La sécurisation des identités des machines est une préoccupation croissante pour les entreprises et les responsables de la cybersécurité qui s'aventurent sur le terrain relativement nouveau de l'Internet des objets. l'internet des objets. Les responsables informatiques soucieux de la sécurité ont consacré beaucoup de temps et de ressources à la sécurisation des identités des utilisateurs en limitant l'accès aux actifs sensibles et en contrôlant les privilèges en fonction du rôle des utilisateurs dans l'organisation. Cependant, de nombreuses entreprises, par ailleurs avant-gardistes, n'ont pas de stratégie pour verrouiller les identités des machines.
Le nombre de machines et les types d'identités des machines ont explosé au cours de la dernière décennie. Ces identités comprennent non seulement les appareils utilisés par les employés, mais aussi les algorithmes, les API, les serveurs, les systèmes en nuage, les conteneurs et d'autres acteurs numériques ou synthétiques. Il existe également des dispositifs IoT tels que des capteurs environnementaux, des équipements industriels connectés, des dispositifs médicaux et des appareils électroménagers intelligents. Les identités des machines sont 10 fois plus nombreuses que les identités des utilisateurs dans l'entreprise moyenne, mais elles ne font pas l'objet de la même attention de la part des services informatiques que les identités humaines.
De nombreuses entreprises sécurisent les identités des machines au moyen de clés publiques et de certificats. Ces certificats agissent comme un passeport utilisé par les personnes, les appareils et les applications pour interagir en toute sécurité. Si un certificat expire ou est détourné, les résultats peuvent être catastrophiques, d'où l'importance des mises à jour fréquentes de ces certificats.
Malheureusement, 74 % des organisations ne savent même pas combien de clés et de certificats elles possèdent, et encore moins où ils se trouvent ou quand ils expirent. Cela laisse un énorme point d'entrée potentiel pour les logiciels malveillants et les ransomwares. En l'absence de transparence sur les certificats utilisés, toute violation de données effectuée par le biais de l'identité d'une machine risque de rester inconnue jusqu'à ce qu'elle ait déjà fait beaucoup de dégâts.
L'infrastructure à clé publique (PKI) est un ensemble de processus et d'outils utilisés pour gérer les certificats, offrant une solution à ce manque de transparence. Elle offre aux responsables informatiques une vue d'ensemble des certificats qui arrivent à expiration ou qui sont compromis et rationalise le processus d'émission d'un nouveau certificat. PKI Les plateformes et les modèles de service peuvent automatiser une grande partie des processus nécessaires à la gestion des identités des machines, ce qui permet aux équipes de sécurité de se concentrer sur des objectifs de plus haut niveau.
PKI est la clé de l'augmentation de la production de IoT
Les clés publiques et les certificats sont beaucoup plus efficaces que l'établissement de la confiance par le biais de noms d'utilisateur, de mots de passe et de jetons. Ces méthodes d'authentification ne sont pas extensibles pour les entreprises IoT qui fabriquent des appareils par centaines de milliers, voire par millions.
Chaque appareil qui sort de la chaîne de montage a besoin de sa propre identité et de son propre certificat, et souvent de plusieurs : une identité du fabricant, une identité du propriétaire de l'appareil, et d'autres pour accéder à divers services tels que les fournisseurs externes de services en nuage. Chaque identité est un vecteur potentiel d'attaque si elle n'est pas sécurisée efficacement.
Il est impossible d'assurer manuellement le suivi de toutes ces identités lorsque vous produisez un millier d'unités par heure. Et une fois qu'un appareil IoT est déployé dans l'environnement de l'utilisateur final, comment pouvez-vous inventorier, gérer et contrôler tous ses certificats ? En 2011, un certificat pouvait durer 10 ans. En 2012, cette durée de vie a été réduite de moitié. À partir de 2020, le cycle de vie des certificats ne sera plus que d'un an, et certaines organisations passent à des cycles de vie d'une semaine, voire d'une heure.
Il n'y a aucun moyen de gérer ces cycles de vie sans automatisation, mais de nombreuses organisations tentent encore de le faire, avec plus de 40 % des entreprises tentent encore de gérer les clés et les certificats manuellement à l'aide de feuilles de calcul. Cela crée un énorme goulot d'étranglement dans le cycle de développement de software .
Une solution PKI peut aider à gérer les certificats à travers les cycles de développement, de production et d'utilisation, ouvrant la porte à l'adoption de méthodologies telles que Agile et DevOps, qui facilitent l'échelle et permettent une innovation plus rapide. PKI reflète et permet ces approches agiles itératives.
PKI offre la souplesse nécessaire pour s'adapter
L'internet des objets est un secteur qui évolue rapidement. Les réglementations peuvent être ponctuelles, de nouveaux cas d'utilisation apparaissent chaque jour et de nouvelles technologies telles que les chaînes d'outils OTA et DevOps influencent le paysage industriel. Il n'existe pas beaucoup de meilleures pratiques et de cadres convenus, mais PKI est suffisamment flexible pour être mis en œuvre dans un large éventail de contextes.
Certaines entreprises tentent de créer leur propre plateforme interne PKI , mais les avantages potentiels en termes de coûts compensent rarement les risques et l'utilisation des ressources. Une initiative PKI menée par une équipe inexpérimentée peut finir par coûter plus cher que l'externalisation du projet, et les résultats peuvent ne pas résoudre entièrement le problème. PKI est un domaine très spécifique avec de nombreux risques potentiels, et IoT les organisations ont besoin d'une équipe entière de spécialistes hautement qualifiés qui se consacrent exclusivement à PKI. Cela ne peut pas simplement être confié à la même équipe informatique chargée de maintenir les opérations commerciales principales en état de marche.
Bien qu'il faille faire preuve de prudence lors de l'externalisation d'une fonction de sécurité aussi cruciale, les fournisseurs de services en ligne expérimentés PKI fournisseurs de services peuvent souvent automatiser, sécuriser, déployer et faire évoluer PKI pour une fraction du coût de développement et d'exploitation d'un système interne PKI .
Gestion de l'identité des dispositifs pendant la fabrication
IoT peuvent contenir des informations sensibles de l'entreprise, telles que des données de fabrication ou de santé personnelle, qui doivent être protégées. Mais même si les appareils non sécurisés ne contiennent pas de données sensibles en eux-mêmes, ils peuvent constituer un point d'accès pour les acteurs de la menace qui veulent pénétrer dans l'organisation.
Les fabricants n'ont aucun moyen de savoir où un appareil finira, et les certificats d'utilisateur final ne peuvent pas être délivrés au stade de la fabrication. PKI peut faciliter la transition de la propriété entre le fabricant et l'utilisateur final.
Dans de nombreux cas, le client peut être amené à prendre en charge le site PKI et à remplacer les certificats d'usine par les siens. Une plateforme PKI efficace aidera l'utilisateur final à gérer l'installation et la configuration des appareils IoT , en établissant la propriété et en évaluant automatiquement le nouvel environnement. Lorsque l'appareil est allumé pour la première fois, PKI lui permet de communiquer avec les serveurs de l'entreprise et de se connecter aux ressources internes. Plus important encore, PKI indique à l'appareil qui est son nouveau propriétaire.
Ce transfert de propriété clair améliore l'expérience de l'utilisateur final car il automatise une grande partie de l'installation et de la configuration initiales. Il permet également au dispositif IoT de s'intégrer largement dans n'importe quel environnement tout en atténuant le risque créé par le partage de ses données avec des systèmes adjacents. IoT Les utilisateurs finaux ne veulent pas être accablés par le processus de sécurisation du système, ils veulent simplement qu'il soit opérationnel avec un minimum de tracas et qu'il fonctionne bien une fois qu'il est configuré.
Les cas d'utilisation des dispositifs IoT sont très variés, allant de dispositifs médicaux aux produits de consommation et aux équipements militaires. Cependant, la plupart des technologies PKI peuvent couvrir la grande majorité des scénarios d'émission de dispositifs, souvent via des flux de travail spécifiques à l'industrie ou configurables.
Toute publicité n'est pas bonne à prendre
IoTLes technologies de l'information et de la communication (TIC), en tant qu'industrie, continueront d'évoluer et de se développer à un rythme rapide. Nous avons déjà des voitures auto-conduites et des stimulateurs cardiaques qui peuvent être surveillés depuis le monde entier. Les entreprises qui négligent la sécurité du site IoT feront la une des journaux et subiront des atteintes à leur réputation et des pertes financières massives.
La capacité à renforcer la sécurité et à gérer la prolifération des identités des machines tout en minimisant les coûts, les efforts et les risques est la clé du succès des fabricants de IoT , et PKI permet aux organisations de se concentrer sur le développement de produits efficaces plutôt que sur la gestion des certificats.
En savoir plus
Si vous souhaitez approfondir les principes de sécurisation de l'internet des objets, consultez notre livre blanc Cinq principes directeurs pour la sécurité de IoT .
