Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

Réponses à vos questions : L'état de PKI et IoT Sécurité

Internet des objets (IoT)

Le monde de IoT a continué à se développer rapidement et, à mesure que les innovateurs mettent sur le marché des appareils connectés, le risque de piratage des appareils et de vol de données ne cesse d'augmenter. Le développement rapide de produits et la livraison de fonctionnalités sont souvent prioritaires, ce qui entraîne une augmentation des risques de sécurité sur le site IoT .

Consultez les questions les plus fréquemment posées lors de notre récente séance de questions-réponses avec les experts de PKI pour savoir pourquoi et comment l'infrastructure à clé publique (PKI) s'est imposée comme un moyen efficace et rentable de sécuriser les dispositifs embarqués à grande échelle. Ou regardez l'intégralité de la session sur demande :

Quel est l'état actuel de la sécurité des sites PKI et IoT ?

IoT dans une position intéressante à l'heure actuelle. La tendance émergente de l'informatique en nuage est à l'informatique en périphérie. Et la combinaison de ces trois besoins (IoT, cloud et edge computing) rend plus importante la nécessité de sécuriser les appareils, les applications et les micro-services fonctionnant dans des conteneurs.

On assiste à une explosion de nouveaux dispositifs, applications et composants qui tentent de communiquer entre eux en toute sécurité, et la situation ne fera que se complexifier. Nombre de ces systèmes, en particulier les systèmes industriels, sont des dispositifs anciens, difficiles à mettre à jour ou à corriger.

En fin de compte, IoT consiste essentiellement à installer une pile de réseau sur quelque chose qui n'en avait pas auparavant, ce qui pose naturellement de plus grands défis en matière de sécurité. Ajoutez à cela la nécessité de rester en phase avec les pratiques de sécurité actuelles et futures et le nombre croissant d'appareils IoT , et vous obtenez un état de la sécurité IoT qui est en passe de devenir plus complexe et plus important que jamais.

 

Comment les fabricants de IoT peuvent-ils aborder le paysage réglementaire actuel et futur IoT ?

En matière de conformité, il y a beaucoup de noir et de blanc. Par exemple, lorsqu'il s'agit de subir un audit, vous allez soit le réussir, soit l'échouer.

Et s'il existe une ligne de démarcation très claire dans le sable qui donne des indications générales sur ce qu'il faut faire, il est également essentiel de comprendre que la sécurité et la conformité ne sont pas une seule et même chose.

La conformité doit être considérée comme la barre minimale en matière de sécurité. Toutefois, en commençant par une évaluation correcte de la sécurité lors de la conception initiale du dispositif, on peut s'assurer que la sécurité est intégrée dès le départ dans les systèmes IoT .

 

Pourquoi PKI s'est-il imposé comme la technologie de pointe pour sécuriser les appareils IoT ? En quoi l'utilisation de PKI dans les environnements d'entreprise traditionnels diffère-t-elle du déploiement de IoT ?

Pour authentifier quelque chose, il faut lier d'une manière ou d'une autre une identité à une clé, et c'est ce que l'on appelle PKI .

Au cours des dernières années, le besoin de ce que l'on appelle aujourd'hui " PKI" à racine privée a explosé. La plupart des organisations veulent être en mesure de délimiter très précisément les personnes qui obtiennent des informations d'identification et le contrôle des identités des appareils. Elles recherchent essentiellement des ICP qui fonctionnent de cette manière, que ce soit leur équipe ou une tierce partie qui gère tout cela.

Cela introduit une fragmentation beaucoup plus importante des racines de confiance basées sur les lignes de l'appareil. Si vous êtes un fabricant de IoT , vous ne voulez pas que vos appareils s'authentifient sur les mêmes racines de confiance que vos utilisateurs et leurs ordinateurs portables, et vice-versa. Par exemple, vous ne voulez pas qu'un ordinateur portable puisse s'authentifier en tant que stimulateur cardiaque.

Malgré la fragmentation, une grande règle s'applique toujours lorsqu'il s'agit de PKI et IoT- les choses doivent toujours pouvoir être mises à jour, même si c'est plus difficile en raison de l'évolution constante des lignes directrices.

Il n'est pas possible de mettre une clé sur quelque chose en pensant qu'elle sera statique pour toujours. Les algorithmes et les clés vieillissent et les fabricants doivent trouver un moyen de les mettre à jour et de les sécuriser.

 

Comment passer d'une solution simple à une solution plus complexe et plus robuste ?

D'abord et avant tout : n'essayez pas de le construire vous-même.

Il fut un temps où les entreprises qui construisaient des appareils IoT ou les mettaient en œuvre dans leur réseau se contentaient d'une autorité de certification interne comme celle de Microsoft. Elles essayaient de mettre en œuvre un ensemble d'identités sur les appareils, construisaient des systèmes manuellement et géraient ces identités, ces clés et ces certificats.

Malheureusement, et la plupart du temps sans s'en rendre compte, en essayant simplement de rendre ces appareils plus sûrs, vous risquez d'accroître les insécurités.

L'étape suivante consisterait à tout reprendre depuis le début. Posez les questions suivantes :

  • Comment les identités sont-elles délivrées au dispositif ?
  • Comment allez-vous enrôler ces appareils ?
  • Comment intégrer la première série d'identités une fois qu'elles ont quitté l'atelier de fabrication ?
  • Comment gérez-vous PKI, ce qui sera différent d'une simple intégration avec une autorité de certification ?

Assurez-vous d'avoir un bon plan pour identifier les lacunes et sachez qu'il existe des solutions pour les automatiser. Comme, par exemple, Keyfactor.

Beaucoup d'entreprises, les grands fabricants en particulier, diront : "Nous fabriquons ce produit depuis des années et il n'est pas très sûr. Et maintenant, nous voulons intégrer une authentification plus forte dans le produit". Mais ils ne savent tout simplement pas comment assembler toutes les pièces du puzzle, car il ne s'agit pas simplement d'avoir une identité et une autorité de certification.

Tous les processus et l'automatisation entre les deux sont liés à la gestion de PKI et peuvent être très complexes à mettre en place.