Comment prévenir les problèmes de sécurité IoT d'entreprise ? La liste de contrôle ultime

Réduisez les risques et protégez vos équipements industriels, vos clients et vos usines

Les entreprises industrielles (par exemple, les usines et les usines) doivent être conscientes des différentes menaces de sécurité de l'IoT et mettre en œuvre une stratégie de cybersécurité à plusieurs niveaux pour protéger leur entreprise et leurs opérations. Cet article détaille les risques des appareils connectés et décrit les principales solutions qui résoudront vos défis de sécurité IoT – aujourd'hui et dans le futur.

[[Obtenez votre liste de contrôle de sécurité IoT]]

Qu'est-ce que la sécurité IoT ?

La sécurité de l'IoT concerne la sécurité des appareils connectés et de leurs réseaux dans l'Internet des objets (IoT), et leur protection contre toute menace de sécurité potentielle. L'IoT industriel consiste à ajouter une connectivité Internet aux systèmes, aux appareils informatiques et aux machines mécaniques et numériques. De nouveaux hacks et failles de sécurité sont découverts chaque jour, ce qui fait de la sécurité de vos appareils un processus continu. Cela signifie que la solution de sécurité IoT que vous avez choisie doit être robuste et doit inclure des fonctionnalités qui maintiennent les systèmes connectés en sécurité en permanence.

Les risques des appareils IoT industriels connectés

Ne pas avoir de programme de sécurité et de confidentialité pour les produits IoT peut avoir un impact majeur. Un manque de surveillance suffisante des appareils/systèmes IoT pour détecter les vulnérabilités de sécurité crée une cible plus facile pour les pirates. Le risque est que des logiciels critiques qui s'exécutaient autrefois dans leur propre environnement sécurisé soient désormais liés à un réseau plus large. Un réseau IIoT était auparavant un réseau distinct pour la technologie opérationnelle, mais maintenant un appareil connecte ce réseau privé au reste du réseau informatique de l'entreprise, ce qui peut causer de graves dommages car des données confidentielles et critiques sont à portée de main.

Des pirates informatiques ont déjà déployé des logiciels malveillants sur des réseaux industriels en exploitant des capteurs connectés à Internet et en accédant à des réseaux physiques. Les cyberattaques potentielles de l'IIoT doivent donc être une priorité lorsque vous commencez à connecter des appareils IoT à Internet.

Nous avons créé cette liste de contrôle pour nous assurer que vous pensez à tous les aspects de la sécurité de l'IoT et que vous avez tout mis en place pour éviter ce genre de problèmes.

Sécurité IoT industrielle

Une liste de contrôle de sécurité de l'IoT industriel pour prévenir les problèmes et les violations

Les ingénieurs machines et leurs clients doivent discuter ensemble des risques de l'IoT pour prévenir les attaques potentielles et prendre des mesures pour assurer la sécurité continue de leurs systèmes. Cette liste de contrôle répertorie les différents domaines de sécurité que vous devez couvrir, aide à minimiser les menaces de sécurité pour l'IoT et propose des solutions et des actions possibles pour maintenir une usine ou une opération sécurisée.

Pare-feu – Limitez votre surface

La plupart des spécialistes de la cybersécurité minimisent le risque que quelque chose de mal arrive au système. La façon la plus simple de le faire est de limiter le nombre de choses et d'emplacements qu'un pirate informatique peut potentiellement exploiter. Pensez à votre environnement IoT comme s'il s'agissait d'un coffre-fort bancaire, où vous stockez votre devise la plus précieuse - dans ce cas, la propriété intellectuelle, les données de la machine et des clients, etc. Il est beaucoup plus facile de sécuriser et de surveiller votre coffre-fort s'il n'a qu'un entrée unique gardée.

C'est là qu'interviennent les pare-feu. Les pare-feu sont des applications simples qui filtrent le trafic Internet en fonction de l'IP source (d'où vient-il ?), du port de destination (où va-t-il ?) ou du contenu du paquet (qu'est-ce qui est envoyé ?). Passer un peu de temps supplémentaire à configurer cela peut vous éviter bien des problèmes plus tard. Idéalement, vous souhaitez exposer uniquement les applications essentielles (c'est-à-dire les ports) uniquement aux sources attendues, avec le trafic attendu.

Alors demandez-vous quels ports devraient être ouverts au grand méchant Internet, et qui devrait pouvoir les atteindre. Un port qui exécute SSH peut n'être accessible qu'à partir du siège de votre entreprise, ou un port qui exécute une base de données ne peut être accessible qu'à partir du serveur lui-même (c'est-à-dire "localhost").

En savoir plus sur les raisons pour lesquelles vous devriez vous soucier des connexions entrantes vers votre usine.

Cryptage – nℂrŶpŤ

Le cryptage est le processus mathématique consistant à transformer un message lisible en charabia (apparemment) aléatoire à l'aide d'une paire de nombres très longs. Son but est de masquer toute information des regards indiscrets et il est utilisé pour se prémunir contre les attaques dites de l'homme du milieu à l'aide de TLS. Une fois crypté, vous pouvez être sûr que votre message confidentiel ne pourra être lu que par vous et le destinataire prévu.

Cependant, tous les cryptages ne sont pas créés égaux. Il existe de nombreuses façons (également appelées algorithmes) de chiffrer un message, et certaines d'entre elles présentent des vulnérabilités connues et, par conséquent, ne sont pas sécurisées. Vérifiez toujours des sources réputées telles que SSL Labs ou Mozilla wiki pour déterminer la dernière norme de l'industrie en matière de configuration TLS.

Perte de données – Sauvegardes

Tout d'abord, vous avez besoin de sauvegardes !

Ne pas avoir de sauvegardes garantit simplement que vous êtes foutu en cas de problème.

Mais il ne suffit pas d'avoir des sauvegardes. Vous devez disposer de sauvegardes « correctes ». Propre est un terme subjectif, ce qui signifie que différentes personnes auront des définitions différentes du mot. Alors, qu'est-ce qui constitue une sauvegarde « correcte » ? Dans tous les cas, vous devez vous poser les questions suivantes, et être satisfait de la réponse :

• Quelles données dois-je stocker pour recréer l'intégralité de notre environnement IoT ?
• À quelle fréquence dois-je créer une sauvegarde ? (c'est-à-dire pendant combien de temps un écart dans les données est-il acceptable ?)
• Combien de temps dois-je conserver les sauvegardes avant de les supprimer ?
• Comment vérifier que les données des sauvegardes sont correctes ?
• Comment sécuriser mes sauvegardes ?

Revoyez régulièrement ces questions et réfléchissez si vous êtes toujours satisfait des réponses, et sinon, apportez les modifications nécessaires.

En savoir plus sur la prévention des pertes de données.

Vulnérabilités logicielles – Mise à jour, mise à jour, mise à jour

La plupart du temps, les vulnérabilités des systèmes d'exploitation (OS) et des applications logicielles sont connues de ses développeurs avant d'être connues du grand public et, comme leur PR est en ligne, ils enverront des correctifs dès que possible. Ne passer qu'une heure par mois à rechercher les mises à jour de tous les logiciels que vous utilisez est du temps bien dépensé, car cela vous permet de toujours exécuter les derniers correctifs de sécurité. De même, la plupart des principaux systèmes d'exploitation disposent de mécanismes pour garantir que les mises à jour liées à la sécurité sont installées automatiquement dès qu'elles sont disponibles.

Les gens - Les éduquer

Comme le montrent la plupart des études et enquêtes, les personnes (c'est-à-dire les employés, les collègues) sont encore souvent le maillon faible de la chaîne de cybersécurité. Le maintien de la sécurité est un effort de groupe et toute personne qui ne fait pas son poids peut entraîner l'effondrement de l'ensemble. Il est donc crucial que chaque personne dans votre organisation sache

• à quoi ressemble un mot de passe "fort",
• comment identifier un e-mail d'hameçonnage,
• pourquoi l'authentification à deux facteurs est meilleure
• etc.

Dans ce processus, il est facile d'ignorer les personnes averties en informatique, car vous supposez qu'elles « sont mieux informées ». Mais une erreur est facile à commettre et on ne sait jamais ce qu'une personne ne sait pas.

Spécifiquement pour l'informatique, assurez-vous qu'ils utilisent le principe des moindres privilèges (pour réduire votre « surface »), sans risquer un seul point de défaillance. Les cyberdieux apprécient le karma et veillent toujours à ce que les choses se brisent au moment où la seule personne responsable n'est pas disponible.

En savoir plus sur la puissance des mots de passe forts et de la cybersécurité.

Le principe du moindre privilège signifie donner aux utilisateurs un accès limité aux seuls droits qu'ils doivent avoir pour faire leur travail

Dylan Eikelenboom Agent de sécurité chez IXON

Surveillance – Grand frère regarde

Être dans le Cloud signifie que tout est toujours activé et disponible pour tout le monde. C'est évidemment le pire des cas du point de vue de la cybersécurité. La seule façon de contrer cela est de vous assurer que vous savez autant que possible ce qui se passe dans et sur vos serveurs. Cela signifie surveiller les processus, le trafic réseau, les commandes en cours d'exécution, etc.

L'écueil ici est que surveiller les choses sans base fondée (c'est-à-dire une bonne raison) conduit simplement à ce que les données soient déversées sur la montagne de données métaphoriques. Vous devez vous assurer que tout ce que vous surveillez joue un rôle dans la détermination de l'état de santé de vos systèmes.

Tests de vulnérabilité - Connaissez vos faiblesses

Maintenir la cybersécurité est un verbe actif, ce qui signifie qu'il nécessite un engagement continu. Vous ne pouvez pas mettre en place un système techniquement solide et l'ignorer pendant quelques années et supposer qu'il restera en sécurité. Par conséquent, il est essentiel de savoir quand, où et comment vos systèmes sont vulnérables à l'exploitation.

Le plus souvent, des tests de pénétration sont conseillés, où un groupe de pirates informatiques a la liberté d'essayer d'exploiter votre système (de manière éthique) et de rapporter les résultats. C'est parfait non seulement pour découvrir vos défauts, mais aussi pour évaluer à quel point votre système est « mûr » du point de vue de la cybersécurité. Cependant, le gros inconvénient est que cela peut être assez coûteux.

Heureusement, pour ceux d'entre vous qui ne peuvent pas se permettre de dépenser plusieurs milliers de {insérer la devise} ​​sur un pentest à part entière, il existe des alternatives qui offrent certains des avantages à une fraction du coût. Des tests de vulnérabilité internes et externes automatisés sont disponibles auprès de diverses parties, avec des prix allant de la gratuité à quelques dollars par serveur et par mois. Ces services exécutent toute une série de tests pour voir si un serveur est sensible aux vulnérabilités courantes et rassemblent tout dans un rapport facile à lire. Vous pouvez même répéter les tests après avoir corrigé les vulnérabilités, ou après avoir déployé un changement majeur d'architecture, pour voir si votre système est toujours sûr.

En savoir plus sur la sécurisation de vos appareils IoT.

Droits d'accès – Choisissez judicieusement

Tout comme Karen en comptabilité peut tout faire tomber en cliquant sur cette pièce jointe sommaire, vous devez également être vigilant à qui vous donnez vos données. Héberger une plate-forme IoT moderne signifie demander des services à de nombreux fournisseurs différents ; fournisseurs d'hébergement, serveurs de messagerie, outils de surveillance, bibliothèques de programmation, etc. 

Vous pouvez avoir la meilleure suite de cybersécurité connue de l'homme, avec une surveillance en temps réel parfaite, des pare-feu à toute épreuve et des employés qui peuvent citer tous les livres de Bruce Schneier (technicien de sécurité renommé) dans leur sommeil - mais une faille de cybersécurité dans LEUR système revient finalement à hanter vous . Vous devez toujours exiger des pratiques de cybersécurité adéquates pour chaque fournisseur de services que vous employez.

Redondance – Garantir la disponibilité

Remarque :la plupart des suggestions ci-dessus concernent principalement la confidentialité et l'intégrité des données de vos systèmes. Si la disponibilité (ou la « disponibilité » de l'environnement IoT) est particulièrement importante, envisagez également de rendre vos systèmes redondants avec une haute disponibilité ou un basculement automatique.

Obtenez votre liste de contrôle de sécurité IoT gratuite

Pour vous aider à sécuriser vos applications d'entreprise et IoT, nous avons répertorié tous les sujets dans cette liste de contrôle. Téléchargez-le ici !

[[Télécharger la liste de contrôle de sécurité IoT]]

Ressources supplémentaires

• Découvrez comment IXON protège les réseaux industriels, les équipements et les données des machines dans notre livre blanc sur la sécurité.
• Infographie :9 zones de sécurité pour minimiser les menaces de l'IoT
• Sujets liés à la cybersécurité
• Contactez l'un de nos spécialistes de la sécurité pour toute question supplémentaire