Sécurité industrielle de l'IoT :défis et solutions

La croissance exponentielle de l'IdO industriel est conforme aux prévisions récentes. Et alors que nous nous dirigeons vers un monde avec plus de 75 milliards d'appareils connectés d'ici 2025, près d'un tiers seront utilisés dans des applications industrielles au sein de la fabrication. Mais alors que les opportunités sur ce marché - en particulier chez les fournisseurs de services tiers basés sur le cloud - continuent de se développer, un problème apparaît moins comme un obstacle à la croissance que comme un signal d'alarme à ne pas ignorer. Ce drapeau rouge est l'exigence omniprésente de sécurité.

Chaque semaine qui passe, il y a une nouvelle histoire couvrant les violations de données dans des bases de données beaucoup plus grandes qu'auparavant et dans des entreprises que l'on croyait à l'abri de telles intrusions. Tout aussi pénibles sont les cas où les entreprises ont stocké ou utilisé les données collectées d'une manière jamais prévue par les personnes et les entreprises qui leur ont confié les données au départ. Et avec la prolifération des appareils qui s'accélère, le problème peut s'aggraver avant de s'améliorer.

Dans cet article, nous discutons des vulnérabilités courantes des réseaux IdO industriels ainsi que de la manière dont vous pouvez remédier à ces vulnérabilités pour assurer la sécurité de votre réseau et de votre entreprise.

Comment nous en sommes arrivés là

Il y a deux raisons fondamentales pour expliquer comment Industrial IoT est arrivé à ce dilemme. L'un est basé sur des mathématiques simples. Avec l'augmentation exponentielle du nombre d'appareils déployés et la pression exercée sur les fournisseurs de services pour qu'ils déploient à la fois les appareils et les plates-formes, l'industrie risque de prendre de l'avance et de faire plus que ce que les initiatives et les protocoles de sécurité pourraient absorber et répondre à .

La deuxième raison est un problème qui a tourmenté d'autres technologies nouvelles et extrêmement réussies dans le passé. À savoir, la question de la sécurité n'avait jamais dû être abordée au niveau de la machine auparavant. Par conséquent, aucune norme ou protocole n'avait été élaboré. À bien des égards, cela signifiait que les fournisseurs s'adressaient à eux au fur et à mesure qu'ils les rencontraient, utilisaient le fournisseur de sécurité tiers choisi par le client, ou même s'appuyaient uniquement sur les mesures de sécurité internes du client (souvent inadéquates en elles-mêmes).

Le problème s'ajoute au fait que de nombreux fournisseurs de services sont lents ou intermittents lors du déploiement des mises à niveau du micrologiciel, car la pression pour de nouvelles fonctionnalités de base améliorées est souvent prioritaire. Quelle que soit la manière dont le problème est survenu, il s'agit de l'un des problèmes les plus brûlants de l'industrie aujourd'hui et que beaucoup ont du mal à résoudre.

Lieux des problèmes de sécurité

À mesure que les pirates informatiques deviennent plus sophistiqués dans l'utilisation des mêmes outils de données et de la technologie d'intelligence artificielle que ceux qui construisent des systèmes IoT, le risque de violation de données augmente. Au sein d'une usine et de ses systèmes connectés, il existe un certain nombre d'endroits où une violation peut se produire :

• Interfaces Web non sécurisées :l'emplacement où les utilisateurs interagissent avec les appareils IoT présente des problèmes tels que des mots de passe par défaut inadéquats, des problèmes de verrouillage et de gestion des sessions et l'exposition des informations d'identification au sein du réseau.
• Services réseau non sécurisés : C'est là que les pirates peuvent accéder au réseau lui-même, par le biais de ports ouverts, de débordements de mémoire tampon et d'attaques par déni de service.
• Cryptage faible : Un cryptage faible, ou dans certains cas aucun cryptage, peut permettre aux intrus de collecter des données lors de l'échange entre appareils.
• Interfaces mobiles non sécurisées : Étant donné que de nombreuses entreprises proposent un service sur le terrain en tant qu'extension de leurs opérations de fabrication pour la réparation et la maintenance, les interfaces mobiles souffrent du même problème de chiffrement et d'authentification.

Défis de la sécurité IIoT

De nombreuses entreprises ont déjà mis en place une sécurité faible ou inappropriée, ce qui met à rude épreuve les fournisseurs d'IoT fournissant à la fois des services et des appareils. Plus de 50 % de toutes les opérations d'infrastructures critiques utilisent des logiciels Microsoft obsolètes et 40 % de tous les sites industriels utilisent l'Internet public.

Cela fait de l'infiltration des machines un risque majeur à mesure que les appareils prolifèrent, ce qui signifie que des pirates informatiques sophistiqués pourraient éventuellement accéder à une usine entière et perturber ou endommager gravement les capacités de production pendant une longue période. Cela pourrait également créer des conditions physiquement dangereuses en conséquence directe ou indirecte d'une intrusion.

La sécurité héritée est également une préoccupation. L'une des principales propositions de valeur pour le déploiement de l'IoT industriel est que l'équipement existant peut être modernisé avec des appareils IoT. Cela permet des cycles de vie des équipements plus longs et une intégration complète pour la construction d'une usine intelligente sans déclencher d'achats coûteux d'équipements. Mais le choix doit être fait parallèlement à un examen minutieux des appareils pouvant être correctement sécurisés pour une utilisation dans le système, une compétence qu'une entreprise peut ne pas avoir et dont elle peut ne pas se rendre compte qu'elle a besoin.

Le manque de normes et de protocoles dans une industrie encore balbutiante, mais en croissance astronomique, entrave également les progrès cohérents en matière de sécurité. Le sentiment est que les fournisseurs de services IoT en tant que communauté d'affaires se réuniront et s'autoréglementeront pour développer des normes et des protocoles pour tout développement.

Cela éliminerait le risque de concurrence ou de chevauchement des protocoles « locaux » et serait plus rentable pour le client. Jusque-là, l'absence de norme fait de la sécurité ad hoc une norme et met l'accent sur les capacités du système de sécurité existant du client, qui peut déjà avoir ses propres faiblesses.

Solutions de sécurité IdO industrielles

Plus de 40 % de toutes les violations consistent en des logiciels malveillants ou des attaques par force brute. Mais il existe également de nombreuses autres formes d'intrusion. En raison du nombre de façons d'accéder aux appareils et aux systèmes d'une entreprise, la sécurité est considérée comme composée de quatre niveaux ; gestion des appareils, des communications, du cloud et du cycle de vie. En raison de la vitesse à laquelle le secteur s'est développé, cela complique les solutions de sécurité car il n'existe pas de solution de sécurité de bout en bout prête à l'emploi.

Mais certaines mesures peuvent être prises par les fournisseurs et les entreprises dans l'intervalle, à mesure que des solutions de bout en bout sont développées.

L'une de ces étapes consisterait à segmenter le réseau informatique afin que tout ce qui contrôle l'équipement soit maintenu dans un réseau séparé du reste de l'infrastructure informatique de l'entreprise.

Une deuxième étape que les fournisseurs de services peuvent prendre est d'assurer les « bases ». Les structures de base telles que le verrouillage des informations d'identification après un petit nombre d'essais et les informations d'identification par défaut qui doivent être modifiées lors de l'activation aideront à sécuriser l'accès à l'interface Web. De même, l'imposition de règles de mots de passe forts et d'une authentification à deux facteurs peut limiter les accès non autorisés.

Au niveau informatique, s'assurer que les services ne sont pas vulnérables au débordement de la mémoire tampon et que les ports sont fermés lorsqu'ils ne sont pas utilisés fermera également les voies d'intrusion. Les mêmes précautions peuvent être intégrées dans les interfaces des appareils mobiles pour les règles de mot de passe, de verrouillage et de mot de passe par défaut. Et bien sûr, une meilleure discipline dans la production et le déploiement des mises à niveau du micrologiciel contribuera à réduire la dégradation du système.

Peut-être que la plus grande étape qui pourrait être entreprise pour devancer les problèmes de sécurité serait que l'industrie collabore à l'autorégulation dans le développement de normes et de protocoles de l'industrie. En définissant une architecture de base pour bon nombre des problèmes ci-dessus et en normalisant et en rendant obligatoire leur inclusion, les fournisseurs de services et leurs équipes de programmation seraient libérés des problèmes de sécurité plus petits et pourraient se concentrer sur des problèmes de sécurité plus importants et plus intensifs à mesure qu'ils évoluent.

L'établissement de normes de base mettrait un "plancher" de sécurité minimum sous tous les systèmes afin de protéger à la fois les entreprises qui achètent les services ainsi que les fournisseurs lors du déploiement de systèmes dans des entreprises dont les systèmes de sécurité sont inadéquats ou faibles.

Les défis de sécurité continueront de croître avec l'IoT

Les défis de sécurité auxquels sont confrontés les fournisseurs de services IdO industriels et leurs entreprises clientes augmentent. Beaucoup ne mettent pas fortement l'accent sur le côté sécurité de l'équation, mais en ne le faisant pas, une opportunité est manquée. De nombreux dirigeants ont indiqué qu'ils seraient prêts à payer plus pour les appareils et les services IoT si les solutions de sécurité faisaient partie du package. Mais à mesure que le secteur continue de croître, de nouveaux services, y compris la sécurité dans le cadre de la plate-forme, ou des partenariats solides avec des fournisseurs de sécurité tiers, gagneront une place plus solide sur le marché.