Les appareils IoT manquent souvent de fonctionnalités de cybersécurité que leurs clients, particuliers et entreprises, peuvent utiliser pour atténuer les risques de cybersécurité. Les fabricants peuvent renforcer la sécurité de leurs appareils IoT en fournissant les fonctionnalités de cybersécurité nécessaires et en fournissant aux clients toutes les informations vitales liées à la cybersécurité dont ils ont besoin.
Le 29 mai, le NIST a publié les versions finales NISTIR 8259 et 8259A, qui représentent une étape majeure dans la cybersécurité de l'IoT. Les publications présentent six activités fondamentales et une base de référence des capacités de cybersécurité des appareils IoT pour les fabricants, comme point de départ pour la création d'appareils plus sécurisés.
Dans cet article, nous passons en revue certaines activités de cybersécurité de base que les fabricants devraient envisager d’effectuer avant que leurs appareils IoT n’atteignent leurs clients.
En améliorant la sécurité des appareils IoT pour les clients, les fabricants les aident à atteindre leurs objectifs, ce qui implique de déterminer et de traiter un ensemble de domaines d'atténuation des risques. Les domaines d'atténuation des risques les plus courants pour les appareils IoT sont les suivants :
• La gestion des actifs consiste à maintenir un inventaire précis et à jour de tous les appareils IoT et de leurs caractéristiques pertinentes tout au long de leur cycle de vie. Il est essentiel de différencier chaque appareil IoT de tous les autres pour les autres domaines courants d'atténuation des risques.
• La gestion des vulnérabilités couvre l'identification et l'atténuation des vulnérabilités connues dans les logiciels des appareils IoT tout au long du cycle de vie des appareils afin de réduire la probabilité et la facilité d'exploitation et de compromission. Les vulnérabilités sont éliminées en installant des mises à jour et en modifiant les paramètres de configuration.
• La gestion des accès couvre la prévention de l'accès physique et logique non autorisé aux appareils IoT, de leur utilisation et de leur administration tout au long de leur cycle de vie par des personnes, des processus et d'autres appareils informatiques. En limitant l'accès aux interfaces, les fabricants peuvent réduire la surface d'attaque de l'appareil, ce qui réduit les possibilités des cyberattaquants de le compromettre.
• La protection des données couvre toutes les actions qui empêchent l'accès et la falsification des données, qu'elles soient au repos ou en transit, qui peuvent exposer des informations sensibles ou permettre la manipulation ou la perturbation des appareils IoT.
• La détection des incidents couvre la surveillance et l'analyse des activités des appareils IoT pour détecter des signes d'incidents impliquant la sécurité des appareils ou des données. Ces signes peuvent également être utilisés pour enquêter sur des compromissions ou pour résoudre des problèmes opérationnels.
Les fabricants peuvent remédier à ces problèmes en intégrant des fonctionnalités de cybersécurité adaptées aux appareils IoT dans leurs appareils. De cette façon, les clients auront moins de difficultés à sécuriser ces appareils.
Activités de la phase de pré-commercialisation
Afin d'améliorer la sécurité de leurs appareils IoT pour leurs clients, les fabricants devraient envisager d'effectuer ces activités de cybersécurité :
- Identification des clients attendus et définition des cas d'utilisation attendus
- Recherche des besoins et des objectifs des clients en matière de cybersécurité
- Déterminer comment répondre à leurs besoins et à leurs objectifs
- Planification d'un soutien adéquat aux besoins et aux objectifs des clients
Activités de la phase post-commercialisation
Même après la vente des appareils, les fabricants ont toujours un rôle à jouer pour répondre aux besoins et aux objectifs de cybersécurité des clients pour leurs appareils IoT. Par exemple, ils peuvent répondre aux rapports de vulnérabilité et fournir des mises à jour critiques.
Les activités les plus importantes de la phase post-commercialisation peuvent être divisées en deux groupes :
- Définir des approches de communication avec les clients
- Décider quoi et comment communiquer aux clients
Pour aider à définir les approches de communication, les fabricants peuvent répondre à des questions telles que les suivantes :
- Quelle terminologie sera la plus compréhensible pour le client ?
- De quelle quantité d’informations le client aura-t-il besoin ?
- Comment/où les informations seront-elles fournies ?
Les sujets que les fabricants pourraient vouloir utiliser dans leurs communications peuvent être :
- Hypothèses relatives aux risques de cybersécurité
- Attentes en matière de soutien et de durée de vie
- Composition et capacités de l'appareil
- Mises à jour logicielles
- Options de retrait des appareils
Les fabricants étant sous pression pour lancer de nouveaux produits, sécuriser les appareils IoT devient de plus en plus difficile. Même si les entreprises ne peuvent pas éliminer toutes les attaques IoT, celles qui maîtrisent leur sécurité IoT peuvent se concentrer sur leurs objectifs principaux : optimiser les processus, améliorer la qualité de service et réduire les coûts.
Ce ne sont là que quelques-unes des fonctionnalités des appareils IoT généralement nécessaires pour prendre en charge les contrôles de cybersécurité courants. Si vous souhaitez appliquer des directives ou des normes de cybersécurité sur les appareils IoT, mettre en place des cadres de sécurité dès la conception ou vous conformer à la norme NIST 8259, vous devez vous associer à des experts tiers spécialisés afin de garantir une mise en œuvre rentable.