L'utilisation de solutions de gestion d'identité pour sécuriser l'IoT

Afin de sécuriser les écosystèmes IoT, les entreprises ont intérêt à suivre quelques règles essentielles, touchant aussi bien au facteur humain qu'à l'application ou au réseau. Le point.

L’IoT va jouer un rôle important dans le parcours de transformation numérique de nombreuses organisations et  deviendra un accélérateur de développement. C’est pourquoi la sécurité de ces éléments devra faire partie intégrante de la stratégie de sécurité globale des entreprises. Afin de sécuriser les écosystèmes IoT, les entreprises ont intérêt à suivre quelques règles essentielles, en commençant par soigner les aspects (ou « couches ») de sécurité suivants.

Le facteur humain

Il est crucial d’instaurer une culture de sensibilisation aux enjeux de sécurité auprès des salariés et de les responsabiliser. Ceci devra être conforté par l’organisation d’activités éducatives visant à souligner l’importance de la sécurité dans l’environnement de travail.

Le périmètre physique

Outre l’observation des meilleures pratiques de sécurité, des mesures de sécurité physiques s’imposent. Vous pouvez avoir pris les meilleures dispositions pour sécuriser les accès et le réseau, organiser régulièrement des tests d’intrusion, il suffit qu’une personne non autorisée s’introduise dans une zone réglementée et qu’elle désactive un capteur IoT d’importance stratégique, dans un environnement de production ultra-sensible par exemple, pour que tous les autres outils high tech et les mesures de sécurité deviennent inutiles.

Appareils/Matériel 

Quelques bonnes pratiques à suivre :
  • Durcissement des équipements : désactivez les services superflus.
  • Test : effectuez des tests d’intrusion sur le matériel pour détecter d’éventuelles vulnérabilités ou d’autres problèmes de sécurité.
  • Mots de passe : modifiez le mot de passe par défaut et instaurez des règles strictes pour les mots de passe.
  • Risque : évaluez le niveau de risque en fonction de la nature du dispositif IoT et prenez des mesures adaptées. Par exemple, les conséquences du piratage d’un dispositif médical, comme une pompe à insuline, seront potentiellement plus préjudiciables que s’il s’agit d’un capteur de cartographie de la circulation des visiteurs dans une boutique.
  • Confidentialité : ne collectez que les données dont vous avez besoin et chiffrez ces données en cours de transport, en cours d’utilisation ou quand elles sont dormantes. Ceci vaut pour toutes les couches de protection, pas uniquement la couche liée à l’appareil.
  • Niveau des composants : si des mesures de sécurité sont envisageables à ce niveau, incluez-les dans votre stratégie de défense.
L’application

Les meilleures pratiques que les entreprises observent, telles que celles préconisées par l’OWASP et le réseau Security Lifecycle Development, doivent être étendues à l’application de l’IoT et à l’infrastructure sous-jacente, comme les API et les bases de données. Des tests réguliers doivent être programmés pour vérifier que les meilleures pratiques sont bien mises en place et pour déceler des vulnérabilités ou d’autres problèmes de sécurité.

Le réseau

Prenez des mesures adaptées pour sécuriser la couche de transport et le canal des dispositifs IoT afin que le trafic ne risque pas d’être intercepté, altéré ou interrompu. Prévoyez aussi une surveillance du trafic qui permettrait de détecter les anomalies et de prévenir les incidents. En effet, les pirates et cybercriminels s’intéressent aux failles de N’IMPORTE QUELLE couche de l’écosystème IoT. Comme le réseau est responsable du transport d’information dans tout l’écosystème IoT, il est vital de le protéger et de le surveiller dans le cadre d’une stratégie de sécurité IoT. C’est déjà le cas dans n’importe quelle entreprise qui n’utilise pas de solutions IoT, car c’est le pilier de toutes les opérations stratégiques et de collaboration.

Un bon moyen de renforcer la posture de sécurité des dispositifs IoT est d’adopter des mesures de protection du matériel, comme des puces spécialisées, ou de s’assurer que les puces intègrent des mesures de sécurité adaptées dans le cadre d’une approche de la sécurité sur plusieurs couches. Par exemple des chercheurs ont récemment découvert des failles dans la méthode de chiffrement du système de verrouillage à distance HiTag2 qui pourraient concerner jusqu’à 100 millions de véhicules. Dans ce cas, une puce plus récente avec une clé de chiffrement davantage sécurisée, comme AES, aurait pu empêcher que l’on exploite ces failles.

L’utilisation de solutions IAM comme alternative

Les entreprises progressent dans leur utilisation de l’IoT et elles réalisent l’importance de gérer les relations entre entités de l’IoT. Dans un nombre croissant d’environnements, des solutions IAM servent à authentifier les dispositifs, les utilisateurs et les systèmes, de façon à protéger les communications et à déterminer le rôle de chaque entité et ses droits au sein de l’écosystème.

Alors que les solutions IAM traditionnelles se réduisent à la combinaison identifiant utilisateur et mot de passe ou à l’authentification bifactorielle avec jeton logiciel ou matériel pour l’authentification des entités, les certificats numériques constituent la solution la plus flexible disponible à ce jour, surtout dans l’écosystème IoT.  C’est particulièrement important quand des dispositifs communiquent avec plusieurs terminaux ou lorsqu’ils doivent authentifier d’autres entités via des canaux à bas débit. 

Toutefois, l’adoption des certificats numériques pour l’IoT suppose que l’on prête attention au cycle de vie des clés et des certificats, en tenant compte également de la puissance de calcul et de la capacité de stockage limitées ainsi que la largeur de bande disponible.  De plus, comme chaque dispositif a besoin de ses propres clés et certificats, et compte tenu du grand nombre de dispositifs en présence, il faut bien réfléchir aux conditions d’inscription, de génération des clés, de délivrance des certificats et de renouvellement.  Trois possibilités s’offrent à vous : initialiser les dispositifs en usine, ou bien au moment du déploiement sur le terrain, ou encore selon une approche hybride.

Le contrôle d’accès, aspect le plus délicat des solutions IAM pour l’IoT, peut être prévu dès la conception de l’infrastructure PKI (public key infrastructure) pour IoT. Les compteurs intelligents utilisent des hiérarchies PKI privées permettant de garantir que seules les entités valides ont accès aux dispositifs. Dans le même temps, des architectes de la sécurité et des concepteurs envisagent des scénarios hypothétiques autour de la perte de contrôle des données des clés.

Les bonnes pratiques en matière de sécurité IoT

Pour terminer, voici quelques règles générales de sécurisation des objets connectés. Dans l’ensemble, ce sont les mêmes règles de sécurité habituelles qui s’appliquent à cet environnement :

  • Authentifiez toutes les connexions IoT.
  • Veillez à appliquer rapidement les correctifs disponibles aux dispositifs IoT.
  • Ne collectez que les informations dont vous avez besoin auprès des dispositifs IoT, et débarrassez-vous-en en toute sécurité quand vous n’en avez plus l’utilité. 
  • Chiffrez les données IoT sensibles.
  • Segmentez les réseaux IoT et les systèmes afin de limiter la propagation d’une attaque et ses dommages potentiels. 
  • Comme pour n’importe quel autre système IT, évaluez régulièrement le risque, appliquez les mesures de sécurité appropriées et testez leur efficacité.

Stockage / Chiffrement