En ce qui concerne les normes de cybersécurité des systèmes d'armes connectés et des appareils IoT utilisés dans l'armée, il est impératif de pouvoir vérifier leur robustesse en matière de sécurité . Malheureusement, ce n'est pas toujours facile, car les différents pays ont des méthodes différentes pour acquérir et gérer leurs systèmes d'armes. Il est donc très difficile d'avoir une norme de cybersécurité unifiée pour l'IoT dans ce domaine.
Les experts en cybersécurité doivent néanmoins s’efforcer de résoudre ce problème et de proposer des alternatives au système actuel. Pour améliorer suffisamment les normes de cybersécurité et protéger les systèmes, nous devons parvenir à un point où tous les pays adoptent la même approche et utilisent le même cadre d’évaluation. L’une des solutions proposées par Hindawi rapproche ces efforts de la réponse finale.
Catégorisation du système
La première étape est relativement simple et consiste à identifier les risques pour le système à acquérir. Au cours de cette phase, les experts calculent la valeur d’impact provisoire de chaque risque, puis décident des exigences de cybersécurité nécessaires pour le gérer.
Cela donne lieu à un profil de sécurité . Cette phase d'évaluation utilise des données réelles pour calculer les risques. Si le niveau de risque n'est pas acceptable selon le profil de sécurité, le fournisseur doit en informer l'acquéreur.
Ajuster les contrôles de sécurité aux exigences
Une fois que nous avons défini les exigences de cybersécurité nécessaires dans le profil de sécurité et les risques associés, il est temps de sélectionner précisément les contrôles de sécurité qui seront utilisés pour protéger le système. Si des ajustements sont nécessaires pour garantir que les contrôles de sécurité standard répondent aux exigences, ils sont effectués à ce stade.
Conversion des contrôles de sécurité en normes nationales/internationales
L'étape suivante consiste à prendre en compte les normes nationales ou internationales de certification de cybersécurité (par exemple SOG-IS, ISO/IEC 15408 (produits) , ISO/IEC 27001 (infrastructure), etc.) et à s'assurer que les contrôles de sécurité sélectionnés peuvent y répondre. Cette étape de conformité est essentielle pour que le fournisseur de systèmes puisse pleinement comprendre et faire confiance aux contrôles de sécurité de l'acquéreur. Cette étape est l'une des plus difficiles à appliquer dans la pratique, en fonction de l'ampleur de la différence entre les contrôles de sécurité standard de l'acquéreur et du fournisseur. Un profil de sécurité est un moyen rentable d'aider à réaliser cette cartographie.
Vérification des exigences fonctionnelles
Une fois ces processus terminés, les systèmes sont soumis à des tests supplémentaires pour déterminer s'ils peuvent fonctionner comme prévu. Ils valident les exigences décrites et vérifient si les normes de cybersécurité sont correctement mises en œuvre.
Tests et évaluation de la sécurité
Le test opérationnel final et l'évaluation de la sécurité constituent la dernière étape du cadre, au cours de laquelle les appareils sont testés dans le cadre du système complet. Après l'intégration, les produits individuels sont évalués en fonction de leur environnement opérationnel et de leurs fonctionnalités. À la fin de cette étape, une certification avec un niveau d'assurance de sécurité est accordée à chaque appareil en fonction de son profil de sécurité.
Principaux points à retenir
Lorsqu'il s'agit d'acquérir et d'évaluer des systèmes d'armes connectés et des appareils IoT pour garantir la résilience militaire face aux attaques de cybersécurité, il est essentiel de créer un cadre universel d'assurance de la sécurité IoT avec des profils de sécurité spécifiques aux produits connectés sur le terrain pour garantir le niveau d'assurance de sécurité requis. Pour ce faire, nous avons besoin de tests rentables et approfondis, de contrôles de sécurité solides et nous devons nous assurer que chaque pays adhère au cadre proposé.