Naviguer dans l'état de la sécurité du site IoT pour construire la confiance numérique

La confiance numérique est essentielle à la sécurité de tous les objets connectés, qu'il s'agisse de stimulateurs cardiaques, d'imprimantes, de moyens de transport ou d'infrastructures critiques. Et comme l'utilisation de ces dispositifs IoT continue d'exploser, il n'a jamais été aussi important de comprendre les tendances en matière de confiance numérique.

C'est dans cette optique que Keyfactor et Vanson Bourne ont rédigé un rapport en partenariat, La confiance numérique dans un monde connecté : Naviguer dans l'état de la sécurité IoT , qui tire des enseignements de 1 200 réponses à des enquêtes menées selon deux perspectives uniques : ceux qui conçoivent et fabriquent des appareils/produits connectés (OEM) et ceux qui conçoivent et fabriquent des produits connectés (OEM). (OEM) et ceux qui déploient et exploitent des appareils/produits connectés au sein de leur organisation.

Vous êtes prêts à vous plonger dans les données ? Ellen Boehm, SVP of IoT Strategy and Operations at Keyfactor, et Mitch Mershon, Product Manager for Emerging Markets at Keyfactor, se sont assis pour discuter des principales conclusions du rapport, notamment des tendances en matière d'identité et de gestion des appareils IoT , de la prévalence et de l'impact des failles de sécurité, et de l'impact des normes industrielles sur le développement des produits. Lisez la suite pour un résumé de leur conversation, ou cliquez ici pour visionner le webinaire.

Tout d'abord, il est essentiel de commencer par les éléments suivants éléments constitutifs de la confiance numérique: Chaque machine a besoin d'une identité, et chaque identité doit être gérée.

Traditionnellement, nous envisageons la gestion des identités du point de vue de l'entreprise, c'est-à-dire des baies de serveurs, des ordinateurs portables et d'autres appareils sur un réseau d'entreprise. Mais nous vivons aujourd'hui dans un monde d'appareils intelligents et connectés Chacun de ces appareils IoT a besoin d'une identité parce qu'il représente un vecteur d'attaque.

Ces appareils modernes peuvent également être très complexes, dans certains cas il s'agit même d'une machine de machines. Pensez à une voiture ou à un avion - chacun de ces appareils comporte de nombreux composants différents avec ses propres réseaux opérationnels qui peuvent se connecter au réseau de l'entreprise. Dans ces cas, nous avons une machine avec de multiples identités à l'intérieur, avec sa propre identité plus large qui se connecte à un système.

Comment tout cela fonctionne-t-il exactement ? Tout d'abord, il y a les fabricants, des concepteurs et des développeurs qui fabriquent un appareil IoT , qu'il s'agisse d'une éolienne, d'un train, d'un drone ou de toute autre chose. Ces équipementiers s'occupent de la conception de la sécurité, des essais, de la certification et de l'attribution des identités. Une fois l'appareil produit et vendu, il est déployé dans une installation telle qu'une usine, un hôpital ou un réseau électrique, où les opérateurs prennent le relais et gèrent le déploiement des services, la surveillance de l'état de l'appareil et la mise hors service en fin de vie. Heureusement, les budgets consacrés par les deux équipes à la sécurité des appareils IoT continueront d'augmenter d'année en année. Selon notre rapport, les dirigeants s'attendent à une augmentation de 45 % au cours des cinq prochaines années, ce qui montre que la sécurité de IoT est un investissement prioritaire pour les entreprises, car elles comprennent les risques qu'elle peut avoir sur l'entreprise si elle est mal effectuée. Cependant, 52 % de ce budget pourrait être menacé s'il devait être détourné pour gérer le nettoyage après coup, par exemple en cas de d'une panne ou d'une compromission. Ceci est d'autant plus important que les cyberattaques sont de plus en plus nombreuses.

Les failles de sécurité se multiplient et personne n'y échappe : Presque toutes les entreprises ont déjà été victimes d'une cyberattaque et celles qui ne l'ont pas encore été le seront probablement dans un avenir proche. En fait, 89 % des répondants à l'enquête ont déclaré que les produits IoT de leur organisation avaient fait l'objet d'une cyberattaque au cours des 12 derniers mois, et 69 % ont déclaré avoir constaté une augmentation des attaques sur les appareils IoT au cours des trois dernières années.

La raison de cette augmentation est que IoT est utilisé partout : Les répondants à l'enquête font état d'une augmentation de 20 % de l'utilisation des appareils IoT au cours des trois dernières années. Plus d'appareils signifie plus d'identités (à la fois des identités plus larges pour chaque appareil et toutes les identités des petites machines qu'il contient), ce qui multiplie le nombre de vecteurs d'attaque. 

Par exemple, l'industrie manufacturière était autrefois un système étanche et soudé, mais aujourd'hui, toutes les nouvelles machines sont connectées à différents capteurs au sein de chaque unité. Chacun de ces capteurs, ainsi que la machine dans son ensemble, est un vecteur d'attaque. Prenons également le cas de la gestion de la chaîne d'approvisionnement, où une entreprise communique avec une autre, puis une autre et encore une autre, créant ainsi une chaîne. Dans les deux cas, les opérateurs doivent s'assurer qu'ils peuvent faire confiance à chaque identité et à chaque communication tout au long de la chaîne pour sécuriser contre les attaquesmême à partir d'appareils apparemment innocents comme une unité de chauffage, de ventilation et de climatisation.

Et le coût de ces attaques n'est pas négligeable :

• 236 000 dollars, c'est le coût moyen payé par les entreprises à la suite d'une violation au cours de l'année écoulée. parce que leurs appareils IoT ont pu laisser filtrer des données ou que quelqu'un a pu s'introduire dans le réseau par l'intermédiaire d'un appareil. Si l'on considère que ce chiffre ne concerne qu'une seule année, il est facile d'imaginer à quel point ce montant commence à s'accumuler au fil du temps.
• 2,3 millions de dollars, c'est le coût moyen d'une panne de certificat sur une chaîne de fabricationCela signifie que si un appareil connecté tente d'appeler un serveur, mais que le certificat n'est pas valide, la chaîne de fabrication ne peut plus produire jusqu'à ce que le problème soit résolu.

Il ne s'agit pas seulement d'argent. Selon les personnes interrogées, les principales préoccupations à la suite d'une cyberattaque sont les suivantes : atteinte à la réputation externe, perte de données sur les clients, perte de confiance des employés dans l'organisation, amendes réglementaires et perte de revenus.

Dans l'ensemble, les personnes interrogées reconnaissent que la sécurité de leur site IoT doit être améliorée (88 %) pour se protéger contre ces risques. Cela dit, 47 % des personnes interrogées estiment qu'elles font déjà tout ce qu'elles peuvent pour protéger leur organisation. En y regardant de plus près, 56 % des personnes interrogées reconnaissent que leur organisation ne dispose pas de la sensibilisation et de l'expertise nécessaires pour se préparer à des attaques de cybersécurité par le biais des dispositifs IoT . Ce chiffre passe à 59 % si l'on considère les données de l'enquête. Ce chiffre passe à 59 % si l'on considère uniquement les organisations qui ont déjà subi une cyberattaque, contre 27 % pour les organisations qui n'ont pas encore subi d'attaque.

Heureusement, même si les attaques se multiplient et que la sécurité est un défi, il est possible de se protéger. Il faut pour cela disposer d'une visibilité complète sur les appareils IoT et leurs identités, y compris la capacité de retrouver rapidement ces identités en cas de besoin et d'automatiser les activités de gestion du cycle de vie afin que les appareils ne tombent pas en panne et que tout reste opérationnel, même si les certificats expirent ou sont compromis. Il faut également s'associer à une entreprise qui dispose de l'expertise nécessaire en matière de IoT sécurité pour combler les éventuelles lacunes de l'équipe interne.

Si l'on se concentre sur les équipementiers, trois tendances se dégagent en ce qui concerne la sécurité sur le site IoT :

1. La sécurité doit être au cœur de la conception du produit : Les équipementiers savent qu'une architecture de sécurité adéquate dès le début de la conception du produit est tout aussi importante que l'électronique, les fonctionnalités et le site software lui-même. En effet, si la sécurité n'est pas assurée correctement, il devient impossible d'envoyer à distance des mises à jour sécurisées du micrologiciel, d'activer de nouvelles fonctions ou de vendre des produits à des clients. C'est pourquoi les fabricants sont de plus en plus nombreux à envisager la la sécurité dès le départ.

2. Les partenaires tiers fournissent l'expertise nécessaire à une mise en œuvre efficace de la sécurité : Nous constatons également une plus grande collaboration au sein de l'écosystème, car les fabricants réalisent qu'ils n'ont pas besoin de tout développer à partir de zéro. Aujourd'hui, les équipementiers cherchent à mettre en œuvre les meilleures pratiques dans tous les domaines et à travailler avec des partenaires experts pour mettre en œuvre la meilleure sécurité possible. Cette approche est également essentielle car les fabricants réfléchissent à l'évolution de la technologie et à la manière dont ils peuvent rendre leurs conceptions suffisamment flexibles pour être utilisées sur le terrain pendant 10 à 15 ans. Selon les personnes interrogées, les principales raisons de s'associer à des tiers sont une plus grande flexibilité et un meilleur coût du point de vue des ressources, la capacité d'obtenir une visibilité complète sur des centaines de millions d'identités d'appareils, et la réduction des charges de travail internes autour d'une compétence très spécialisée.

3. La sécurité ne s'arrête pas au moment où l'appareil sort de la chaîne de production : La sécurité ne se limite pas à l'aspect de l'appareil au moment de sa production. Au contraire, les équipementiers sont responsables de la sécurité pendant toute la durée de vie de l'appareil. Pensez à une mise à jour software sur un iPhone : Lorsque l'utilisateur clique sur "installer", le téléphone vérifie d'abord que le micrologiciel dispose d'un certificat. Il effectue une vérification de la signature avant d'installer quoi que ce soit pour savoir d'où vient la mise à jour et si elle est fiable. Cette vérification continue est essentielle à la sécurité.

Tout cela est d'autant plus important que même si chacun peut se préparer à une expérience sécurisée, des brèches se produisent. Et lorsqu'une faille survient sur un appareil IoT , plus de 70 % des personnes interrogées estiment que le fabricant est au moins en partie responsable.

Dans cette optique, les équipementiers considèrent que leur principale responsabilité (parmi d'autres) est la gestion du cycle de vie des composants de cybersécurité à l'intérieur des produits. Parmi les autres responsabilités importantes, citons le partage d'une nomenclature de sécurité ou de software , l'examen des systèmes d'exploitation et la fourniture de mises à jour de software .

Malgré tous les progrès réalisés par les fabricants et les opérateurs en matière de sécurité sur le site IoT , les meilleures pratiques manquent encore de clarté. Cela est principalement dû au fait que les réglementations varient considérablement d'un pays à l'autre. Pour rester en phase avec ces normes est une autre raison pour laquelle le partenariat avec des experts tiers est bénéfique pour les équipementiers.

Si l'on considère la situation dans son ensemble, les normes sont de plus en plus courantes et ont un impact beaucoup plus important sur le développement des produits. Par exemple, la norme de connectivité open-source de Matter pour la maison intelligente et les appareils la maison intelligente et les appareils IoT est l'une des normes les plus reconnues de ces dernières années. L'industrie automobile a également ouvert la voie avec diverses normes régionales.

Quel que soit le secteur, de nombreux fabricants doivent apporter des modifications pour répondre à ces normes. S'ils ne le font pas, soit ils ne peuvent pas vendre leur produit en raison des réglementations gouvernementales, soit ils passent à côté d'une partie du marché grâce à des consortiums tels que Matter. Le fait que ces réglementations puissent désormais avoir un impact sur les ventes et l'adéquation au marché - sans parler du fait que les utilisateurs finaux commencent à attendre des produits qu'ils répondent à des normes spécifiques - a obligé les fabricants à adapter leur façon de travailler, et cette tendance ne fera que s'accentuer.

L'état de la sécurité du site IoT a énormément évolué au cours des dernières années, et nous atteignons aujourd'hui un nouveau niveau de risque. 

Alors que les appareils IoT sont de plus en plus répandus dans le monde entier, ils deviennent de plus en plus des vecteurs d'attaque. Dans le même temps, les fabricants et les utilisateurs admettent qu'ils ne disposent pas de l'expertise nécessaire pour sécuriser ces appareils. Cette situation a d'ores et déjà entraîné de graves conséquences qui vont bien au-delà des impacts financiers immédiats, tels que des atteintes à la réputation et des risques d'audit.

En réponse, les équipementiers et les fournisseurs doivent donner la priorité à la sécurité sur le site IoT en l'intégrant dès le début et en s'associant à des experts qui peuvent aider à combler les lacunes en matière de connaissances, à maintenir une sensibilisation adéquate et à adhérer à des normes nouvelles et changeantes. Lorsque cela se produira, les organisations seront sur la bonne voie pour se protéger contre ces risques croissants.