L'utilisation de solutions de gestion d'identité pour sécuriser l'IoT

• Durcissement des équipements : désactivez les services superflus.
• Test : effectuez des tests d’intrusion sur le matériel pour détecter d’éventuelles vulnérabilités ou d’autres problèmes de sécurité.
• Mots de passe : modifiez le mot de passe par défaut et instaurez des règles strictes pour les mots de passe.
• Risque : évaluez le niveau de risque en fonction de la nature du dispositif IoT et prenez des mesures adaptées. Par exemple, les conséquences du piratage d’un dispositif médical, comme une pompe à insuline, seront potentiellement plus préjudiciables que s’il s’agit d’un capteur de cartographie de la circulation des visiteurs dans une boutique.
• Confidentialité : ne collectez que les données dont vous avez besoin et chiffrez ces données en cours de transport, en cours d’utilisation ou quand elles sont dormantes. Ceci vaut pour toutes les couches de protection, pas uniquement la couche liée à l’appareil.
• Niveau des composants : si des mesures de sécurité sont envisageables à ce niveau, incluez-les dans votre stratégie de défense.

Les meilleures pratiques que les entreprises observent, telles que celles préconisées par l’OWASP et le réseau Security Lifecycle Development, doivent être étendues à l’application de l’IoT et à l’infrastructure sous-jacente, comme les API et les bases de données. Des tests réguliers doivent être programmés pour vérifier que les meilleures pratiques sont bien mises en place et pour déceler des vulnérabilités ou d’autres problèmes de sécurité.

Prenez des mesures adaptées pour sécuriser la couche de transport et le canal des dispositifs IoT afin que le trafic ne risque pas d’être intercepté, altéré ou interrompu. Prévoyez aussi une surveillance du trafic qui permettrait de détecter les anomalies et de prévenir les incidents. En effet, les pirates et cybercriminels s’intéressent aux failles de N’IMPORTE QUELLE couche de l’écosystème IoT. Comme le réseau est responsable du transport d’information dans tout l’écosystème IoT, il est vital de le protéger et de le surveiller dans le cadre d’une stratégie de sécurité IoT. C’est déjà le cas dans n’importe quelle entreprise qui n’utilise pas de solutions IoT, car c’est le pilier de toutes les opérations stratégiques et de collaboration.

Un bon moyen de renforcer la posture de sécurité des dispositifs IoT est d’adopter des mesures de protection du matériel, comme des puces spécialisées, ou de s’assurer que les puces intègrent des mesures de sécurité adaptées dans le cadre d’une approche de la sécurité sur plusieurs couches. Par exemple des chercheurs ont récemment découvert des failles dans la méthode de chiffrement du système de verrouillage à distance HiTag2 qui pourraient concerner jusqu’à 100 millions de véhicules. Dans ce cas, une puce plus récente avec une clé de chiffrement davantage sécurisée, comme AES, aurait pu empêcher que l’on exploite ces failles.

Les entreprises progressent dans leur utilisation de l’IoT et elles réalisent l’importance de gérer les relations entre entités de l’IoT. Dans un nombre croissant d’environnements, des solutions IAM servent à authentifier les dispositifs, les utilisateurs et les systèmes, de façon à protéger les communications et à déterminer le rôle de chaque entité et ses droits au sein de l’écosystème.

Alors que les solutions IAM traditionnelles se réduisent à la combinaison identifiant utilisateur et mot de passe ou à l’authentification bifactorielle avec jeton logiciel ou matériel pour l’authentification des entités, les certificats numériques constituent la solution la plus flexible disponible à ce jour, surtout dans l’écosystème IoT.  C’est particulièrement important quand des dispositifs communiquent avec plusieurs terminaux ou lorsqu’ils doivent authentifier d’autres entités via des canaux à bas débit. 

Toutefois, l’adoption des certificats numériques pour l’IoT suppose que l’on prête attention au cycle de vie des clés et des certificats, en tenant compte également de la puissance de calcul et de la capacité de stockage limitées ainsi que la largeur de bande disponible.  De plus, comme chaque dispositif a besoin de ses propres clés et certificats, et compte tenu du grand nombre de dispositifs en présence, il faut bien réfléchir aux conditions d’inscription, de génération des clés, de délivrance des certificats et de renouvellement.  Trois possibilités s’offrent à vous : initialiser les dispositifs en usine, ou bien au moment du déploiement sur le terrain, ou encore selon une approche hybride.

Le contrôle d’accès, aspect le plus délicat des solutions IAM pour l’IoT, peut être prévu dès la conception de l’infrastructure PKI (public key infrastructure) pour IoT. Les compteurs intelligents utilisent des hiérarchies PKI privées permettant de garantir que seules les entités valides ont accès aux dispositifs. Dans le même temps, des architectes de la sécurité et des concepteurs envisagent des scénarios hypothétiques autour de la perte de contrôle des données des clés.

Pour terminer, voici quelques règles générales de sécurisation des objets connectés. Dans l’ensemble, ce sont les mêmes règles de sécurité habituelles qui s’appliquent à cet environnement :

• Authentifiez toutes les connexions IoT.
• Veillez à appliquer rapidement les correctifs disponibles aux dispositifs IoT.
• Ne collectez que les informations dont vous avez besoin auprès des dispositifs IoT, et débarrassez-vous-en en toute sécurité quand vous n’en avez plus l’utilité. 
• Chiffrez les données IoT sensibles.
• Segmentez les réseaux IoT et les systèmes afin de limiter la propagation d’une attaque et ses dommages potentiels. 
• Comme pour n’importe quel autre système IT, évaluez régulièrement le risque, appliquez les mesures de sécurité appropriées et testez leur efficacité.