérer une multitude d'outils cryptographiques ?

La plupart des organisations ont déjà du mal à maintenir les systèmes existants en ligne, sans parler de leur mise à niveau pour assurer la conformité, la confiance et la résilience.

Ce blog explique ce que l'ARC exige réellement des fabricants d'appareils, des équipementiers et des opérateurs, et comment y répondre avec une PKI évolutive, l'automatisation des certificats et l'orchestration des appareils à partir de zéro.

Vous apprendrez à :

• Identifier les lacunes en matière de gestion des identités, de cryptage et de mise à jour sécurisée
• Renforcer la cyber-résilience des systèmes nouveaux et anciens
• Automatiser la confiance à grande échelle avec la solution Keyfactor + Symmera
• Et tout cela sans ajouter de frictions aux opérations existantes.

Entrons dans le vif du sujet.

Ce que la loi sur la cyber-résilience signifie pour les appareils connectés

L'ARC introduit des exigences de sécurité obligatoires pour les produits comportant des éléments numériques, y compris tout ce qui va des appareils IoT grand public aux systèmes de contrôle industriels. Les fabricants et les opérateurs doivent désormais s'assurer :

• La sécurité par conception est mise en œuvre dans l'architecture du produit
• Des mises à jour software sécurisées et un traitement des vulnérabilités sont disponibles
• L'identité du dispositif et la confiance peuvent être établies et maintenues
• Sécurité du cycle de vie et possibilité de mise à jour des produits, même après leur déploiement

En pratique, cela signifie qu'il faut repenser la manière dont les appareils sont intégrés, mis à jour, authentifiés et contrôlés, en particulier dans les environnements fragmentés ou à ressources limitées.

Défis communs : Repérer les lacunes

De nombreuses organisations sont confrontées à des obstacles similaires lorsqu'elles tentent de répondre à ces attentes :

Mise en réseau et authentification

• la convergence de divers réseaux d'entreprises informatiques et de télécommunications avec différents niveaux de restrictions et de connectivité (par exemple, sans fil, Ethernet)
• Authentification des dispositifs par le biais de protocoles de transport sécurisés (par exemple, SSL)
• La mise en œuvre des flux de travail d'authentification et des types de certificats varie en fonction du protocole et de l'étape du cycle de vie de l'appareil, de l'intégration à la mise hors service.

Mise en place d'une infrastructure à clé publiquePKI

• Intégration à une PKI publique ou déploiement, configuration et gestion d'une PKI privée
• Gestion d'ICP disparates et multi-domaines dans les usines des équipementiers et les environnements de production des utilisateurs finaux.
• Prise en charge de la génération de clés et de demandes de signature de certificats (CSR) côté serveur et côté client

Conception et mise en œuvre de la solution

• Prévenir les interruptions de service dues à l'expiration de certificats de courte durée ou à la révocation de certificats actifs en cours d'utilisation en raison d'indicateurs de compromission ou d'exigences en matière de politiques de sécurité.
• Une plateforme de services extensible est nécessaire pour augmenter ou réduire de manière élastique la taille des environnements IoT dans lesquels des millions de types d'appareils disparates et multifournisseurs sont interconnectés.
• Ubiquité sur les appareils à ressources limitées (brownfield et greenfield), avec peu de mémoire de code et d'espace de stockage de données disponibles
• La mise en œuvre de certificats complexes et de piles de gestion des clés sur les appareils de classe IoT peut nécessiter un remaniement important, et la diversité des bibliothèques de protocoles de transport sous-jacents pose des problèmes techniques.
• L'approvisionnement tardif en certificats de naissance et d'union à l'usine pour réduire les stocks avant commande et la probabilité de certificats expirés dans les expéditions ou l'approvisionnement préalable juste à temps par des opérateurs d'utilisateurs finaux nécessitant des méthodes sans contact pour l'évolutivité et l'automatisation afin de réduire l'erreur humaine.

Conception du produit

• Identification des appareils à l'aide d'identifiants immuables et vérifiables
• Protection des artefacts cryptographiques sur les appareils autonomes de terrain pour la non-répudiation et la détection des clones.
• Risques cybernétiques liés à des clés locales et des registres de confiance faibles ou non protégés.
• Exploitation de certificats et de clés privées non protégés par des applications non autorisées.

Gestion du cycle de vie des appareils et des certificats

• Découverte des appareils et intégration sécurisée à grande échelle
• Gestion automatisée du cycle de vie des artefacts cryptographiques sur les dispositifs IoT
• Distribution sécurisée de contenu à des dispositifs hétérogènes avec signature manifeste pour une confiance vérifiée
• Collecte de données sur les appareils pour l'intelligence opérationnelle et la gestion des risques

Il est essentiel de relever ces défis. D'une part, pour répondre aux exigences strictes de la loi sur la cyberrésilience et, d'autre part, pour établir une base évolutive et fiable pour la sécurité des appareils qui suive le rythme de croissance des écosystèmes IoT et OT.

Construire une architecture cyber-résiliente : Par où commencer ?

Pour mettre en place une cyber-résilience évolutive, les organisations doivent s'appuyer sur trois piliers :

1. Identité fiable des appareils grâce à l'PKI. LaPKI constitue la base de l'identité des appareils et de la communication cryptée.

• Utiliser des certificats numériques pour sécuriser l'intégration et l'établissement de la confiance
• Délivrer des certificats de naissance, d'adhésion et de plate-forme à différents stades du cycle de vie des appareils.
• Prise en charge de la signature de code pour sécuriser la provenance des microprogrammes et des software

2. Gestion du cycle de vie des certificats (CLM). Sans visibilité ni automatisation, les certificats sont une véritable bombe à retardement.

• Mise en œuvre de CLM pour le déploiement d'PKI publiques et privées
• Automatiser les alertes d'expiration, les renouvellements, les révocations et les pistes d'audit
• Distribution de clés et gestion du cycle de vie des certificats à sécurité quantique
• Réduire les pannes, minimiser les erreurs humaines et mieux contrôler l'inventaire cryptographique

3. Orchestration sécurisée et évolutive des appareils. L'orchestration des appareils doit fonctionner dans des conditions réelles, du nuage à l'usine.

• Utiliser le "zero-touch provisioning" et l'émission tardive de certificats pour éviter d'expédier des informations d'identification périmées.
• Obtenir une visibilité en temps réel des opérations sur le terrain grâce à des métadonnées au niveau de l'appareil et de l'application, essentielles pour l'observabilité et le contrôle à distance.
• Gérer la chaîne d'approvisionnement en software avec l' inspection des risques liés au contenu et les flux de travail contrôlés
• Prise en charge des systèmes de type "brownfield" et "greenfield" avec des types de fournisseurs et de ressources mixtes
• Intégrer les systèmes SCADA, SIEM et les systèmes d'analyse basés sur l'IA/ML pour rendre opérationnelle la confiance numérique.

La solution Symmera + Keyfactor : La confiance pratique à l'échelle

La plateforme Distributed Intelligent Network (DIN) de Symmera offre une solution d'orchestration et d'activation PKI basée sur SaaS qui fonctionne sur les réseaux publics, privés et aériens - aucun agent n'est nécessaire.

Les principales caractéristiques sont les suivantes :

• Codage zéro à l'aide d'un agent de point final ou d'utilitaires de ligne de command
• Faible codage pour une intégration utilisant seulement 3 à 5 API sur n'importe quelle plateforme et dans n'importe quel langage de programmation
• Automatisation de la fabrication à l'approvisionnement, mises à jour sécurisées et visibilité
• Prise en charge de tous les types d'appareils, y compris les appareils anciens et les appareils soumis à des contraintes
• Conformité aux normes CRA, IEC 62443, NIST 800-53, IEEE 802.1AR, etc.
• Interopérabilité avec n'importe quel système d'exploitation, chipset ou pile cryptographique
• Intégration RESTful avec les systèmes SCADA, SIEM et de gestion des actifs

En intégrant Symmera DIN à la plateforme PKI et crypto-agilité de Keyfactor, les entreprises bénéficient des avantages suivants :

• Une couche de confiance unifiée dans les environnements IT et OT
• Cryptographie résistante aux quanta pour les appareils à longue durée de vie
• PKI bout en bout et signature de code sans complexité supplémentaire
• Distribution de contenu avec résistance à l'altération de la chaîne d'approvisionnement
• Collecte de données fiables avec des informations basées sur des données pour améliorer l'efficacité opérationnelle

Keyfactor + Symmera : Les 5 principaux avantages dans le monde réel

Cette solution combinée est utile :

• Réduire les délais de mise sur le marché pour les déploiements de produits sécurisés
• Accélérer la conception et le développement des produits pour répondre aux exigences de conformité
• Automatiser l'établissement de la confiance et l'application des politiques
• Simplifier les audits réglementaires grâce à une visibilité cryptographique intégrée
• Réduire les coûts d'exploitation grâce à un développement ou à une réingénierie internes minimes, à une prise en main immédiate et à une gestion à distance du cycle de vie des appareils.

Conclusion : La cyber-résilience est à portée de main

Respecter les réglementations de l'ARC et sécuriser les appareils connectés ne doit pas signifier réinventer votre infrastructure. En utilisant des plateformesPKI, d'automatisation des certificats et d'orchestration des appareils conçues spécialement pour les environnements IoT et OT, vous pouvez réduire les risques et accélérer la transformation numérique.

C'est maintenant qu'il faut agir, avant que les vulnérabilités ou les lacunes en matière de conformité ne viennent perturber l'activité de l'entreprise.

En savoir plus

• Visiter la page du partenariat Symmera + Keyfactor
• Télécharger l'eBook sur la préparation à l'ARC, 5 choses à savoir sur l'ARC
• Découvrez la plateforme DIN SaaS de Symmera