Les appareils intelligents qui intègrent des capacités physiques et de détection ainsi que des capacités d'interface réseau sont fabriqués à un rythme toujours plus soutenu. Ces appareils informatiques répondent aux besoins des clients dans tous les secteurs économiques. Presque tous ces appareils sont connectés à Internet. À mesure que ces appareils IoT deviennent plus petits et plus élaborés et qu'ils disposent d'un nombre croissant de fonctionnalités, leur sécurité devient également plus compromise.
Le 29 mai, le NIST a publié les versions finales NISTIR 8259 et 8259A , ce qui représente une étape majeure dans la cybersécurité de l'IoT. Dans cet article, nous aborderons un ensemble de fonctionnalités de base en matière de cybersécurité des appareils que les entreprises devraient prendre en compte lorsqu'elles sont confrontées au défi de l'Internet des objets.
Base de référence des capacités de cybersécurité des appareils IoT
Les fonctionnalités et fonctions de cybersécurité que les appareils informatiques fournissent grâce à leurs besoins techniques (par exemple, le matériel et les logiciels de l'appareil) sont appelées capacités de cybersécurité de l'appareil. La base de référence des capacités de cybersécurité des appareils IoT peut être définie comme un ensemble de capacités de l'appareil nécessaires pour prendre en charge les contrôles de cybersécurité qui protègent les appareils, leurs données, leurs systèmes et leurs écosystèmes.
Le rôle de la ligne de base de base est une valeur par défaut pour les appareils minimalement sécurisés. Néanmoins, des capacités de cybersécurité des appareils peuvent être ajoutées ou supprimées de la conception des appareils pour répondre au mieux aux risques de cybersécurité spécifiques aux organisations.
Voici six capacités de cybersécurité des appareils dans la base de référence principale :
1. Identification de l'appareil : cela signifie que l'appareil IoT peut être identifié de manière unique, physiquement et logiquement. Les éléments communs de cette capacité (qui sont des éléments qu'une organisation cherchant à mettre en œuvre la base de référence utiliserait pour atteindre cette capacité) sont un identifiant logique unique et un identifiant physique unique. Ceux-ci doivent se trouver à un emplacement interne ou externe de l'appareil auquel le personnel autorisé peut accéder.
La raison d'être de cette fonctionnalité et de ses éléments communs est que cette fonctionnalité prend en charge la gestion des actifs, qui, à son tour, prend en charge la gestion des vulnérabilités et des accès, la protection des données et la détection des incidents. En ce qui concerne les identifiants logiques et physiques uniques, ils peuvent être utilisés pour distinguer l'appareil des autres.
2. Configuration de l'appareil : la configuration du logiciel de l'appareil IoT peut être modifiée, mais ces modifications ne peuvent être effectuées que par du personnel autorisé. Les éléments communs de cette capacité sont la possibilité de modifier les paramètres de configuration du logiciel de l'appareil, la possibilité de restreindre les modifications de configuration au personnel autorisé uniquement et la possibilité pour le personnel autorisé de restaurer l'appareil à une configuration sécurisée.
Cette fonctionnalité est nécessaire pour prendre en charge la gestion des vulnérabilités et des accès, la protection des données et la détection des incidents. Sans elle, une entité autorisée ne peut pas modifier la configuration d'un appareil pour diverses raisons, telles que la cybersécurité, l'interopérabilité, la confidentialité et la facilité d'utilisation. La restauration d'une configuration sécurisée pour un appareil est utile lorsque la configuration actuelle contient des erreurs, a été endommagée ou corrompue, ou n'est plus fiable.
3. Protection des données : l'appareil IoT peut protéger les données qu'il stocke et transmet contre tout accès et modification non autorisés. Les éléments communs de cette capacité sont la possibilité d'utiliser des modules cryptographiques sécurisés pour des algorithmes standardisés (chiffrement avec authentification, signature numérique, etc.), la possibilité pour le personnel autorisé de rendre toutes les données inaccessibles à toutes les entités et la possibilité pour le personnel autorisé de configurer l'utilisation de la cryptographie elle-même.
Cette fonctionnalité est nécessaire pour prendre en charge la gestion des accès, la protection des données et la détection des incidents. Elle empêche également les entités non autorisées d'accéder aux données ou de les modifier par inadvertance ou intentionnellement.
4. Accès logique aux interfaces : l'appareil IoT peut restreindre l'accès logique à ses interfaces locales et réseau, aux protocoles et aux services utilisés par ces interfaces au personnel autorisé uniquement. Les éléments communs de cette capacité sont la capacité de désactiver logiquement ou physiquement toute interface locale ou réseau inutile pour la fonctionnalité principale de l'appareil, la capacité de restreindre logiquement l'accès à chaque interface réseau et la capacité d'activer, de désactiver et d'ajuster les seuils pour toute capacité que l'appareil a verrouillée ou désactivée après trop de tentatives d'authentification infructueuses.
Cette fonctionnalité est nécessaire pour prendre en charge la gestion des vulnérabilités, la gestion des accès, la protection des données et la détection des incidents. En outre, la limitation de l'accès aux interfaces réduit la surface d'attaque de l'appareil, ce qui réduit les possibilités de compromission des attaquants.
5. Mise à jour du logiciel : le logiciel de l'appareil IoT peut être mis à jour uniquement par des entités autorisées à l'aide d'un mécanisme sécurisé et configurable. Les éléments communs de cette capacité sont la possibilité de mettre à jour à distance le logiciel de l'appareil, de vérifier et d'authentifier les mises à jour avant de les installer, de restreindre les actions de mise à jour au personnel autorisé uniquement, etc.
La raison d'être de cette capacité est qu'elle prend en charge la gestion des vulnérabilités, permettant des mises à jour pour supprimer les vulnérabilités d'un appareil IoT, corriger les problèmes de fonctionnement des appareils et permettre des mises à jour automatiques ou manuelles.
6. Connaissance de l'état de cybersécurité - l'appareil IoT peut signaler son état de cybersécurité et rendre ces informations accessibles uniquement aux entités autorisées. Les éléments communs de cette capacité sont la capacité à signaler l'état de cybersécurité de l'appareil, la capacité à différencier les états de cybersécurité fonctionnels et dégradés, la capacité à restreindre l'accès à l'indicateur d'état au personnel autorisé uniquement, etc.
Cette fonctionnalité est nécessaire pour gérer les vulnérabilités et détecter les incidents. Elle permet également d'enquêter sur les compromissions, d'identifier les abus et de résoudre les problèmes opérationnels.
Si vous souhaitez en savoir plus sur les principales capacités de cybersécurité des appareils IoT ou si vous souhaitez évaluer votre solution par rapport aux exigences de sécurité de base des appareils IoT à un niveau d'assurance de sécurité de base, substantiel ou élevé, contactez un laboratoire de cybersécurité spécialisé dans l'IoT .