L'IoT est une énorme opportunité pour votre environnement d'entreprise/développement de produits de repenser la sécurité !
L’arrivée de l’IoT dans notre cyberespace a sans aucun doute poussé le monde dans une frénésie effrénée de connexion de tout ce qui dispose d’un espace suffisant pour contenir une carte avec quelques puces, un capteur et une batterie montée dessus. Une étude de 10 minutes sur des sites de commerce électronique comme Alibaba et Amazon vous étonnera par la variété des produits IoT qui reflètent la pure créativité de l’humanité – nous ne sommes limités que par ce que notre esprit est capable d’imaginer. L’objectif principal de cet article est de mettre les lecteurs au défi de réfléchir à certaines questions essentielles pour guider votre entreprise vers l’adoption de l’IoT.
Vous êtes donc un administrateur IT/OT chargé de diriger l'intégration de l'IoT dans vos opérations commerciales. Cependant, vous vous demandez quelles sont les considérations de sécurité à prendre en compte lors de l'achat et de l'installation de ces appareils ? Vous souhaitez désespérément éviter de devenir célèbre en raison de l'activité des pirates informatiques sur vos systèmes. Voici quelques questions à prendre en compte.
1- Ce fournisseur de produits fournit-il une chaîne d’approvisionnement de confiance ?
« La chaîne logistique de confiance consiste à savoir d'où vous vous approvisionnez en logiciels ou en matériel et à comprendre la sécurité à l'intérieur de ce que vous achetez. Cela revient à assumer la responsabilité de chaque couche de sécurité. » Dans ce monde globalisé, nous savons que « tous nos systèmes informatisés sont profondément internationaux » et qu'aucun pays ne produit un appareil, y compris tous ses composants tout au long de la chaîne de valeur. Il est donc important de développer une attitude sceptique à l'égard des composants tiers qui se retrouveront dans votre appareil, vos processus de fabrication, vos systèmes ou vos réseaux.
Comme le montrent régulièrement les statistiques, la chaîne d'approvisionnement reste une cible vulnérable pour les attaquants, à tel point que jusqu'à 80 % des cyberattaques peuvent provenir de la chaîne d'approvisionnement. Rien qu'en 2018, selon le Symantec Internet Security Threat Report 2019, les attaques contre la chaîne d'approvisionnement ont augmenté de 78 % dans le monde. Selon Kellerman de Carbon Black… « Ils (les attaquants) n'ont aucune envie de quitter l'environnement. Et ils ne veulent pas seulement vous voler, vous et ceux qui se trouvent le long de votre chaîne d'approvisionnement… les attaquants veulent aujourd'hui « posséder » l'intégralité de votre système » , des logiciels/matériels fournis par les fournisseurs aux systèmes des fournisseurs, du matériel intégré aux agrégateurs de données et aux solutions de stockage, etc.
Ainsi, lorsque vous posez cette question, vérifiez si le fournisseur respecte les meilleures pratiques en matière de politiques, processus et procédures de sécurité, généralement représentées par des certifications de cybersécurité ou un label de conformité. Les nouvelles technologies comme la blockchain se sont révélées très prometteuses pour améliorer la confiance dans la chaîne d'approvisionnement, en offrant une traçabilité complète de la sécurité des produits depuis le site de fabrication jusqu'à l'utilisateur final.
2- Quelle fonctionnalité de sécurité est inhérente à cet appareil ?
La fonctionnalité de sécurité inhérente à un appareil offre davantage d'options dans la mise en œuvre des contrôles de sécurité et fournit une défense en profondeur pour faire face aux risques identifiés, c'est-à-dire du niveau de l'appareil à celui de l'architecture. Au strict minimum, un appareil IoT doit : pouvoir être mis à jour en toute sécurité et assurer des communications sécurisées avec le monde extérieur.
Disposer d'une racine de confiance ou d'un provisionnement de clé sécurisé : la racine de confiance (RoT) est une source à laquelle on peut toujours faire confiance au sein d'un système cryptographique. Étant donné que la sécurité cryptographique dépend des clés pour chiffrer et déchiffrer les données et exécuter des fonctions telles que la génération de signatures numériques et la vérification des signatures, cette fonctionnalité garantit la capacité de l'appareil IoT à effectuer en toute sécurité des opérations cryptographiques ultérieures pour la sécurité des données, les communications sécurisées, etc. Les appareils qui ne sont pas dotés de cette fonction doivent fournir une alternative sécurisée pour l'insertion de la clé cryptographique dans l'appareil.
Disposer d’une fonctionnalité de mise à jour sécurisée : les utilisateurs doivent éviter le risque de vulnérabilités persistantes dans les appareils qui n’ont pas de capacité de mise à jour en s’assurant que tous les appareils et systèmes sont conçus avec la capacité d’être mis à jour lorsque des vulnérabilités sont découvertes.
3- Quel est l’impact de l’intégration de ce produit/solution dans mon réseau ?
À mesure que la gamme de produits IoT d'entreprise s'élargit, l'intégration continue de divers appareils dans un réseau central augmente la probabilité d' attaques malveillantes de pirates informatiques . En outre, le risque croissant de connexion du même appareil IoT dans les réseaux domestiques et d'entreprise (BYOD) augmente la probabilité de contamination croisée. Il existe des cas où les applications utilisées pour gérer l'appareil IoT personnel d'un employé (avec des exigences d'autorisation très variées) sont installées sur le PC ou l'appareil mobile de l'entreprise. En outre, les appareils IoT augmentent la pression sur l'infrastructure de l'entreprise (par exemple, la bande passante) et, dans de nombreux cas, ont un impact sur les politiques existantes de flux de données/d'accès aux données de l'entreprise.
L'intégration sécurisée de l'IoT dans une architecture existante est précédée d'une évaluation d'impact couvrant des aspects tels que (sans s'y limiter) l'architecture réseau, les fonctionnalités système, la triade CIA des données, le profil de l'attaquant, la localisation géopolitique, etc. Dans les environnements industriels où nous voyons souvent des appareils existants, par exemple, la mise à niveau de la sécurité dans les équipements existants est un moyen pour de nombreuses usines de tirer parti de l'IoT industriel. Pour d'autres usines, une refonte complète de la sécurité du réseau peut être nécessaire, par exemple la mise à jour d'un protocole réseau existant vers un protocole avec une meilleure sécurité de transport et des correctifs de sécurité continus, l'intégration de périphériques réseau à faible latence capables de gérer les communications sécurisées des appareils IoT, etc.
4 - Ai-je une vision claire de mes flux de données ?
Pour clarifier l'analyse d'impact, une cartographie complète des flux de données au sein de tous les segments de l'organisation est essentielle. Cela permet d'allouer les ressources et les contrôles de sécurité de manière appropriée lors de la configuration des appareils et des systèmes, en mettant les communications IoT en conformité avec les politiques de sécurité de l'entreprise et les niveaux d'acceptation des risques.
5- Ai-je une responsabilité légale ?
Enfin, les implications potentielles des données cartographiées en matière de confidentialité doivent être soigneusement examinées à la lumière des réglementations existantes. Les entreprises doivent mettre en place des systèmes capables de surveiller et de prouver la conformité aux réglementations en matière de protection des données.
Réflexions finales
Comme on le dit souvent, « un point à temps en sauve neuf » - c'est encore plus vrai dans le domaine de la sécurité IoT, car la sécurité dès la conception s'est avérée beaucoup moins coûteuse et plus robuste que la mise à jour d'un système déjà construit mais non sécurisé. Appelez un expert dès aujourd'hui et discutez de vos problèmes de sécurité ; il sera ainsi beaucoup plus difficile pour un attaquant de faire de vous la une des journaux télévisés.
Cet article est écrit par M . Isaac Dangana - Analyste principal de la sécurité IoT chez Red Alert Labs
Isaac a été impliqué dans des sujets de cybersécurité tels que la cryptographie appliquée, l'informatique légale, la recherche sur la sécurité des appareils IoT, la sécurité des réseaux, la sécurité des protocoles de communication et le développement de systèmes de certification de cybersécurité #RedLabBlog