Comment sécuriser les identités des appareils IoT

KeyfactorL'article suivant, rédigé par Cory Vanderpool, responsable principal du développement commercial de IoT, a été publié en tant qu'article invité pour l'IDSA.

Des machines intelligentes plus nombreuses que les humains, voilà qui ressemble à l'intrigue d'un film de science-fiction catastrophiste. Mais l'explosion récente des appareils connectés à l'internet signifie que nous avons déjà dépassé le point de basculement où les appareils sont plus nombreux que les personnes.

IoT La dernière étude State of IoT d ' Analytics a révélé qu'il y avait 12,2 milliards de points d'extrémité actifs en 2021 et prévoit que ce chiffre passera à 14,4 milliards d'ici 2022 et à 27 milliards d'ici 2025 - contre près de 7,8 milliards d'habitants sur la planète. En outre, nous disposons aujourd'hui de plus de 400 plateformes actives de l'internet des objets, comprenant des véhicules connectés, des terminaux de paiement, des outils de gestion et de contrôle des stocks, etc.

Il est essentiel pour les organisations et les individus de sécuriser cette masse croissante d'appareils et de données. Cependant, les recherches menées par l'Identity Defined Security Alliance révèlent que la grande majorité des organisations ne sont pas préparées. L'étude 2022 Trends in Securing Digital Identities révèle que 84 % des organisations subissent une violation liée à l'identité et que 96 % d'entre elles déclarent que cette violation aurait pu être évitée.

Les appareils connectés à l'internet étant de plus en plus nombreux, ils constituent une cible de plus en plus importante pour les cybercriminels. IoT La sécurité ne consiste pas seulement à penser à la protection des appareils futurs, mais aussi à celle des appareils déjà en service et opérationnels. Voici quelques exemples de risques liés à la sécurité des appareils sur le site IoT :

Botnet Mirai : En 2016, la plus grande attaque par déni de service distribué (DDoS) jamais réalisée a visé le fournisseur de services d'enregistrement de domaines Dyn à l'aide d'un botnet IoT . L'attaque visait les appareils vulnérables IoT tels que les caméras et les lecteurs DVR et utilisait des noms d'utilisateur et des mots de passe par défaut couramment connus pour s'infiltrer et les infecter avec des logiciels malveillants. Cette attaque a mis en évidence le fait que les pirates ne ciblent pas toujours les appareils les plus évidents, tels que les wearables ou les thermostats intelligents. Les organisations doivent plutôt prendre en compte les vulnérabilités qui existent derrière l'appareil et sur l'ensemble de leur surface d'attaque.

Attaque des appareils cardiaques de St. Jude Medical : En 2017, il a été confirmé que les appareils cardiaques fabriqués par St. Jude Medical contenaient des vulnérabilités susceptibles d'être exploitées par des pirates informatiques. La vulnérabilité a été découverte dans les transmetteurs qui lisent les données de l'appareil et les partagent avec les médecins. Si des pirates y accédaient, ils pouvaient épuiser la batterie ou provoquer une stimulation ou des chocs incorrects chez un patient. Cette vulnérabilité est révélatrice de l'absence de mesures de cybersécurité pour les dispositifs médicaux tels que les moniteurs cardiaques et les pompes à insuline, ainsi que pour les machines vitales dans les hôpitaux.

Véhicules connectés : La vulnérabilité des véhicules connectés a été mise en évidence lorsque Chrysler a dû rappeler 1,4 million de voitures après que des pirates informatiques ont prouvé qu'ils pouvaient détourner à distance les systèmes d'une Jeep. Les véhicules modernes contiennent jusqu'à 70 unités de contrôle électronique (ECU), notamment pour le moteur et la transmission, les systèmes d'éclairage, la direction et le freinage, qui utilisent le protocole CAN (Controller Area Network) pour communiquer de manière fiable. Cependant, ce protocole n'est pas conçu pour la cybersécurité, ce qui signifie qu'il n'utilise pas l'authentification ou le cryptage pour empêcher le réseau de subir des cyberattaques. En outre, de nombreux composants de véhicules proviennent de fournisseurs tiers, ce qui accroît encore le risque de vulnérabilité. Il incombe donc aux organisations de faire un effort supplémentaire pour sécuriser les dispositifs, mais beaucoup d'entre elles ne se rendent pas compte qu'elles doivent le faire.

Alors que nous passons à l'industrie 4.0, qui inaugure les systèmes cyber-physiques, le site IoT, les réseaux avancés, et plus encore, les organisations doivent gérer des environnements complètement nouveaux. La sécurité doit être intégrée dès le début du cycle de vie d'un produit et mise en œuvre dans les appareils déjà sur le terrain pour atténuer les risques, générer des revenus et vendre plus de produits. Les technologies de cybersécurité qui peuvent sécuriser les identités des appareils IoT sont les suivantes :

Infrastructure à clé publique (PKI ) : PKI utilise un système de politiques, de processus et de technologies pour chiffrer et signer les données et authentifier les appareils, les services et les utilisateurs. PKI est omniprésent dans la gestion des identités et la sécurisation des ordinateurs portables, des smartphones et des serveurs. Cependant, il n'a pas été totalement transposé au monde IoT et de la technologie opérationnelle (OT), de sorte que les appareils périphériques et les communications avec les passerelles, le nuage et les applications mobiles manquent d'authentification, de cryptage et d'intégrité.

Génération de codes sur les appareils : IoT L'identité repose sur l'authentification des appareils et des utilisateurs à tout moment. Des applications ou des liens simples de génération de code garantissent que seuls les utilisateurs autorisés et vérifiés peuvent accéder aux ressources de l'entreprise.

Authentification mutuelle : Outre la sécurisation des appareils, les entreprises doivent également protéger les réseaux avec lesquels elles communiquent et les passerelles auxquelles elles accèdent. Il est donc important de penser non seulement à l'"objet", mais aussi à ce à quoi il se connecte et à la manière dont il transmet les données. Par exemple, les certificats numériques permettent une authentification mutuelle, qui partage une base de confiance pour des échanges de données sécurisés sur des réseaux ouverts.

Confiance zéro : Les entreprises sont habituées à une approche de confiance zéro pour sécuriser les appareils et les données. Le même concept doit être appliqué dans des secteurs tels que les soins de santé et la fabrication pour garantir la sécurité de l'identité des appareils. Cela permet de s'assurer qu'aucun appareil ou personne n'est autorisé à accéder à des ressources tant qu'il n'a pas été vérifié qu'il est bien celui qu'il prétend être.

Appareils hors ligne et à connectivité limitée : Il n'y a pas que les appareils classiques comme les ordinateurs portables et les smartphones qui doivent être protégés. De nombreux appareils, qu'il s'agisse de IoT ou de machines OT, ne sont pas constamment allumés ou utilisés et peuvent avoir une connectivité limitée. Les entreprises doivent donc veiller à ce qu'ils puissent être authentifiés même en l'absence de connexion internet.

Les nouveaux dispositifs, comme les voitures modernes, sont conçus pour accroître notre sécurité en nous empêchant de dévier de la route si nous sommes distraits. Mais les composants de ces appareils sont souvent non sécurisés, ignorés par les méthodes traditionnelles de cybersécurité ou porteurs de nouvelles menaces qui pourraient rendre une entreprise vulnérable aux cyberattaques.

La force de la cybersécurité permet aux organisations d'acquérir un avantage concurrentiel, d'instaurer la confiance et d'inspirer la confiance des clients. En outre, la mise en place d'une cyberprévention est plus rentable que les pertes subies à la suite d'une violation de données. En prenant des mesures de sécurité sur IoT , les organisations se positionnent également comme socialement responsables, réduisent les temps d'arrêt et les coûts de remédiation, et augmentent la valeur de l'entreprise.