L'internet des objets (IoT) est un sujet brûlant depuis des années. Plus récemment, c'est la sécurité de IoT qui a été mise au premier plan, et ce n'est pas près de changer.
Aussi prometteur que soit le site IoT - qui a d'ailleurs déjà tenu ses promesses - il ne vaut que ce que vaut la sécurité qui l'entoure. Et historiquement, cette sécurité a laissé beaucoup à désirer. Heureusement, les fabricants et les régulateurs ont commencé à accorder une attention beaucoup plus grande à la sécurité des appareils IoT au cours des dernières années, et nous faisons beaucoup de progrès dans ce domaine.
En 2023, nous pouvons nous attendre à voir encore plus de progrès dans la sécurité des appareils IoT . Bien que la voie à suivre reste semée d'embûches, l'introduction de nouvelles normes a contribué à renforcer les meilleures pratiques et bon nombre de ces changements porteront leurs fruits au cours de l'année à venir.
Dans cette optique, quelles sont les plus grandes tendances du site IoT pour 2023 et quels sont les progrès à attendre en termes de sécurité des appareils IoT ? Pour en savoir plus, nous nous sommes entretenus avec Ellen Boehm, vice-présidente senior de IoT Strategies and Operations à Keyfactor. Voici ce qu'elle avait à nous dire.
Keyfactor: Quel est le plus grand défi en matière de sécurité des appareils IoT qui, selon vous, aura un impact sur les organisations à l'horizon 2023 ?
Ellen Boehm : Il y a certainement beaucoup de défis à relever en ce qui concerne la sécurité des appareils IoT , mais le plus important que je prévois pour 2023 concerne l'évolution des normes et des lignes directrices en matière de cybersécurité des produits.
Plus précisément, alors que les normes et les lignes directrices en matière de cybersécurité des produits continuent d'évoluer, les équipementiers doivent suivre de près les changements afin de comprendre l'impact sur leurs activités et leurs processus. C'est d'autant plus important - et difficile - que les évolutions de ces normes et lignes directrices peuvent avoir un impact sur tout, du développement des produits au fonctionnement général des appareils, et que les équipementiers devront agir rapidement pour ne pas se laisser distancer.
Keyfactor: Que pensez-vous qu'il faille faire pour rendre les dispositifs IoT plus sûrs ?
Ellen Boehm : La meilleure chose que nous puissions faire pour renforcer la sécurité des appareils IoT est de continuer à suivre les meilleures pratiques concernant les identités uniques des appareils et l'authentification par certificat. S'assurer que cela devienne la norme en 2023 sera essentiel pour renforcer la sécurité dans d'autres domaines à l'avenir.
Keyfactor: La norme Matter innove en établissant la norme pour les politiques et les processus de sécurité en utilisant PKI pour valider la certification et la provenance des appareils. Dans quelle mesure pensez-vous que les organisations adopteront les normes Matter ? Et que peuvent faire les organisations pour s'assurer que les utilisateurs connectent des appareils authentiques, certifiés et à jour à leur domicile et à leur réseau ?
Ellen Boehm : Je pense sincèrement que les organisations adopteront les normes proposées par Matter. C'est d'autant plus important qu'à l'heure actuelle, la norme Matter ne couvre que certains appareils (comme les ampoules et les interrupteurs, les serrures intelligentes et les contrôleurs de porte de garage) et pas d'autres (comme les aspirateurs et les caméras de sécurité). Néanmoins, j'ai récemment discuté avec GE, qui m'a confirmé que les équipementiers avec lesquels elle travaille suivent les recommandations de Matter concernant l'interopérabilité avec les appareils domestiques intelligents produits par plusieurs fabricants.
Tout simplement, les équipementiers de la maison intelligente reconnaissent maintenant que plusieurs marques seront utilisées dans la maison et qu'ils doivent collaborer pour construire la "maison intelligente du futur" et s'assurer que ces appareils peuvent être utilisés ensemble en toute sécurité. Matter fournit la norme industrielle nécessaire à cette fin, et les équipementiers commencent à adopter ces lignes directrices.
Keyfactor: Y a-t-il des secteurs verticaux spécifiques qui, selon vous, font des progrès particuliers en matière de sécurisation des dispositifs IoT ?
Ellen Boehm : J'ai personnellement travaillé avec des entreprises des secteurs verticaux de l'automobile (V2X, chargement des véhicules électriques), de la technologie médicale, des services publics/du comptage, des transports, des télécommunications et de l'industrie 4.0 sur des projets IoT . Notamment, toutes ces entreprises et leurs secteurs verticaux adoptent les technologies IoT pour faire progresser les capacités de leurs produits et services, et la réflexion sur la sécurité dès le début fait partie intégrante de cette démarche.
Keyfactor: En janvier 2020, la Californie a adopté la loi sur la sécurité de l'Internet des objets (Internet of Things Security Law), une loi inédite axée sur l'amélioration de la sécurité de IoT qui oblige les fabricants à promouvoir activement la sécurité des appareils IoT . Comment voyez-vous l'impact de cette loi sur l'approche des fabricants en matière de sécurité IoT ?
Ellen Boehm : Les fabricants sont généralement sensibles aux réglementations les plus strictes et conçoivent leurs produits en fonction de ces normes, dans la mesure du possible. Dans cette optique, nous avons déjà vu des fabricants suivre des recommandations concernant les mots de passe, l'authentification et les connexions aux réseaux privés virtuels (VPN) sur la base de la loi californienne. Et c'est une bonne chose, car il s'agit là de bonnes pratiques qui devraient être adoptées indépendamment de toute loi adoptée.
Keyfactor: Historiquement, les lois adoptées en Californie ont été un signe avant-coureur, d'autres États ayant suivi leur exemple et adopté des lois similaires (par exemple, des réglementations en matière de travail et d'environnement). Avez-vous constaté que d'autres États commençaient à suivre leur exemple dans ce cas-ci ? Si ce n'est pas le cas, pensez-vous qu'ils devraient faire davantage pour promouvoir la sécurité des appareils IoT ?
Ellen Boehm : Je n'ai pas vu d'autres États adopter une approche aussi ciblée que celle de la Californie à l'égard de la sécurité des appareils IoT . Cela dit, je pense que les exigences des États sont trop étroites et qu'il faudrait plutôt adopter une approche nationale pour réglementer la sécurité des appareils IoT .
N'oublions pas que ces dispositifs sont conçus, produits et utilisés à l'échelle mondiale et que leur portée dépasse donc largement le cadre d'un seul État. Par conséquent, nous avons besoin de réglementations ayant une portée plus large pour atteindre le bon niveau de gouvernance en ce qui concerne la sécurité des appareils IoT .
Keyfactor: Au niveau international, quelles seront les exigences les plus importantes de la première loi sur la cyber-résilience prévue par l'UE ?
Ellen Boehm : Trois exigences émanant de l'UE me semblent particulièrement importantes :
- L'identité de l'appareil doit être à la base de la sécurité de l'appareil, et cette identité doit être établie à l'aide de certifications numériques uniques et asymétriques.
- Software et le firmware DevSecOps doivent être activés par des méthodes de signature et de vérification appropriées.
- Les dispositifs doivent faire l'objet d'un suivi et d'une traçabilité des vulnérabilités, y compris des plans d'atténuation, pour que les produits conservent leur homologation CE.
Ensemble, ces exigences contribuent à créer une base solide qui permettra non seulement de renforcer la sécurité des dispositifs IoT à partir de la situation actuelle, mais aussi de préparer le terrain pour des améliorations continues au fur et à mesure de l'évolution du domaine.
Keyfactor: Quel sera l'impact de la législation européenne sur les fabricants de dispositifs IoT ?
Ellen Boehm : Tout d'abord, cela signifie que les fabricants d'appareils IoT doivent évaluer les risques de cybersécurité et appliquer des plans d'atténuation à tous les produits qu'ils fabriquent. Ensuite, après le déploiement des produits, ils devront signaler tout incident et toute vulnérabilité connue de leurs produits à l ENISA. Enfin, les équipementiers doivent prendre des mesures correctives et mettre en œuvre immédiatement et gratuitement les mises à jour de sécurité nécessaires, généralement par le biais de mises à jour sécurisées du micrologiciel.
Il sera donc essentiel pour les équipementiers de s'assurer qu'ils disposent des processus et des capacités nécessaires pour répondre à ces exigences, en particulier pour les appareils qui resteront longtemps sur le terrain. Il s'agit d'un changement pour de nombreux fabricants, et c'est sans aucun doute un grand pas dans la bonne direction.
Vous êtes prêt à passer à la vitesse supérieure en matière de sécurité des appareils IoT ?
Alors que votre équipe se projette en 2023, le renforcement des pratiques de sécurité des appareils IoT doit être une priorité. Heureusement, Keyfactor EJBCA et Keyfactor Command pour IoT rendent cela possible en fournissant aux OEM une plateforme d'identité IoT de bout en bout pour gérer et automatiser les identités des appareils, de la fabrication à la fin de vie.
