Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

[Récapitulatif du webinaire] Utiliser la fabrication sans confiance pour les chaînes d'approvisionnement

Internet des objets (IoT)

Avec autant de partenaires dans la chaîne d'approvisionnement, la réalité est que vous ne pouvez pas faire confiance à la sécurité du processus de fabrication pour garantir que le site hardware, le micrologiciel ou les informations d'identification de l'appareil n'ont pas été modifiés.

Lors d'un récent webinaire avec Kaeo Caindec, analyste principal du Farallon Technology Group, nous avons discuté de la manière dont les fabricants peuvent contrôler la sécurité des appareils au sein de leur chaîne d'approvisionnement complexe, grâce à une approche de fabrication sans confiance.

Vous pouvez suivre notre discussion aujourd'hui et lire quelques-unes des principales conclusions de notre récent webinaire sur la fabrication sans confiance : Comment intégrer la sécurité des appareils IoT dans votre chaîne d'approvisionnement.

Qu'est-ce que la fabrication sans confiance ?

Commençons par comprendre l'approche de la "fabrication sans confiance" et la manière dont elle peut mieux sécuriser le cycle de vie de la fabrication de vos appareils.

Avec l'augmentation du nombre d'appareils connectés et de IoT , nous disposons de milliards d'appareils. Il ne s'agit pas seulement d'appareils domestiques, mais aussi d'appareils de contrôle industriel qui présentent des risques pour la sécurité. Lorsque nous parlons de fabrication sans confiance, nous parlons en fait d'une approche de la conception et de la fabrication, des tests et de la livraison de produits dignes de confiance.

Quand on pense au processus de conception et au nombre d'entreprises impliquées, de la conception assistée par ordinateur (CAO) à l'intégration de puces, de dispositifs et de composants, à tous les développeurs de software impliqués tout au long du processus, et aux défis liés à la livraison du produit en toute sécurité, on se rend compte qu'il y a de nombreux points d'entrée pour que quelqu'un compromette l'appareil. À chaque étape, il existe de nombreux points d'entrée permettant à quelqu'un de compromettre l'appareil.

La fabrication sans confiance consiste à examiner l'ensemble du processus de bout en bout pour s'assurer que nous produisons et livrons des appareils dignes de confiance.

Qu'est-ce que la fabrication sans confiance ?

Le diagramme ci-dessus montre qu'il y a des clés et des cartes d'identité à certains endroits. Ce cycle de livraison montre les multiples étapes permettant de déterminer le type de clé, de certificat ou de justificatif à placer.

Qu'il s'agisse d'un élément sécurisé, d'un morceau de hardware où vous allez créer une clé privée, ou de l'usine où vous fabriquez le produit, vous avez besoin d'une stratégie holistique dès le départ.

Par exemple, vous devez disposer d'un poste de travail autorisé qui effectuera la génération de la clé, l'injection de la clé et la fin de vie de la clé afin de vous protéger contre les brèches et les vulnérabilités.

Brèches et vulnérabilités typiques

Il est intéressant de noter que ces attaques suivent un schéma fondamental :

  1. L'acteur de la menace, ou le méchant, envoie un courriel d'hameçonnage ou une lettre d'information.
  2. Attaque directe d'un système.
  3. Ils effectuent souvent une reconnaissance pour voler et écouter les informations d'identification ou s'introduisent dans un processus pour voler des informations privées sur les appareils eux-mêmes.
  4. Ils peuvent s'en servir pour pénétrer plus avant et compromettre un appareil. Dans ce cas, il peut s'agir d'un appareil au sein d'un réseau OT industriel. À partir de cet appareil, ils peuvent commencer à lancer des attaques latérales, et ce même schéma est utilisé de manière répétée pour tout.

Brèches et vulnérabilités

Si 80 % des violations sont dues à la force brute ou au vol d'informations d'identification, il ne s'agit pas seulement d'informations, de données ou de vie privée. Nous parlons des acteurs de la menace qui compromettent les appareils pour en prendre le contrôle.

Fabrication sans confiance et mise en réseau sans confiance

Forrester a inventé l'expression "réseau à confiance zéro" il y a plusieurs années. La mise en réseau sans confiance consiste à s'assurer que les utilisateurs finaux et les appareils peuvent accéder à un réseau en toute sécurité. Les principes fondamentaux du déploiement d'une architecture de réseau à confiance zéro sont les suivants : fournir des contrôles d'accès permettant d'authentifier l'utilisateur final ou de procéder à une authentification multifactorielle bidirectionnelle.

Cela signifie qu'il faut mettre en place des mesures de protection pour empêcher l'escalade des privilèges et utiliser la micro-segmentation, les pare-feu pour accéder à tous les éléments, des systèmes informatiques d'entreprise privés et dorsaux à l'informatique en nuage publique, ainsi que le réseau et les appareils IoT .

Cette approche se concentre sur l'authentification, le cryptage, la connexion, l'utilisateur et les bases de données protégées par un mot de passe. Toutefois, cette approche repose sur le fait que l'on fait confiance aux personnes, à leurs informations d'identification et à leur identité.

Fabrication zéro confiance vs mise en réseau zéro confiance

Le réseau à confiance zéro peut s'effondrer parce qu'il ne définit pas comment garantir la confiance dans les informations d'identification et les identités des appareils qui communiquent sur le réseau.

Avec la fabrication sans confiance, vous garantissez l'intégrité et la fiabilité des systèmes et des appareils, tandis que la mise en réseau sans confiance garantit la sécurité des communications.

Meilleures pratiques de fabrication sans confiance

Vous souhaitez en savoir plus sur la fabrication sans confiance ? Regardez le webinaire à la demande pour mieux comprendre ce qu'il faut faire pour déployer une approche de fabrication sans confiance. Vous en apprendrez plus sur les complexités et les défis de la chaîne d'approvisionnement et sur la manière de commencer à intégrer la sécurité des appareils IoT dans votre chaîne d'approvisionnement.