Comment protéger les appareils industriels connectés

  • FrançaisFrançais



  • Les entreprises qui construisent l’IoT et des machines connectées doivent s’assurer que leurs appareils sont protégés contre ces attaques. Mais par où devraient-ils commencer?

    Par Alan Grau, Sectigo

    La croissance des solutions IoT industrielles continue de se développer, affectant tous les segments du marché industriel, y compris la fabrication, l’entreposage, le transport et la logistique, ainsi que les appareils électroniques grand public et domestiques.

    Les appareils IoT génèrent et collectent une quantité énorme de données, et ces données doivent être protégées contre la falsification et la découverte. Les nouvelles attaques contre les appareils IoT continuent de faire les gros titres. Dans de nombreux cas, les causes profondes des attaques réussies qui causent des dommages sont les périphériques et les machines conçus, construits et installés avec une sécurité faible ou inexistante.

    Les entreprises qui construisent l’IoT et des machines connectées doivent s’assurer que leurs appareils sont protégés contre ces attaques. Mais par où devraient-ils commencer? Quelles mesures les fabricants d’appareils peuvent-ils prendre pour s’assurer que leurs appareils sont renforcés?

    Comment concevoir et intégrer la protection des données dans les appareils connectés

    La sécurité des données IoT ne peut être obtenue qu’en intégrant une protection directement dans l’appareil lui-même. Cela fournit une couche de sécurité critique car de nombreuses machines connectées sont utilisées en périphérie et sur le terrain et ne peuvent pas dépendre d’un pare-feu d’entreprise comme seule couche de sécurité.

    Exigences de sécurité des données

    Pour sécuriser les données générées par les appareils IoT, plusieurs capacités de sécurité critiques doivent être intégrées à l’appareil, notamment:

    • Communication sécurisée
    • Protection des données au repos
    • Stockage sécurisé des clés
    • Certificats et identité de l’appareil

    Communication sécurisée

    Ces dernières années, de nombreux périphériques intégrés ont ajouté la prise en charge des protocoles de communication sécurisés tels que TLS, DTLS et SSH. Ces protocoles fournissent un premier niveau de défense critique contre les cyberattaques, mais laissent un certain nombre de vecteurs d’attaque sans protection.

    Les protocoles de sécurité conçus pour protéger contre le reniflage de paquets, les attaques d’intermédiaire, les attaques de relecture et les tentatives non autorisées de communication avec l’appareil constituent un bon point de départ pour la création d’appareils sécurisés.

    Protection des données au repos (DAR)

    Les appareils IoT, contrairement aux serveurs d’entreprise, ne sont pas enfermés profondément dans un centre de données. Beaucoup sont situés «sur le terrain» avec un risque de vol ou d’attaque physique. Toutes les données sensibles stockées sur ces appareils doivent être cryptées pour garantir qu’elles sont protégées des tentatives de lecture à partir de l’appareil, soit en copiant les données de l’appareil, soit en supprimant physiquement et en lisant les données directement à partir du lecteur flash.

    De nombreux appareils IoT n’ont pas la puissance de calcul nécessaire pour prendre en charge le cryptage complet du disque, mais les données sensibles telles que les numéros de carte de crédit ou les informations sur les patients doivent toujours être cryptées. Les fabricants doivent prendre des mesures pour stocker la clé de cryptage dans la mémoire protégée de l’appareil. La protection des données au repos (DAR) répond à ce défi en chiffrant les données stockées sur l’appareil, offrant ainsi une protection aux données sensibles stockées sur l’appareil.

    Stockage sécurisé des clés

    Les protocoles de communication sécurisés, la protection des données au repos, le démarrage sécurisé et les mises à jour sécurisées du micrologiciel reposent tous sur le cryptage et l’authentification par certificat. Un appareil doit avoir la capacité de stocker en toute sécurité les clés de chiffrement et les certificats utilisés pour chiffrer les données, authentifier le micrologiciel et prendre en charge l’authentification de machine à machine. Si un pirate peut découvrir les clés de chiffrement, il peut complètement contourner une solution de sécurité par ailleurs robuste. Le stockage sécurisé des clés peut être fourni à l’aide d’un TPM ou d’un autre élément matériel sécurisé. Si le périphérique n’a pas de module matériel disponible, une méthode de stockage de clés sécurisée basée sur un logiciel peut être utilisée.

    Certificats et identité de l’appareil

    PKI (Public Key Infrastructure) est un ensemble de technologies et de services de gestion de l’authentification des systèmes informatiques. PKI est basé sur un mécanisme appelé certificat numérique. Les certificats numériques sont parfois également appelés certificats X.509 ou simplement certificats. Considérez un certificat comme une carte d’identité virtuelle.

    PKI fournit les outils et méthodes nécessaires pour émettre des certificats à tous les appareils IoT sur un réseau et pour gérer ces certificats tout au long de la vie d’un appareil. Un certificat peut être assimilé à un permis de conduire. Il fournit une identité et un ensemble d’autorisations et a été émis par une entité de confiance. Mon permis de conduire m’identifie (Alan Grau), fournit une photo pour montrer que je suis le bon détenteur du permis et définit mes autorisations en tant que conducteur d’un véhicule à moteur. Je suis autorisé à conduire tout véhicule automobile de tourisme standard, mais pas certains véhicules commerciaux. Et la licence a été délivrée par une entité de confiance (le gouvernement de l’État de l’Iowa).

    Tout comme un permis de conduire, un certificat numérique identifie le titulaire et doit être renouvelé.
    Tout comme un permis de conduire, un certificat numérique identifie le titulaire et doit être renouvelé.

    À bien des égards, un certificat est similaire. Un certificat est émis par une entité de confiance (une autorité de certification), contient des autorisations et est utilisé pour identifier le titulaire du certificat. Un permis de conduire contient des informations permettant de vérifier le titulaire du permis, tout comme un certificat contient la clé publique lui permettant d’être utilisée uniquement par l’entité qui détient la clé privée associée.

    Sans plonger dans les détails de la technologie de cryptographie à clé publique / privée qui rend cela possible, un appareil IoT peut vérifier que le titulaire du certificat est l’entité spécifiée par le certificat. Ces services sont activés à l’aide de la cryptographie à clé publique / privée fournissant les fondements techniques de l’ICP. Le résultat est qu’un appareil peut vérifier, avec une certitude cryptographique, que le titulaire du certificat PKI est bien qui il prétend être et non un imposteur.

    Un cadre de sécurité, tel que la plate-forme d'identité et d'intégrité IoT de Sectigo, fournit un ensemble intégré de blocs de construction de sécurité.
    Un cadre de sécurité, tel que la plate-forme d’identité et d’intégrité IoT de Sectigo, fournit un ensemble intégré de blocs de construction de sécurité.

    Sommaire

    La protection des données pour les appareils IoT et les machines connectées n’est plus une bonne chose à avoir, elle est essentielle.

    Les cyberattaques sont en augmentation, la législation mondiale sur la cybersécurité pour les appareils IoT devient de plus en plus courante (avec d’autres en cours) et les opérateurs de réseau commencent à exiger des niveaux de sécurité plus élevés. Pour rester compétitifs, les OEM doivent assurer la sécurité de tous leurs produits, qu’ils soient petits ou complexes.

    La nouvelle règle est que la sécurité doit être intégrée aux appareils dès les premières étapes de la conception du produit.

    Alan Grau, vice-président des solutions IoT / intégrées, Sectigo
    Alan a 25 ans d’expérience dans les télécommunications et le marché des logiciels embarqués. Il est VP of IoT, Embedded Solutions chez Sectigo, la plus grande autorité de certification commerciale au monde et fournisseur de solutions PKI automatisées spécialement conçues. Alan a rejoint Sectigo en mai 2019 dans le cadre de l’acquisition par la société d’Icon Labs, l’un des principaux fournisseurs de logiciels de sécurité pour l’IoT et les appareils embarqués, où il était CTO et co-fondateur. Il est un conférencier et blogueur fréquent de l’industrie et détient plusieurs brevets liés aux télécommunications et à la sécurité.

    Avant de fonder Icon Labs, Alan a travaillé pour AT&T Bell Labs et Motorola. Il est titulaire d’une maîtrise en informatique de l’Université Northwestern.

    À propos de Sectigo
    Sectigo (https://sectigo.com) est l’un des principaux fournisseurs de cybersécurité de solutions d’identité numérique, y compris les certificats TLS / SSL, DevOps, IoT et la gestion PKI de niveau entreprise, ainsi que la sécurité Web multicouche. En tant que plus grande autorité de certification commerciale au monde avec plus de 700000 clients et plus de 20 ans d’expérience dans la confiance en ligne, Sectigo s’associe à des organisations de toutes tailles pour fournir des solutions PKI publiques et privées automatisées pour sécuriser les serveurs Web, l’accès des utilisateurs, les appareils connectés et les applications.

    Source

    N'oubliez pas de voter pour cet article !
    1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
    Loading...

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.