Pourquoi la fabrication sans confiance est essentielle pour créer des dispositifs de confiance sur le site IoT

L'internet des objets L'internet des objets (IoT) est arrivéL'internet des objets est arrivé, et avec lui une série de défis en matière de sécurité.

Malgré la complexité des chaînes d'approvisionnement, les attaquants disposent de nombreux moyens pour compromettre un appareil, la sécurité est souvent ajoutée en tant que fonctionnalité plutôt que d'être un élément essentiel conçu dès le début du cycle de vie d'un produit.

Il est temps de changer cette approche. Et tout commence par une fabrication sans confiance.

Plus il y a de partenaires de la chaîne d'approvisionnement impliqués dans le processus de fabrication, moins on peut être sûr que des éléments tels que hardware, le micrologiciel et les informations d'identification n'ont pas été modifiés. Par conséquent, tous les fabricants doivent adopter une approche de "confiance zéro". "confiance zéro" en matière de sécurité en matière de sécurité, en particulier ceux qui produisent des appareils IoT en raison de l'extrême complexité de leurs chaînes d'approvisionnement.

Qu'est-ce que la fabrication sans confiance ? La fabrication sans confiance est une approche de la fabrication

des dispositifs dignes de confiance le long d'une chaîne d'approvisionnement qui, par nature, n'est pas fiable. Il ne s'agit pas d'une technologie unique, mais d'une approche de la conception, de la fabrication, de l'essai et de la livraison de produits auxquels le propriétaire peut faire confiance.

Il est important de noter que la fabrication sans confiance englobe de nombreux concepts, notamment la sécurité basée sur hardware, la sécurité intégrée, l'infrastructure à clé publique (PKI), la gestion du cycle de vie des clés et des certificats, la fiabilité des appareils, la signature des codes et l'authentification. 

Pourquoi la fabrication sans confiance est-elle importante ? Selon Global Market Insights, le marché des services de fabrication électronique (EMS) devrait passer de 500 milliards de dollars en 2019 à 650 milliards de dollars d'ici 2026. Le marché des EMS comprend des entreprises internationales qui conçoivent, fabriquent, testent, distribuent et fournissent des services de retour/réparation de composants et d'assemblages électroniques pour les fabricants d'équipements d'origine (OEM). Cela signifie qu'encore plus de parties seront impliquées dans le processus de fabrication, ce qui crée encore plus de possibilités de failles de sécurité.

La fabrication sans confiance permet également aux équipementiers de confier plus rapidement la fabrication en sous-traitance à des entreprises sur l'ensemble du marché EMS, offrant ainsi un avantage concurrentiel significatif qui permet d'accélérer la mise sur le marché, de minimiser les risques de production et de maintenir la compétitivité en termes de coûts.

Si l'on va plus loin, on constate que plusieurs problèmes de sécurité courants renforcent la nécessité d'une fabrication sans confiance, en particulier pour les fabricants de IoT .

Les fabricants sont victimes d'une série de cyberattaques et de failles de sécurité débilitantes, et nombre de ces attaques font appel à des moyens sophistiqués pour voler les informations d'identification. Selon le rapport Verizon 2020 Data Breach Investigation Report, 45 % des violations impliquent un piratage, et 80 % d'entre elles font appel à la force brute ou à l'utilisation d'identifiants volés. 

Le vol des informations d'identification des utilisateurs et des appareils, y compris les clés privées et les certificats numériques, est généralement à l'origine de ces attaques et affecte directement les entreprises. Dans une une étude de l'Institut Ponemon, parrainée par la Commission européenne, 92 % des entreprises ont subi au moins une panne liée à un certificat au cours des 24 derniers mois. Keyfactor92 % des entreprises ont connu au moins une panne liée à un certificat au cours des 24 derniers mois et 81 % des entreprises ont connu plusieurs pannes perturbatrices dues à l'expiration de certificats.

Par conséquent, la protection et la gestion des clés privées et des certificats numériques dans le cadre d'une approche de confiance zéro sont essentielles pour protéger les appareils et les applications contre les attaques sophistiquées tout au long de la chaîne d'approvisionnement. Parmi les menaces et les vulnérabilités les plus courantes sur le site IoT contre lesquelles une approche de confiance zéro peut aider à se protéger, on peut citer les suivantes :

• Attaques de type "Man-in-the-middle" : Attaque dans laquelle pirates utilisent des informations d'identification volées pour se faire passer pour un utilisateur et modifier des informations.

• Usurpation de l'identité de l'autorité de certification racine : Attaque par laquelle des pirates informatiques authentifient des appareils et des utilisateurs indésirables sur un réseau en compromettant l'autorité de certification (AC) racine. l'autorité de certification (AC) racine.

• Mises à jour non autorisées des microprogrammes : Une attaque dans laquelle les pirates compromettent les identifiants de signature de code pour modifier le micrologiciel.
• Vol de propriété intellectuelle et contrefaçon : Une attaque dans laquelle les pirates utilisent des informations d'identification compromises pour voler la propriété intellectuelle et mettre sur le marché des produits contrefaits.

Heureusement, la mise en œuvre de la fabrication sans confiance et la gestion appropriée de tous les composants qui en font partie, tels que PKI, la gestion du cycle de vie des certificats et la sécurité intégrée, peuvent contribuer à éviter les attaques telles que celles mentionnées ci-dessus. En cours de route, les fabricants peuvent tirer profit de plusieurs bonnes pratiques :

• Hardware-La sécurité basée sur l'appareil : L'introduction d'éléments sécurisés hardware basés sur des dispositifs et résistants à la falsification crée une base de confiance.

• Génération de clés sur l'appareil : Générer et stocker des clés privées en toute sécurité sur un appareil signifie qu'il peut attester de sa propre identité.

• PKI La gestion du cycle de vie des certificats : L'automatisation de PKI et de la gestion du cycle de vie des certificats permet de normaliser les opérations et d'éviter les pannes.

• Communication sécurisée grâce au cryptage de bout en bout : La mise en œuvre de communications cryptées SSL/TLS ou IP VPN garantit la confidentialité des données.

• Certificat de démarrage sécurisé : Le remplacement du certificat de démarrage initial par un certificat mis à jour garantit que l'appareil démarre avec le micrologiciel prévu.

• Activer l'authentification mutuelle M2M : La mise en œuvre de contrôles d'accès utilisateur stricts et d'une authentification mutuelle de machine à machine (M2M) permet une vérification dans les deux sens.
• Signature centralisée du code : Garantir que les mises à jour du micrologiciel sont signées par le développeur et authentifiées par l'appareil permet d'éviter les situations compromettantes.

Compte tenu de la valeur que la fabrication sans confiance peut apporter, à quoi ressemble cette pratique dans la pratique ? Examinez les cas d'utilisation présentés par des fabricants de trois secteurs d'activité différents :

L'essor des dispositifs médicaux connectés en réseau a exigé une authentification plus forte, car la falsification peut entraîner de graves problèmes, dont le moindre n'est pas le préjudice causé au patient. Par conséquent, les fabricants de dispositifs médicaux doivent être en mesure d'authentifier et d'autoriser toutes les personnes susceptibles d'accéder, de gérer et de faire fonctionner n'importe quel point de la chaîne de fabrication. Une fois le dispositif livré, la sécurité doit être gérée de manière tout aussi stricte, car le propriétaire du dispositif doit être en mesure de s'assurer que l'opérateur ne peut pas compromettre l'intégrité du dispositif ou accéder à des clés secrètes qui permettraient de le contrefaire.

À mesure que les réseaux des compagnies d'électricité fusionnent leurs systèmes de contrôle des technologies opérationnelles et leurs réseaux informatiques pour une communication plus efficace, un meilleur accès à distance et une gestion plus efficiente, ils ont dû supprimer les pare-feux traditionnels qui entouraient leurs réseaux. Cette situation a créé le besoin d'identifier et d'authentifier de manière unique les utilisateurs et les appareils sur le réseau, étant donné que de nombreux systèmes et appareils utilisés sont essentiels à la mission et que leur mauvaise utilisation peut avoir des conséquences économiques massives, voire entraîner la mort.

Les progrès réalisés dans le domaine de la fabrication ont transformé les véhicules en appareils électroniques connectés. Ces véhicules doivent communiquer avec un réseau étendu de capteurs ainsi que directement avec les humains, ce qui nécessite la capacité de s'authentifier positivement à des moments clés du cycle de vie. Par exemple, lors de la connexion à un réseau de recharge électronique, le réseau doit être en mesure d'authentifier le véhicule, l'utilisateur et la méthode de paiement utilisée pour l'achat de la recharge.

La chaîne d'approvisionnement de l'industrie manufacturière est devenue de plus en plus complexe et, avec l'explosion continue des appareils, elle devient de plus en plus complexe. l'explosion continue des appareils IoT cette évolution ne fera que se poursuivre. Pour réussir à naviguer dans cette complexité, les fabricants doivent assurer la sécurité à chaque étape. Et le seul moyen d'y parvenir efficacement est d'adopter une approche de confiance zéro.

Vous voulez en savoir plus sur ce qu'il faut faire pour adopter la fabrication sans confiance ? Téléchargez notre livre blanc intitulé " How to Navigate Complex Supply Chains to Build Trusted IoT Devices" (Comment naviguer dans des chaînes d'approvisionnement complexes pour créer des dispositifs fiables).