L'accès aux données en temps réel a une valeur immense pour l'intelligence économique. Imaginez qu'un bras robotisé sur une chaîne de montage puisse vous indiquer la quantité d'énergie qu'il consomme, le temps qu'il met à effectuer son travail ou la date à laquelle il devra être entretenu.
Des stimulateurs cardiaques aux voitures autonomes, des dispositifs qui étaient auparavant isolés sont connectés à l'internet. Cela offre une grande valeur ajoutée aux utilisateurs et peut même sauver des vies dans le cas des appareils médicaux. Mais la valeur ajoutée de l'interconnectivité s'accompagne d'une Mais la valeur ajoutée de l'interconnectivité s'accompagne d'un risque beaucoup plus grand.
En théorie, l'infrastructure de l'internet des objets (IoT) peut être encore plus performante. plus que celle des serveurs et des postes de travail, car les processus manuels sont souvent la partie la plus vulnérable d'une infrastructure en nuage.
Mais en tant que nouvelle technologie confrontée à une croissance explosive, la sécurité des dispositifs IoT peut être une cible mouvante à mesure que de nouvelles technologies, réglementations, cas d'utilisation et menaces émergent. Et les enjeux sont élevés, car les retombées potentielles d'une violation de données compromettant des appareils médicaux, des équipements militaires, des véhicules personnels ou de grands services publics pourraient mettre des vies en danger.
L'internet des objets est un monde nouveau pour les spécialistes traditionnels de l'informatique et de la cybersécurité. Leur expertise actuelle peut s'appliquer de multiples façons à cette nouvelle révolution IoT , mais ils devront également faire face à de nouveaux défis.
Défi 1 : Répondre aux exigences d'échelle
Les machines de fabrication doivent souvent produire des centaines de milliers d'unités par semaine, chacune avec son propre certificat et sa propre identité. Les certificats doivent être délivrés aussi rapidement que les unités sortent de la chaîne de montage.
Le simple fait de maintenir l'inventaire de tous les certificats délivrés, sans parler de leur contrôle et de leur mise à jour, est une entreprise de grande envergure, en particulier pour les certificats dont le cycle de vie est court.
Quarante-deux pour cent des entreprises utilisent encore des des feuilles de calcul pour suivre manuellement les certificats numériques manuellement, et 57 % ne disposent pas d'un inventaire précis de leurs clés SSH. Par conséquent, jusqu'à 40 % des identités des machines ne sont pas suivies.
Défi 2 : Confiance zéro
Les unités de contrôle électronique (UCE) automobiles, qui contrôlent les systèmes de sécurité, de transmission et d'infodivertissement des véhicules, sont fabriquées dans le cadre d'une chaîne d'approvisionnement tentaculaire comportant plusieurs points d'entrée susceptibles d'être exploités par un acteur menaçant.
Et les produits de cette chaîne d'approvisionnement sont déployés dans des environnements inconnus qui peuvent utiliser des contrôles de sécurité vieux de plusieurs dizaines d'années. Les fabricants ne peuvent pas laisser la sécurité de leurs produits dépendre de l'utilisateur final, car une violation de données liée au produit peut potentiellement nuire à la réputation du fabricant, même si la violation est en fin de compte imputable à l'utilisateur.
IoT la technologie doit adopter une approche de confiance zéro de sécurité pour les identités humaines et les identités des machines. Cette approche, dans laquelle le rejet de l'accès est la règle par défaut et l'accès n'est accordé que sur la base de critères stricts, ne se contente pas d'ajouter la sécurité comme une fonctionnalité, elle l'intègre comme un élément de conception tout au long du cycle de vie du produit.
En outre, l'appareil doit s'intégrer à un large éventail de systèmes adjacents, dont certains peuvent ne pas adhérer aux mêmes normes de sécurité rigoureuses. Les réglementations et les normes industrielles sont encore en train de prendre forme dans l'espace IoT , de sorte que les fabricants sont confrontés au défi de la disparité des outils entre ces systèmes. Protéger vos produits tout en les rendant interopérables n'est pas une mince affaire.
Défi 3 : Limites de la plate-forme
La sécurité n'est pratiquement jamais un argument de vente pour un dispositif IoT . Ce qui compte sur le marché, c'est la qualité du fonctionnement du produit, son efficacité énergétique, son coût, etc. IoT Les vendeurs de produits ne peuvent pas faire payer plus cher un produit en utilisant la sécurité comme proposition de valeur. Par conséquent, les fabricants doivent veiller à ce que les mesures de sécurité n'aient pas d'impact négatif sur la facilité d'utilisation et l'efficacité.
Les considérations relatives à la sécurité doivent être intégrées tout au long du processus de développement et de fabrication du produit afin qu'elles ne deviennent pas des ajouts encombrants. Si la sécurité fait partie du flux de travail dès le début, c'est-à-dire la "sécurité dès la conception", elle créera moins de frictions dans le cycle de sortie du produit et réduira moins les marges bénéficiaires.
Défi 4 : Équilibrer la sécurité et la fonctionnalité
La sécurité n'est généralement pas la priorité dans le processus de conception d'un équipement de fabrication. Les clients s'intéressent surtout à la qualité du produit, à ses capacités et à son prix. Donner aux chefs d'entreprise la possibilité de superviser les opérations sur l'internet est un facteur de valeur considérable, mais tout ce à quoi un appareil se connecte présente un nouveau risque. L'équilibre entre la sécurité et l'interconnectivité doit être présent à l'esprit des concepteurs de produits afin d'éviter que la réputation d'une entreprise ne soit entachée par une éventuelle violation de données.
Cet exercice d'équilibre peut s'avérer difficile, surtout si la phase de conception s'oriente vers un modèle Agile ou DevOps. Les concepteurs s'épanouissent dans le changement et l'innovation, tandis que les responsables de la sécurité trouvent la stabilité dans la stase et la prévisibilité. Les concepteurs peuvent ne pas vouloir d'un autre cuisinier dans la cuisine, et les responsables de la sécurité peuvent ne pas être assez flexibles pour faire des compromis.
Défi 5 : Respecter les normes de conformité
IoT va connaître une évolution considérable au cours des prochaines années. De nouveaux cas d'utilisation, de nouvelles technologies et de nouvelles menaces entraîneront de nouvelles réglementations. Mais si la sécurité n'est pas une priorité absolue pour les développeurs de IoT , la conformité sera toujours un problème.
Actuellement, l'environnement réglementaire relatif à la sécurité du site IoT est décousu. LE NIST informe les réglementations aux États-Unis, mais d'autres pays ont leurs propres organismes de sanction et leurs propres normes. La réglementation sur les véhicules électriques couvre PKI, mais ces réglementations diffèrent d'une région à l'autre. Des normes telles que IEC 62443 sont souvent comparées à d'autres normes de sécurité. La loi californienne SB : 327 de la Californie a été la première loi spécifique à IoT aux États-Unis.
Une entreprise qui commercialise un produit à l'échelle mondiale doit fabriquer ce produit avec une sécurité conforme à plusieurs environnements réglementaires (par ex, GDPR en Europe, PIPL en Chine, LGPD au Brésil). Ces réglementations relatives à la protection de la vie privée sont en train d'être étendues pour inclure les dispositifs IoT , et certaines organisations peuvent bénéficier de l'aide de consultants spécialisés qui connaissent toutes les normes.
Risques liés au fait de traiter la sécurité de IoT après coup
Pour la plupart des fabricants de IoT , la sécurité n'est pas la valeur première, mais les acheteurs supposent que les produits sont sécurisés, et une violation au niveau de l'appareil peut diminuer la confiance du client dans une marque et conduire à une atteinte à la réputation très médiatisée. Un thermomètre d'aquarium dans un casino a permis à un pirate d'exporter 10 Go de données non divulguées hors du pays. La violation de caméras de sécurité ont permis à des pirates d'accéder à des flux vidéo dans des usines Tesla ainsi que dans des prisons, des services de police et des hôpitaux.
À plus grande échelle, le virus virus Stuxnet a modifié la vitesse des centrifugeuses nucléaires iraniennes de manière si imperceptible que les humains n'ont pas pu détecter le changement, ce qui a mis le programme nucléaire iranien à genoux.
Mais les gouvernements et les entreprises ne sont pas les seuls à être touchés : des véhicules piratés en conduisant sur l'autoroute, aux caméras de caméras de sécurité domestique compromises aux vulnérabilités des IoT stimulateurs cardiaquesLes cyberattaques contre certains appareils IoT peuvent directement mettre la vie en danger et susciter la peur chez les consommateurs.
C'est pourquoi les dispositifs non sécurisés peuvent entraîner de lourdes amendes et pénalités de la part des organismes de réglementation gouvernementaux. En 2015, l'Office of Civil Rights (OCR) du ministère de la santé et des services sociaux a annoncé son premier règlement concernant une violation de données par le biais de dispositifs médicaux dans un hôpital. 600 dossiers ont été exposés et le Lahey Hospital & Medical Center a conclu un accord pour 850 000 dollars. On pourrait dire que l'OCR envoie un message sur la nécessité d'intégrer les dispositifs et les systèmes dans le cadre de la conformité à la HIPAA.
Le marché est en expansion
L'industrie IoT est prête à exploser dans plusieurs secteurs verticaux. Selon IoT Analyticsle marché mondial IoT a augmenté de plus de 22 % en 2021 et devrait continuer à croître au même taux de croissance annuel composé jusqu'en 2027.
Ce secteur relativement nouveau connaît de nombreuses difficultés de croissance et les entreprises ne savent pas exactement qui est responsable de quoi en matière de sécurité. La meilleure posture de sécurité sera atteinte lorsque les responsables de la conception, des opérations et de la sécurité reconnaîtront qu'ils ont tous un intérêt dans la sécurité des appareils IoT . Les meilleurs produits IoT seront construits par des fabricants qui intègrent dès le départ des considérations de sécurité et de conformité dans la conception des appareils.
Si vous souhaitez approfondir les principes de sécurisation de l'internet des objets, consultez notre livre blanc Cinq principes directeurs pour la sécurité de IoT .
