Que vous les construisiez ou que vous les achetiez, la sécurité des appareils IoT nous concerne tous
L'Internet des objets (IoT) offre de nombreuses attractions pour les petits et moyens fabricants (SMM) qui souhaitent intégrer l'IoT dans leurs installations et leurs opérations, ou qui cherchent à entrer sur le marché de l'IoT avec des produits innovants. L'éventail des produits IoT disponibles est large et en constante augmentation. Lorsque vous vous aventurez dans les eaux de l'IoT, il est utile de se préparer aux pièges potentiels de la cybersécurité, que ce soit sous la forme d'implications pour la gestion des risques organisationnels lors de l'introduction de l'IoT dans l'environnement ou de considérations pour la conception et l'assistance des produits lors de l'entrée sur le marché en tant que fournisseur de produits. Le programme NIST de cybersécurité pour l'Internet des objets s'efforce de fournir les informations dont les SMM ont besoin pour naviguer dans ces eaux potentiellement turbulentes.
IoT et gestion des risques
Avant d'installer des thermostats intelligents pour assurer le confort de vos employés, d'ajouter des cafetières intelligentes dans les salles de pause pour les garder caféinés ou de déployer la dernière et la meilleure technologie de système de contrôle industriel (ICS) dans votre environnement de production, il est important de reconnaître les implications potentielles. Vous disposez peut-être d'un solide programme de sécurité des informations pour votre informatique traditionnelle, mais ces outils, processus et procédures nécessiteront probablement une adaptation lors de l'introduction de l'IoT. Voici quelques-unes des différences entre l'IoT :
- Interagir avec le monde physique. Les appareils IoT sont équipés soit de capteurs qui collectent des informations de leur environnement, soit d'actionneurs qui provoquent le déplacement ou le changement d'objets du «monde réel». La détection peut générer de nombreuses données potentiellement sensibles, il est donc important de savoir ce qui est collecté et où cela va. Un actionneur compromis pourrait permettre à un adversaire de provoquer des perturbations importantes. Pensez à ce qui pourrait arriver si vous ne savez pas qui commande vos serrures intelligentes.
- Remettre en question les pratiques de gestion informatique conventionnelles. Les appareils IoT sont souvent des « boîtes noires » qui masquent à la fois leurs activités internes et ne peuvent pas être équipés d'agents ou interrogés de la même manière que les serveurs, les ordinateurs de bureau ou les pare-feu. Par conséquent, les pratiques courantes de gestion informatique peuvent s'avérer inefficaces avec l'IoT. Ces défis de gestion peuvent se multiplier rapidement si vous déployez des appareils IoT "à grande échelle".
- Manque de fonctionnalités communes de cybersécurité et de confidentialité. Les appareils IoT ne prennent souvent pas en charge la journalisation et la surveillance, la prise en charge de la mise à jour des appareils pour traiter les vulnérabilités nouvellement identifiées ou les capacités cryptographiques nécessaires pour protéger les informations sensibles qu'ils génèrent ou traitent. On ne peut pas supposer que ces appareils possèdent les mêmes capacités de cybersécurité que les appareils informatiques sur le même réseau.
Les SMM qui adoptent l'IoT dans leurs environnements doivent être prêts à relever ces défis. Si vous entrez sur le marché de l'IoT en tant que fournisseur, comprendre ces défis peut être l'occasion de développer un produit offrant une meilleure expérience client.
Gérer votre risque de sécurité IoT
Lors de l'adoption de la technologie IoT dans votre organisation, les SMM doivent planifier de relever ces défis avec un œil sur trois objectifs :
- Protéger la sécurité des appareils IoT pour garantir que le produit est entièrement sous le contrôle du propriétaire et qu'il n'est pas exploité par des acteurs extérieurs pour accéder au réseau du SMM ou participer à un botnet.
- Protéger la sécurité des données afin que les données générées par les appareils IoT ne soient pas exposées ou modifiées lorsqu'elles sont stockées sur les appareils, transférées sur le réseau ou transmises à un service basé sur le cloud utilisé pour fournir des aspects des capacités du produit.
- Protéger la vie privée des individus, être attentif à la possibilité que des informations confidentielles soient capturées ou créées par des produits IoT, et savoir où ces données pourraient voyager.
Ces objectifs sont énoncés dans NISTIR 8228, Considérations pour la gestion des risques de cybersécurité et de confidentialité de l'Internet des objets (IoT) , et peut être difficile à réaliser avec les produits IoT actuellement disponibles. Pour les organisations qui appliquent le NIST Cybersecurity Framework (CSF) ou définissent leurs exigences de sécurité à l'aide des contrôles NIST SP 800-53, NISTIR 8228 identifie une gamme de défis que les appareils IoT présentent pour atteindre les objectifs visés par le CSF et le SP 800-53. Par exemple, le contrôle SI-2, Flaw Remediation, de SP 800‑53 ne peut pas être satisfait par les appareils IoT qui n'ont pas la capacité de sécuriser les mises à jour logicielles/micrologicielles. De même, de nombreux appareils IoT ne peuvent pas être analysés de manière à satisfaire à la sous-catégorie CSF DE.CM-8 :analyses de vulnérabilité qui sont effectuées.
La prise en compte des trois objectifs identifiés ci-dessus doit être prise en compte dans la sélection des produits IoT ainsi que dans la manière dont ils sont gérés, car les capacités de sécurité des appareils IoT contribuent à répondre aux exigences de sécurité globales des systèmes dans lesquels les appareils sont intégrés.
Améliorer la sécurité de vos produits IoT
Si vous vous aventurez dans la création de produits IoT, la sensibilisation aux défis de la cybersécurité peut vous aider à orienter votre approche du développement et du support de votre produit. Les trois objectifs décrits ci-dessus s'appliquent également lors du développement d'un produit IoT. Une approche réfléchie du développement avec ces objectifs à l'esprit se traduira par un produit plus gérable et plus sécurisé. Cette approche implique à la fois la phase de conception et de développement du produit et la phase de support une fois qu'il est mis sur le marché, comme illustré dans cette figure du NISTIR 8259, Activités fondamentales de cybersécurité pour les fabricants d'appareils IoT .
Les bases de référence de base décrivent les capacités des appareils et les actions de soutien à travers un éventail de besoins :
Capacités techniques de cybersécurité
| Identification de l'appareil | L'appareil IoT peut être identifié de manière unique logiquement et physiquement. |
| Configuration de l'appareil | La configuration du logiciel de l'appareil IoT peut être modifiée, et ces modifications ne peuvent être effectuées que par des entités autorisées. |
| Protection des données | L'appareil IoT peut protéger les données qu'il stocke et transmet contre tout accès et modification non autorisés. |
| Accès logique aux interfaces | L'appareil IoT peut restreindre l'accès logique à ses interfaces locales et réseau, ainsi qu'aux protocoles et services utilisés par ces interfaces, aux seules entités autorisées. |
| Mise à jour du logiciel | Le logiciel de l'appareil IoT peut être mis à jour par des entités autorisées uniquement à l'aide d'un mécanisme sécurisé et configurable. |
| Sensibilisation à l'état de la cybersécurité | L'appareil IoT peut signaler son état de cybersécurité et rendre ces informations accessibles uniquement aux entités autorisées. |
Capacités d'assistance non techniques
| Documentation | La capacité du fabricant et/ou de l'entité de support à créer, rassembler et stocker des informations pertinentes pour la cybersécurité de l'appareil IoT tout au long du développement d'un appareil et de son cycle de vie ultérieur. |
| Réception d'informations et de requêtes | La capacité pour le fabricant et/ou l'entité de support de recevoir du client des informations et des requêtes liées à la cybersécurité de l'appareil IoT. |
| Diffusion d'informations | La capacité pour le fabricant et/ou l'entité de support de diffuser et de distribuer des informations liées à la cybersécurité de l'appareil IoT. |
| Éducation et sensibilisation | La capacité pour le fabricant et/ou l'entité de support de sensibiliser et d'éduquer les clients sur des éléments tels que les informations liées à la cybersécurité, les considérations et les fonctionnalités de l'appareil IoT. |
Les activités de planification combinées à l'application des bases de référence techniques et non techniques aideront les SMM à développer des produits à la fois plus sécurisés et mieux pris en charge, aidant vos clients à tirer parti de vos innovations IoT tout en limitant l'impact sur leurs défis de gestion des risques.
Informations pouvant aider
Le programme NIST de cybersécurité pour l'Internet des objets s'est engagé profondément avec la communauté au cours des dernières années et a développé une riche collection de conseils sur les défis de la cybersécurité de l'IoT. Que vous soyez un SMM cherchant à améliorer les opérations avec l'intégration de l'IoT ou à entrer sur le marché avec de nouveaux produits, de nombreuses ressources et publications sont disponibles pour vous aider dans vos efforts.
Cybersecurity for IoT du NIST accueille le fabricant iotsec [at] nist.gov (commentaires) sur nos projets publics actuels.
Technologie industrielle
- L'enquête offre une vision sombre du déploiement de la sécurité IoT
- Les vulnérabilités des applications laissent les appareils IoT exposés aux attaques
- Introduction au piratage du matériel embarqué des appareils IoT
- Protection de l'IoT industriel :un défi de sécurité croissant – Partie 1
- Ce que l'arrivée de la 5G signifie pour la sécurité de l'IoT
- Pourquoi « Zero Trust » est le meilleur moyen de renforcer la sécurité des appareils IoT
- Qu'est-ce que la sécurité IoT ?
- 5 principaux défis liés à l'IdO lors du développement de votre appareil
- Sécurité industrielle de l'IoT :défis et solutions