Trois résolutions de sécurité IoT à mettre en œuvre en 2024

IoT ont beaucoup évolué depuis le premier distributeur le premier distributeur automatique connecté à un réseau connecté au réseau a été inventé en 1982. En 2024, le potentiel d'innovation de IoT n'est rien de moins que transformateur.

Mais cette opportunité s'accompagne d'un risque. Chaque appareil connecté représente un point d'accès potentiel pour un acteur malveillant. À grande échelle - étiquettes électroniques déployées par une chaîne de magasins d'alimentation ou tableaux intelligents déployés dans un district scolaire, par exemple - la surface d'attaque atteint une dimension insoutenable. C'est en partie pour cette raison que IoT ont augmenté de 400 % entre 2022 et 2023.

Lorsqu'il est intégré dans les processus d'entreprise, comme un bras robotique connecté dans une usine, chaque appareil représente un point de défaillance potentiel qui peut entraîner des temps d'arrêt et une baisse de la productivité.

De nombreuses organisations, y compris les fabricants d'appareils et les organisations utilisant ces appareils, ne savent pas par où commencer en ce qui concerne la stratégie de sécurité IoT . C'est pourquoi Keyfactor a compilé son tout premier rapport mondial sur la sécurité IoT , La confiance numérique dans un monde connecté : Navigating the State of IoT Security.

Le rapport montre comment les organisations et les fabricants d'appareils réfléchissent et élaborent des stratégies pour la sécurité sur le site IoT .

Alors que les responsables de la sécurité se projettent en 2024, le rapport révèle trois résolutions qu'ils peuvent prendre pour commencer à améliorer la sécurité sur IoT , quel que soit le stade où ils se trouvent dans leur parcours de sécurité. 

Les certificats numériques jouent un rôle important dans le fonctionnement des appareils IoT . Un certificat est intégré à chaque appareil. Lorsque l'appareil est allumé pour la première fois, le certificat lui indique qu'il peut faire confiance au serveur ou à l'API du fabricant. Remarque : il s'agit d'une simplification radicale, car de nombreuses fonctions essentielles sont exécutées par le biais de la poignée de main du certificat.

Mais si le certificat expire, l'appareil ne sait plus à quoi se fier. Il ne fait alors plus confiance à rien et cesse de fonctionner. 

Le rapport State of IoT Security montre que 98 % des organisations ont connu une panne liée à un certificat au cours des 12 derniers mois. Pour le fabricant d'appareils moyen, ces pannes ont entraîné des pertes de plus de 2,25 millions de dollars.

Avec l'augmentation du volume et de l'utilisation des appareils, il est essentiel de maîtriser la gestion des certificats. La solution consiste à centraliser la gestion des certificats dans un hub unique et universel, puis d'automatiser automatiser la découverte, la surveillance, la révocation et la réémission des certificats..

IoT Les vulnérabilités peuvent être une sorte d'angle mort pour les organisations. 

Le rapport IoT montre que seulement 43 % des organisations pensent qu'elles sont "aussi bien protégées que possible" contre les attaques IoT , tandis que 56 % reconnaissent que leur organisation n'est pas suffisamment sensibilisée et ne dispose pas de l'expertise nécessaire pour se préparer aux attaques IoT .

Les concepteurs et les fabricants de produits devraient élaborer des politiques qui prennent en compte la sécurité dès le début du projet, plutôt que de l'ajouter à la fin. 

IoT Les appareils sont dotés de ressources limitées - consommation d'énergie, puissance de traitement, restrictions budgétaires, etc. La prise en compte des exigences de sécurité dès le départ peut influencer la conception du produit en termes de hardware, de sélection des puces et d'autres facteurs, ce qui crée plus d'espace pour les contrôles de sécurité dans les limites de l'appareil.

Les organisations qui exploitent les appareils IoT doivent s'efforcer d'obtenir une visibilité en identifiant le nombre d'appareils qui se connectent au réseau. D'où se connectent-ils ? Qui les utilise ? Quelles équipes utilisent les appareils IoT , et quels appareils utilisent-elles ? 

À partir de là, les organisations peuvent identifier les lacunes et élaborer un plan pour réduire les risques qui leur sont propres. La compréhension de ces particularités peut guider la recherche de fournisseurs et de partenaires qui apporteront le plus de valeur à l'organisation.

Une fois que les organisations ont compris la dynamique de leur propre paysage IoT , elles peuvent identifier les lacunes et élaborer un plan pour y remédier. 

Dans le rapport 2023 Gartner® 2023 Hype Cycle™ pour l'identité numérique, les organisations peuvent trouver les meilleures pratiques de l'identité d'abord pour prendre des décisions technologiques plus intelligentes.

Les organisations qui parviennent à la visibilité en centralisant les identités des appareils sont mieux informées lorsqu'elles élaborent leur approche de la sécurité IoT et mettent en œuvre des politiques qui maintiennent cette sécurité. 

Les gouvernements et les organismes de réglementation s'accordent sur le fait que la sécurité du site IoT est une responsabilité partagée. Les utilisateurs finaux doivent adopter une hygiène de sécurité de base, les organisations doivent adopter des outils et concevoir des systèmes qui favorisent la sécurité, et les concepteurs et fabricants d'appareils doivent veiller davantage à concevoir des appareils plus sûrs. 

Ce consensus se distille lentement mais sûrement dans les politiques. 

• Les lois de l'UE sur la cybersécurité et la cyberrésilience proposent des cadres législatifs qui, parmi de nombreux objectifs, établissent des normes de certification pour les appareils numériques et connectés.
• En juin 2023, la Maison Blanche a demandé aux agences de de donner la priorité aux technologies sécurisées dès leur conception. Cette mesure s'inscrit dans le droit fil des piliers de la stratégie de sécurité en matière de cybersécurité de l'administration Biden. de l'administration Biden en matière de cybersécurité, publiée au printemps 2023. publiée au printemps 2023.
• Bien qu'il n'existe pas de loi contraignante sur la sécurité des appareils, l'administration Biden a mis en place un programme d'étiquetage sur la cybersécurité. un programme de labellisation de la cybersécurité pour désigner les produits intelligents qui résistent aux attaques.
• La norme Matter vise à normaliser les appareils domestiques intelligents autour d'un protocole universel, ce qui réduira la complexité et permettra aux fabricants de commercialiser leurs produits plus rapidement. La norme Matter définit strictement les exigences de sécurité pour les appareils.

Quatre-vingt-dix-huit pour cent des personnes interrogées dans le cadre du rapport IoT ont déclaré que les réglementations avaient un impact sur leur développement de produits IoT et connectés. Il est logique de supposer que la législation et les normes imposent des responsabilités accrues aux organisations qui utilisent et fabriquent des appareils connectés. 

Historiquement, l'adaptation aux nouvelles normes et aux nouveaux algorithmes cryptographiques a été loin d'être facile. Toutefois, l'omniprésence des technologies numériques, des identités des machines et des appareils connectés a fait évoluer les solutions et les méthodologies qui permettent aux organisations de s'adapter en douceur aux nouvelles exigences. 

Dans le contexte de IoT et de l'identité de la machine, c'est ce qu'on appelle la crypto-agilité. La crypto-agilité permet aux organisations de répondre rapidement aux problèmes d'authentification et de certificat, de gérer les identités des machines à grande échelle et de modifier les algorithmes cryptographiques de manière fluide.

Tout en restant à l'écoute des nouvelles réglementations, les entreprises devraient également développer la crypto-agilité au sein de l'organisation. En plus de la centralisation, de l'automatisation et de la stratégie présentées dans nos deux résolutions précédentes, les organisations peuvent établir une feuille de route pour la prochaine phase de leur évolution et lier plus étroitement la sécurité à l'innovation.

Pour de nombreuses organisations, la sécurité du site IoT est un défi de "l'inconnu".

Une fois qu'un appareil quitte la chaîne de montage et est vendu à un utilisateur final, il est impossible de savoir dans quel type d'environnement cet appareil peut se retrouver. Les fabricants d'appareils ont déclaré que leurs plus grands défis en matière de sécurisation des appareils qu'ils produisent sont les suivants : 

1. L'incapacité à quantifier l'impact de la menace que représentent les dispositifs de tierce partie IoT
2. Le manque de visibilité et de gestion des appareils  

Bien que les budgets consacrés aux dispositifs IoT augmentent, 52 % de ces budgets risquent d'être détournés pour couvrir le coût des brèches et des attaques IoT . 

Aujourd'hui comme demain, les organisations ne peuvent plus se permettre une sécurité insuffisante sur le site IoT . Il faut en faire une priorité. Il est essentiel de veiller à ce que la sécurité des produits soit gérée tout au long de leur cycle de vie afin de prévenir le risque de nouvelles menaces provenant de nouveaux vecteurs d'attaque.

Gartner, Hype Cycle for Digital Identity, 2023, Ant Allan, Nathan Harris, 26 juillet 2023. GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde, et HYPE CYCLE est une marque déposée de Gartner, Inc. et/ou de ses filiales et est utilisée ici avec autorisation. Tous les droits sont réservés.