La cybersécurité doit être une priorité absolue pour toute entreprise industrielle : non seulement en raison de la menace croissante des cyberattaques, mais aussi parce que la conformité aux réglementations en matière de sécurité telles que CRA (Cyber Resilience Act) et NIS2 est plus importante que jamais. NIS2 est plus importante que jamais.
Et tout commence par la gestion des certificats et l'infrastructure à clé publique (PKI), qui constituent les fondements de la mise en œuvre et du respect des réglementations en matière de cybersécurité. Voici un aperçu de ce qu'il faut faire.
Motivations et défis de la transformation numérique industrielle
La numérisation du réseau de technologie opérationnelle industrielle est en cours. Partout, les entreprises ouvrent des environnements réseau auparavant fermés au monde de la connectivité en nuage et des services distribués.
Considérant que le réseau industriel a traditionnellement suivi une pyramide de communication très claire et structurée allant du terrain au niveau de l'entreprise, ces communications sont désormais ouvertes au point que chaque pièce et chaque capteur peut communiquer avec n'importe quel autre acteur dans le maillage de services.
Ce nouveau niveau de connexion présente d'énormes avantages en raison de sa flexibilité, mais il suscite également de nouvelles préoccupations en matière de sécurité et de confiance. Par conséquent, il est absolument essentiel d'établir un nouveau paradigme de sécurité pour l'industrie 4.0 - dans lequel la sécurité est intégrée à chaque étape. Avec une base de PKI (infrastructure à clé publique) solide et robuste comme fondement de la confiance dans les processus et les procédures.
L'état d'avancement des normes et réglementations PKI pour l'industrie IoT
Jusqu'à récemment, les normes et réglementations régissant la sécurité nécessaire à PKI pour l'industrie IoT s'apparentaient au Far West. Heureusement, les choses ont changé au cours des dernières années. Et nous n'en sommes qu'au début.
Il existe aujourd'hui plusieurs normes et réglementations régissant l'industrie IoT, notamment
62443 Norme CEI: Cette norme offre un cadre de base pour la sécurité et la fonctionnalité de l'environnement de fabrication des machines et des composants. Il s'agit d'un cadre très solide sur lequel s'appuient tous les règlements et directives à venir, car il donne des lignes directrices claires en termes de développement de produits, de fournisseurs de services, d'opérateurs, de constructeurs de machines et de ce qui est nécessaire pour atteindre un niveau de sécurité spécifique, ainsi que les fonctionnalités nécessaires pour mettre en œuvre ces lignes directrices. Il est important de noter que PKI est l'un des principaux éléments constitutifs de cette norme.
Loi sur la cyber-résilience, NIS2 et directive sur les machines : Ces règlements et directives de l'UE définissent des exigences pour les produits contenant des éléments numériques, des normes générales de cybersécurité et des moyens d'accroître la confiance dans les technologies numériques. Les organisations doivent maintenant réfléchir à la manière de répondre à ces exigences au sein de leur infrastructure.
Norme d'identité sécurisée IEEE 802.1 AR: Il s'agit d'une norme plus ancienne, mais elle fournit un guide pour l'émission d'identités sécurisées pour les appareils et les machines. Elle est référencée dans de nombreuses autres normes, telles que OPC 10000-12, qui régit la découverte et les services globaux, y compris la nécessité d'un service de gestion des certificats intégré, et OPC 10000-21, qui traite de l'intégration sécurisée des appareils.
RFC 8995 (BRSKI) : Cette norme traite de l'amorçage d'une infrastructure de clés sécurisées à distance, qui adopte un angle différent pour l'intégration de dispositifs sécurisés, avec le même objectif que la norme OPC d'intégrer des dispositifs dans un réseau de manière à ce que les équipes puissent avoir confiance dans le réseau qui se présente à elles.
Depuis la norme 62443 CEI est à la base de tout le reste, il est important de comprendre exactement ce qu'elle implique. Il s'agit d'une série de normes internationales axées sur la cybersécurité pour l'automatisation industrielle et l'environnement des systèmes de contrôle. Elle divise le marché entre le fabricant de composants, le constructeur de machines et l'opérateur de l'usine, dans le but d'établir une relation de confiance et de sécurité entre chacun d'entre eux.
La norme 62443 définit plusieurs exigences à respecter, notamment l'identification et le contrôle d'accès, le contrôle de l'utilisation, l'intégrité du système, la confidentialité, le flux de données et la disponibilité. En fin de compte, les entreprises doivent utiliser la technologie PKI pour répondre à ces exigences. Par exemple, vous avez besoin d'une identification et d'un contrôle d'accès appropriés pour émettre des certificats, vous avez besoin d'une signature de code appropriée et de processus de mise à jour over-the-air pour établir l'intégrité du système, et vous avez besoin de la connectivité TLS pour maintenir la confidentialité des données.
La norme prévoit également des niveaux de sécurité allant de zéro à quatre, basés sur des scénarios de piratage, des ressources, des compétences et des motivations qui dictent les mesures nécessaires à mettre en place. À partir du niveau 2, qui couvre un scénario simple pour un pirate disposant de peu de ressources, de compétences générales et d'une faible motivation, PKI devient obligatoire.
Établir les fondements de la confiance pour les identités numériques avec PKI
Comment toutes ces lignes directrices s'articulent-elles dans la pratique ? En fin de compte, les certificats numériques (gérés par PKI) sont le fondement de la confiance pour toutes les communications sécurisées.
En ce qui concerne l'authentification, le fait que tous les composants soient dotés d'un certificat garantit que seuls les éléments de communication authentifiés peuvent se connecter à l'environnement OT et établir un réseau de communication fiable. En ce qui concerne la signature, le fait de disposer d'une fonctionnalité de signature et de cryptage basée sur des certificats X.509 protège contre l'interception des données pour toutes les communications, y compris les mises à jour software , les mises à jour en direct, etc.
Toutefois, la qualité de ces exigences dépend de la technologie et de la gouvernance mises en œuvre. Malheureusement, ces mises en œuvre sont souvent insuffisantes. Par exemple, de nombreuses entreprises sont confrontées à des problèmes liés aux certificats auto-signés, qui ne sont pas gérés et peuvent provoquer des pannes. Ces situations peuvent créer de graves vulnérabilités.
Pour comprendre le problème, il faut se référer à TLS, qui est la base de nombreux protocoles dans l'environnement OT pour établir une connectivité sécurisée. Cela se fait en deux étapes :
- TLS poignée de main : Authentifie le partenaire de communication en lui demandant un certificat.
- TLS enregistrer : Utilise la clé symétrique pour établir un canal de communication sécurisé.
Mais qu'en est-il si vous utilisez un certificat auto-signé ? Un certificat auto-signé signifie que quelqu'un génère un certificat de son propre chef, un peu comme si vous écriviez votre nom sur un bout de papier et que vous le présentiez aux contrôles frontaliers comme étant votre passeport. Il n'y a tout simplement pas de preuve d'identité ni de base de confiance. base de confiance. De plus, la date d'expiration du certificat n'est absolument pas gérée, ce qui pose d'autres problèmes pour l'authentification future.
Un programme PKI correctement géré résout ce problème en créant une infrastructure fiable avec les unités de base nécessaires pour :
- Délivrer des identités numériques sous la forme de certificats X.509
- Lier chaque identité à une clé cryptographique
- Vérification de la fiabilité de l'émetteur
L'ensemble crée une identité numérique fiable pour les appareils et les unités tels que les serveurs et les composants. De plus, comme un programme centralisé PKI émet les certificats, il permet également aux équipes de sécurité de les gérer et de les suivre tout au long de leur cycle de vie, pour des renouvellements plus transparents lorsque les certificats expirent ou sont compromis.
L'avenir de PKI et des certificats pour l'industrie IoT
Nous disposons à présent de plusieurs réglementations et lignes directrices qui ont créé des normes claires pour l'utilisation de PKI et des certificats X.509 dans l'industrie IoT et au-delà. Et nous verrons encore plus de normes à l'avenir.
Dans ce contexte, toute entreprise travaillant dans le secteur industriel IoT doit avoir une stratégie PKI claire et ciblée, basée sur son cas d'utilisation et reposant sur une infrastructure évolutive.
Keyfactor Command et EJBCA Enterprise sont des exemples de solutions modernes PKI conçues pour soutenir cette orientation et cette évolutivité. Une version de EJBCA est également proposée en tant que solution open-source , disponible dans un vaste dépôt GitHub, qui fournit une variété d'exemples, en particulier pour le monde industriel, sur la façon de mettre en œuvre et de configurer des certificats pour les identités des appareils et des machines sur la base des normes actuelles. Vous pouvez également trouver Keyfactor dans le Node-RED, où vous pouvez utiliser EJBCA nodes dans votre moteur de flux de travail pour concevoir vos flux de travail et mettre en œuvre PKI management and fetching mechanisms directement dans le moteur de flux de travail Node-RED.
Enfin, Keyfactor a récemment rejoint un nouveau projet appelé TrustPoint, dans le but de développer une solution PKI en tant que pile open-source pour les constructeurs de machines et d'usines. Cette solution repose sur l'idée que, en particulier dans l'environnement des constructeurs de machines, il n'est pas nécessaire de disposer d'un site PKI à part entière, mais plutôt d'un petit service spécialisé disponible hors ligne, capable d'émettre et de gérer des certificats au sein de votre environnement.
Vous voulez en savoir plus ? Regardez notre récent webinaire sur PKI et les certificats pour l'industrie IoT.