Les principes de sécurité dès la conception sont essentiels en mode crise

« Si vous ne parvenez pas à planifier, vous prévoyez d'échouer. —Proverbe moderne

Avec autant d'attention sur les perturbations à court terme du COVID-19, il y a eu moins de discussions sur ses ramifications à long terme pour l'adoption de la technologie.

Un scénario probable est que la pandémie entraîne une augmentation à long terme de l'automatisation et de la gestion à distance des actifs allant des machines industrielles aux systèmes de chauffage, de ventilation et de climatisation (CVC) en passant par les chaînes d'approvisionnement. Dans le domaine de la santé, une augmentation à long terme des soins virtuels et de la télésanté est probable. Alors que de nombreuses organisations soumises à des pressions budgétaires ont suspendu leurs opérations, la pandémie ouvrira la voie à des organisations mieux placées pour automatiser les processus.

Début mars, les entreprises ont commencé à repenser leurs processus commerciaux et autres opérations après que l'Organisation mondiale de la santé a classé le COVID-19 comme une pandémie. De toute évidence, il y a eu une « énorme augmentation du nombre d'utilisateurs signalés de Slack et Microsoft Teams pour la collaboration », a déclaré Chris Kocher, directeur général de Grey Heron, une société de conseil en gestion. Les fournisseurs de téléconférences ont également enregistré des gains rapides. "Teladoc pour la télésanté a également connu une croissance énorme", a ajouté Kocher.

[ Le monde de l'IoT est le plus grand événement IoT d'Amérique du Nord où les stratèges, les technologues et les responsables de la mise en œuvre se connectent, mettant l'IoT, l'IA, la 5G et la périphérie en action dans tous les secteurs verticaux. Réservez votre billet maintenant. ]

L'accès à distance aux systèmes de contrôle industriel (ICS) a également augmenté récemment, après une baisse au cours des dernières années, selon les données de Shodan. Aux États-Unis seulement, il y a maintenant près de 50 000 appareils ICS connectés à Internet. L'utilisation du protocole de bureau à distance, qui permet aux utilisateurs de Windows de gérer des postes de travail ou des serveurs à distance, a également augmenté, après que le protocole a commencé à tomber en disgrâce fin 2019 en raison de failles de sécurité.

De nombreuses organisations industrielles ont déjà mis en place une "surveillance à distance de base", a déclaré Yasser Khan, PDG de One Tech. Ces capacités relativement simples suffisaient lorsque les travailleurs pouvaient encore inspecter les machines en personne. Mais parce que de nombreuses installations ont été réduites à des équipages réduits, leurs priorités ont changé. Les directeurs d'usine cherchent de plus en plus à « déterminer comment ils peuvent obtenir un meilleur aperçu de la santé de leurs machines, à distance », a déclaré Khan.

De nombreuses organisations repensent également la planification de la reprise après sinistre, selon Nitin Kumar, PDG d'Appnomic. "Souvent, ce qui se passe lorsqu'une catastrophe naturelle ou un virus informatique frappe une organisation et que ses systèmes tombent en panne, vous passez à une sorte de mode manuel", a déclaré Kumar. « Les affaires continuent, mais à un rythme plus lent. » Mais COVID-19 n'est pas une catastrophe normale. « Maintenant, votre capacité manuelle et de demande a été touchée et la capacité de votre système est étouffée ou inaccessible. Vous avez donc besoin de plus de systèmes ou d'automatisation, pas de plus de personnel. » Les organisations qui peuvent se permettre d'étendre l'automatisation le feront probablement lorsqu'elles repenseront leur planification de reprise après sinistre et leur planification de la continuité des activités.

La diffusion de la connectivité et de l'automatisation n'a rien de nouveau, bien sûr. En 2016, le gourou de la sécurité Bruce Schneier a observé que l'intervention humaine est de plus en plus inutile. « Internet détecte, pense et agit maintenant », a-t-il écrit. "Nous construisons un robot de taille mondiale, et nous ne le réalisons même pas." Schneier a conclu qu'il est vital de considérer ce qu'il a appelé un « nouveau robot couvrant le monde ».

Bien que le rôle sociétal du logiciel se soit étendu depuis des décennies, les ramifications de sécurité d'un monde avec des appareils largement automatisés ou semi-automatisés compatibles IoT pourraient être profondes. « Les ordinateurs ont une énorme puissance pour nous aider et nous améliorer, mais plus le système est complexe, plus les problèmes peuvent survenir », a déclaré Kate Stewart, directrice principale des programmes stratégiques à la Linux Foundation. "Nous devons essayer de comprendre comment comprendre ce qui peut mal tourner, atténuer les dommages et augmenter la fiabilité du logiciel."

S sécurisé dès la conception

Les concepts traditionnels de cybersécurité tels que la sécurité dès la conception sont parfois abandonnés lorsque les organisations sont en mode de réponse aux crises. COVID-19 « va rendre difficile le respect des principes de sécurité dès la conception », a déclaré John Loveland, responsable mondial de la stratégie de cybersécurité chez Verizon. « Tout le monde bouge très vite. À mesure que les organisations étendent leurs capacités de travail à distance et d'automatisation pendant la crise, elles sont plus susceptibles de commettre des erreurs. « Vous ne pouvez pas laisser la technologie ou les nouveaux processus commerciaux dépasser la sécurité qui les sous-tend. Vous devez vous assurer que votre équipe de sécurité interne fait partie de chaque décision que vous prenez concernant les nouvelles technologies, processus ou méthodes de travail. »

Les experts recommandent de considérer la sécurité le plus tôt possible lors de la planification des déploiements technologiques. « Assurez-vous de faire participer les parties prenantes, l'entreprise ainsi que les opérateurs aux discussions sur la sécurité », a recommandé Bob Martin, coprésident du groupe de travail sur la fiabilité des logiciels d'Industrial Internet Consortium.

« Vous devez considérer [la sécurité] comme l'un des principaux aspects de toute solution et, comme les fondations d'une maison, tout le reste est construit par-dessus », a déclaré Andrew Jamieson, directeur de la sécurité et de la technologie chez UL. Les organisations qui négligent de construire une fondation correcte risquent de la reconstruire ou "au moins de consacrer beaucoup de temps et d'efforts à réparer quelque chose qui aurait pu être beaucoup plus facilement corrigé plus tôt", a déclaré Jamieson.

Néanmoins, il est peu probable que les principes de sécurité dès la conception soient en tête de liste des priorités, car les organisations se tournent brusquement vers le travail à distance, le contrôle à distance des actifs et éventuellement l'extension des capacités d'automatisation. « C'est en effet un énorme problème de sécurité, même lorsque vous utilisez des technologies sécurisées, car nous n'avons pas le temps de les appliquer en toute sécurité », a déclaré Frank Hißen, un consultant indépendant en sécurité.

Les principes de sécurité dès la conception intègrent souvent un éventail de composants matériels et technologiques. Les assembler peut être un casse-tête. "Parfois, les fournisseurs vendant les" pièces de puzzle "" qui composent un déploiement manquent de mesures de sécurité adéquates, a déclaré Chris Catterton, directeur de l'ingénierie des solutions chez One Tech. L'élargissement de la portée des capacités d'accès à distance d'un déploiement IoT augmente la nécessité d'« inclure la sécurité aux points de terminaison ainsi qu'au niveau du système, que ce soit via le cloud ou des systèmes sur site accessibles via VPN », a déclaré Catterton.

F trouver et retrouver le solde de sécurité

Bien qu'il soit vital d'intégrer des fonctionnalités de sécurité dans les produits et les processus, il n'est pas possible d'anticiper toutes les menaces futures possibles. "Vous ne pouvez pas toujours prendre des décisions de conception concernant la sécurité au début d'un projet et les faire rester valides", a déclaré Jamieson.

Il y a souvent une tension entre l'ajout de nouvelles fonctionnalités au logiciel et la garantie de son utilisation et de sa sécurité. "Il y a beaucoup de fonctionnalités qui apparaissent sur nos téléphones portables qui se bloquent au hasard et les conséquences, bien qu'ennuyeuses, ne mettent pas la vie en danger", a déclaré Stewart. « Nous voyons de plus en plus l'open source être utilisé dans des applications où, si le logiciel n'est pas fiable, cela pourrait nuire à quelqu'un. »

En fin de compte, la sécurisation des systèmes se résume à la résilience et à l'agilité. « Si vous construisez uniquement pour la résilience, vous allez avoir des ennuis » lorsque de nouvelles vulnérabilités de sécurité feront surface », a déclaré Jamieson. « Donc, dans le monde d'aujourd'hui, vous avez également besoin d'agilité :la capacité de modifier, de corriger, de mettre à jour ou de refactoriser rapidement les systèmes lorsque les choses changent. »

L'agilité en matière de sécurité est également liée aux principes de sécurité dès la conception. « Vous devez intégrer la sécurité dès le départ, et cette approche de sécurité doit inclure des aspects de résilience et d'agilité », a déclaré Jamieson. "Si vous ne concevez pas pour la sécurité, vous concevez pour l'échec."