IoT : sécuriser une infrastructure en 4 étapes

L'Internet des objets (IoT) est par nature complexe. Les appareils relient à distance des installations, des machines et des véhicules, afin d'optimiser les processus de production.

Pour pouvoir travailler efficacement ensemble, les solutions IoT doivent disposer d'un réseau de communication performant et, pour générer une réelle valeur ajoutée, être connectées au cloud. Sans une mise en œuvre minutieuse selon une approche Secure by Design, les systèmes d'appareils et d'applications mis en réseau peuvent se retrouver sans aucune protection et fournir ainsi aux pirates des points d'attaque potentiels. Il est pourtant possible de sécuriser une infrastructure IoT en 4 étapes, à prendre en compte dès la mise en œuvre de l’infrastructure afin d’éviter les dangers et ainsi protéger les processus de production.

Étape 1 : planification et transparence

Pour sécuriser une infrastructure IoT dans une entreprise, les maitres mots sont planification et transparence. Les responsables doivent commencer par identifier les processus et biens critiques pour l'entreprise ou la production. Étant des cibles potentielles pour les pirates, la protection doit être faite rapidement et efficacement. De plus, tous les environnements doivent être examinés et évalués en fonction des menaces potentielles. Cet audit, approfondi et sans compromis, doit combiner une approche aussi bien top-down que bottom-up, afin de déterminer quels systèmes doivent être renforcés, lesquels sont déjà sûrs et comment les différents composants des systèmes complexes s'imbriquent pour sécuriser l'ensemble de l'infrastructure.

Lors de la planification, les responsables doivent également catégoriser les attaques potentielles et appréhender leur influence sur les processus critiques. Cela permet d'améliorer l’existant et de converger vers les directives de conformité.

Étape 2 : la mise en œuvre

Une fois que tous les actifs ont été examinés et catégorisés, les vulnérabilités et faiblesses doivent être adressées par architecture de sécurité efficace. L'objectif : mettre en place une infrastructure IoT sûre, adaptée aux processus de l'entreprise et harmonisée avec l’environnement, tant au niveau matériel que logiciel. Actuellement, il est rare de trouver dans les départements informatiques des spécialistes de la sécurité informatique formés et connaissant en détail les défis particuliers de l'environnement IoT. Afin de pouvoir mettre en œuvre les projets correspondants selon le principe Secure by Design, il est primordial de rechercher des partenaires qui puissent les conseiller et les accompagner de la conception du concept de sécurité jusqu'à la mise en œuvre à tous les niveaux de l'infrastructure. 

La fonctionnalité Root-of-Trust (RoT) est une technologie clé dans la conception d'une architecture IoT protégée. Dans les systèmes sécurisés par cryptographie, la RoT crée une identité unique pour chaque appareil sur lequel elle est installée. Ainsi, seuls ces derniers sont considérés comme dignes de confiance, améliorant ainsi la détection de matériel étranger. L'approche peut également être appliquée aux systèmes logiciels et s'appuie ici sur des logiciels de sécurité avancés.

Étape 3 : l’évaluation

Après avoir identifié et mis en œuvre son concept, il convient maintenant de le tester de manière continue. La posture sécuritaire et les méthodes d'attaque évoluant constamment, il est indispensable de procéder à des évaluations répétées. La question fondamentale reste la suivante : quand est-ce qu’un système est-il suffisamment sûr ? Les utilisateurs peuvent toujours répondre à cette question de deux manières : quantitativement et qualitativement.

Actuellement, les entreprises travaillent de plus en plus avec des méthodes quantitatives pour évaluer la sécurité de leur infrastructure IoT. L’approche quantitative passe tout d'abord par un audit par lequel on essaie d'identifier tous les vecteurs d'attaque à l'aide de procédures de test, pour ensuite les évaluer. Cette procédure peut s'avérer longue et coûteuse, en particulier pour les grandes infrastructures.

L'évaluation qualitative de la situation en matière de sécurité peut constituer une variante plus avantageuse et suffisante pour l'évaluation des infrastructures IoT. Ce qui est décisif à ce stade, c'est que le concept de sécurité soit développé avec des connaissances spécialisées correspondantes et que l’on choisisse du  matériel et des logiciels appropriés. Avec l'aide de spécialistes, les entreprises peuvent par exemple s'assurer d'utiliser des composants qui ont fait leurs preuves pendant des années dans le cadre d'autres projets et évaluations.

Étape 4 : mise en service et adaptation

Pour que le retour sur investissement souhaité puisse se produire, les solutions doivent être mises en service le plus rapidement possible et adaptées si nécessaire tout au long du cycle de vie du produit.

Pour que les processus critiques soient protégés, il est nécessaire de donner à chaque appareil de l'infrastructure IoT une identité individuelle avant de l'installer ou de l'utiliser. Certains prestataires de services et fabricants proposent un processus d'intégration simplifié en intégrant des solutions de sécurité RoT et robustes dans chaque module.

Pour que le concept de sécurité mis en œuvre et les solutions installées puissent continuer de repousser efficacement les attaques, les systèmes doivent être maintenus à jour en permanence, tandis que les données collectées par les différents appareils doivent être analysées afin de réduire durablement les risques.

De nombreuses entreprises ont toutefois des difficultés à réunir ressources et connaissances nécessaires à l’analyse des données collectées. S’adjoindre les compétences d’un un prestataire de services de sécurité informatique peut y remédier.