Dans le monde numérique d'aujourd'hui, l'internet des objets (IoT) est omniprésent. Des montres et télévisions intelligentes aux véhicules et appareils médicaux connectés, il est difficile de trouver un aspect de notre vie qui ne soit pas "connecté". qui n'est pas qui ne soit pas touché par le site IoT.
Et comme le site IoT est de plus en plus imbriqué dans notre quotidien, la sécurité devient encore plus importante. Nous devons faire confiance à ces appareils, et la clé de voûte de la confiance dans le monde numérique est la cybersécurité.
Bien sûr, nous savons tous qu'il est assez complexe de trouver des solutions évolutives pour renforcer la cybersécurité et établir la confiance numérique. C'est pourquoi la meilleure façon d'élaborer une solution évolutive pour la cybersécurité sur le site IoT est de procéder par petites étapes, en divisant le travail en parties plus faciles à gérer.
C'est sur cette base qu'a été organisé récemment un webinaire sur la compréhension de la cybersécurité. webinaire Keyfactor sur la compréhension de la cybersécurité au sein de l'Union européenne. IoT. Voici les points saillants de la discussion.
L'établissement d'identités numériques comme fondement de la sécurité sur le site IoT
Les identités sont le fondement de la sécurité sur le site IoT . Les identités sont à la base de tout, des certificats numériques qui aident à établir une connexion TLS à l'authentification des appareils.
Mais une fois de plus, l'application et la conception d'une infrastructure d'identité numérique sont complexes. Cette complexité conduit souvent les organisations à prendre des raccourcis ou, sans le savoir, à mettre en œuvre des solutions incorrectes. Par exemple, il n'est que trop fréquent de voir des organisations utiliser des certificatsTLS auto-signés et non gérés. Le fait que ces certificats soient à la fois auto-signés (ce qui signifie qu'il n'y a pas d'autorité digne de confiance derrière eux) et non gérés (ce qui signifie qu'il n'y a pas de problèmes d'expiration ou de révocation) les rend intrinsèquement peu sûrs.
Réfléchissez à la manière dont les identités fonctionnent dans le monde réel : Vous avez probablement un passeport, un permis de conduire et une carte de sécurité sociale qui vérifient tous votre identité à des fins différentes (voyage, conduite, accès à des services, etc.). Ces documents sont tous délivrés par un organisme gouvernemental de confiance et, dans le cas du passeport et du permis de conduire, comportent une date d'expiration. À leur tour, divers groupes peuvent utiliser ces formes d'identification pour confirmer que vous êtes bien la personne que vous prétendez être et qu'il n'y a pas de mandat d'arrêt en cours contre vous.
Les identités des appareils fonctionnent de la même manière, avec des méthodes d'identification telles que l'adresse MAC, les cartes SIM et les certificats, toutes utilisées aujourd'hui. Le document d'identification le plus solide pour un appareil est un certificat de courte durée délivré par une infrastructure à clé publique bien contrôlée et hébergée (PKI). Ces certificats constituent la forme d'identification la plus solide parce qu'ils fournissent le plus de détails, nécessitent une mise à jour régulière et permettent de remonter à de multiples racines de confiance. En outre, ils permettent une authentification mutuelle, ce qui signifie que lorsqu'un appareil tente de se connecter à un serveur, non seulement le serveur peut confirmer l'identité de l'appareil, mais l'appareil peut également confirmer qu'il se connecte au serveur approprié.
Construire sur les fondations de l'identité numérique avec un environnement de confiance zéro
Si la gestion et l'identification des appareils constituent la base d'une cybersécurité évolutive sur le site IoT, ce n'est qu'un début. La couche de sécurité suivante consiste à établir un environnement de confiance zéro, c'est-à-dire un environnement dans lequel vous ne faites confiance à aucun appareil par défaut et n'accordez l'accès qu'avec les privilèges minimums requis, après des contrôles d'identité réguliers et une surveillance constante.
Ce type d'approche "zéro confiance" contraste avec l'approche périmétrique plus traditionnelle de la sécurité, dans laquelle les dispositifs situés à l'intérieur d'un périmètre défini et protégés par un pare-feu sont généralement dignes de confiance. Dans un monde régi par le site IoT, cette approche périmétrique n'offre cependant plus une sécurité suffisante.
L'approche "zéro confiance" permet de renforcer la cybersécurité :
- L'accent est mis sur l'authentification des dispositifs sur la base des identités, plutôt que sur la localisation.
- Vérifier (et revérifier) régulièrement les identifiants pour s'authentifier sur une base continue, plutôt que de faire confiance à long terme sur la base d'une vérification initiale.
Toutefois, il est important de noter que certains appareils IoT peuvent ne pas disposer de la bande passante nécessaire pour effectuer des contrôles d'identité fréquents. Dans ce cas, il est toujours possible de maintenir une approche de confiance zéro avec les connexions TLS , qui offrent une option à plus long terme tout en maintenant un niveau de sécurité plus élevé.
En outre, les serveurs dans un environnement de confiance zéro sont généralement capables de filtrer les demandes de connexion provenant d'appareils non autorisés, ce qui peut aider à résister à certaines attaques telles que les DDoS. Ils peuvent également détecter les comportements anormaux des appareils et prendre des mesures immédiates pour les déconnecter ou les mettre en quarantaine.
Bien entendu, il est essentiel que l'approche de confiance zéro fonctionne dans les deux sens, car les applications IoT doivent avoir des points de connexion TLS qui n'accordent que l'autorisation ou l'accès au téléchargement de certaines données à partir d'une base de données limitée. Elles doivent également vérifier que toutes les mises à jour de software comportent une signature de code afin de s'assurer qu'elles proviennent de la bonne source, envoyer périodiquement des rapports sur leur état de santé et inclure des capacités d'administration à distance en guise de sécurité.
Créer une évolutivité à long terme grâce à la cryptoagilité
Enfin, il est essentiel pour l'évolutivité à long terme de construire des dispositifs IoT et d'établir la cybersécurité en gardant à l'esprit la cryptoagilité. Cette question a récemment fait l'objet d'un grand débat à la suite de l'annonce par Google de la fermeture de son service principal . l'annonce par Google de la fermeture de son service principal IoT - une décision qui a poussé de nombreuses entreprises qui s'appuyaient sur ce service à se démener pour planifier les dispositifs existants.
D'une manière générale, cette situation met en lumière le fait qu'il peut être risqué d'élaborer une architecture autour d'un seul fournisseur sans utiliser de normes ouvertes, en particulier un fournisseur pour lequel la cryptographie n'est pas essentielle à son existence. Les programmes les plus stables s'appuieront plutôt sur des normes ouvertes - que de nombreux fournisseurs suivent - car l'utilisation de ces protocoles normalisés facilite grandement le changement de fournisseur en cas de besoin.
L'utilisation de normes ouvertes permet non seulement une plus grande indépendance vis-à-vis des fournisseurs (à la fois par choix et par nécessité, dans le cas où les fournisseurs cessent de proposer des offres comme le fait Google), mais elle favorise également une plus grande cryptoagilité à mesure que les algorithmes évoluent et se renforcent au fil du temps.
Il est extrêmement important de maintenir une cryptoagilité élevée pour pouvoir évoluer en même temps que les algorithmes et mettre à jour les certificats utilisés dans les dispositifs en conséquence, afin de construire une cybersécurité pour votre programme IoT qui puisse résister à l'épreuve du temps. Cette longévité est d'autant plus essentielle que certains appareils sont utilisés sur le terrain depuis des décennies.
Démarrer avec la cybersécurité en IoT
Se lancer dans la cybersécurité à l'adresse IoT peut s'avérer décourageant : Il s'agit d'un sujet complexe qui nécessite une attention sérieuse et permanente. Heureusement, le fait de diviser ce qui doit être fait en petites étapes peut permettre d'atteindre plus facilement le niveau de sécurité nécessaire.
Pour en savoir plus, cliquez ici, cliquez ici pour visionner l'intégralité du webinaire sur la compréhension de la cybersécurité en Europe. IoT.
