La sécurité IoT industrielle repose sur le matériel

L'automatisation industrielle sera l'un des principaux domaines de dépenses sur l'Internet des objets (IoT) en 2019. Alors, comment faire confiance aux appareils connectant les systèmes au réseau et quel est le meilleur moyen de garantir que leur IoT industriel (IIoT ) les systèmes sont sécurisés :logiciel ou matériel ? Dans cet article, nous examinons le cas de la sécurité matérielle en tant que choix préféré pour l'IIoT et ses avantages au-delà de la simple sécurité, tels que le délai de mise sur le marché, l'évolutivité, les performances et la flexibilité de fabrication.

Une prévision de l'industrie publiée par International Data Corp. (IDC) met en évidence la fabrication, les transports et les services publics comme les principaux secteurs qui devraient dépenser pour les solutions IoT en 2019 - ce sont les secteurs généralement abordés avec les systèmes IIoT. Avec des dépenses mondiales totales qui devraient atteindre 745 milliards de dollars cette année, les industries qui dépenseront le plus sont la fabrication discrète (119 milliards de dollars), la fabrication de procédés (78 milliards de dollars), les transports (71 milliards de dollars) et les services publics (61 milliards de dollars). Chez les fabricants, cela se concentrera en grande partie sur des solutions qui prennent en charge les opérations de fabrication et la gestion des actifs de production. Dans les transports, plus de la moitié des dépenses IoT seront consacrées à la surveillance du fret, suivie de la gestion de flotte. Les dépenses IoT dans le secteur des services publics seront dominées par les réseaux intelligents pour l'électricité, le gaz et l'eau.

Les dépenses en matériel s'élèveront à environ 250 milliards de dollars, entraînées par plus de 200 milliards de dollars d'achats de modules/capteurs. Compte tenu de cette croissance, le risque potentiel de cyberattaques augmentera également de manière significative. Les développeurs de systèmes chercheront à déployer rapidement une technologie de sécurité, avec des solutions matérielles et logicielles disponibles sur le marché. Un facteur clé déterminant la voie à suivre est essentiellement la vulnérabilité.

Le logiciel est sans doute beaucoup plus vulnérable car il peut plus facilement être analysé par des attaquants pour saper la sécurité. D'un autre côté, les puces de sécurité matérielles sont plus susceptibles d'être inviolables et ont des fonctionnalités supplémentaires qui peuvent empêcher efficacement les attaques. Cela inclut le traitement et le stockage protégés des logiciels, du code et des données - activés par la mémoire et le traitement cryptés, la détection des pannes et des manipulations et le stockage sécurisé du code et des données. Par conséquent, le logiciel exécuté sur le matériel sécurisé peut également être protégé contre la lecture, la copie et le clonage et contre l'analyse, la compréhension et le sabotage.

Ce que disent les normes

Les normes industrielles internationales telles que IEC 62443 exigent une sécurité matérielle pour les niveaux de sécurité les plus élevés, tout comme le National Institute of Standards and Technology (NIST) et l'Industrial Internet Consortium (IIC). Les « Directives de résilience des micrologiciels des plates-formes » du NIST traitent des fonctions des racines de confiance (RoT) et des chaînes de confiance (CoT) qui doivent être résistantes aux tentatives de falsification de tout logiciel fonctionnant sous ou dans le cadre du système d'exploitation sur le processeur hôte. Il indique explicitement que les informations transférées du logiciel sur le processeur hôte au micrologiciel de la plate-forme doivent être traitées comme non fiables.

Le RoT est le fondement de la sécurité et de la résilience dans un système de contrôle industriel et sert de point d'ancrage dans un CoT. Généralement, les éléments successifs sont coopératifs pour maintenir la chaîne de confiance initiée par le RoT. Les composants d'une chaîne de confiance ont les privilèges non disponibles pour les logiciels moins fiables pour exécuter des fonctions critiques pour la sécurité, comme effectuer des mises à jour de périphériques. Les RoT et CoT peuvent avoir des mécanismes pour renoncer à ces privilèges une fois que la fonction de sécurité est terminée ou s'il est déterminé que la fonction de sécurité n'est pas requise. Un CoT peut également renoncer à ses privilèges avant de passer le contrôle à un élément non coopératif.

Étant donné que les RoT sont essentiels pour fournir des fonctions de sécurité critiques, ils doivent être sécurisés par conception. Les principales considérations pour déterminer la confiance dans les RoT sont une analyse de la surface d'attaque d'une RoT et une évaluation des mesures d'atténuation utilisées pour protéger cette surface d'attaque. La responsabilité d'assurer la fiabilité d'un RoT incombe au fournisseur qui fournit la racine de la confiance. Les fournisseurs protègent généralement les RoT en les rendant immuables ou en s'assurant que l'intégrité et l'authenticité de toute modification des RoT sont vérifiées avant d'effectuer ces mises à jour. Souvent, les RoT s'exécutent dans des environnements isolés, à un niveau de privilège plus élevé que tout ce qui pourrait le modifier, ou terminent leur fonction avant que quoi que ce soit puisse le modifier pour garantir que les appareils ne peuvent pas compromettre leur comportement pendant le fonctionnement.

Offrir plus qu'une simple sécurité

Steve Hanna, directeur principal chez Infineon Technologies, explique pourquoi la sécurité basée sur le matériel est la plus sécurisée et comment elle offre plus que l'aspect sécurité. Il a commenté :« La sécurité basée sur le matériel implique non seulement une résistance aux falsifications, mais elle offre également des avantages en termes de délai de mise sur le marché, d'évolutivité et de performances. Il participe également à la protection contre le vol et la contrefaçon tout au long de la supply chain logistique. Une puce de sécurité dédiée, évaluée par des laboratoires de test de sécurité indépendants et certifiée par des institutions internationales, peut être utilisée comme élément de base pour effectuer la cryptographie et réduire la complexité globale de votre conception. Cela peut réduire le temps de mise en œuvre de la sécurité à quelques semaines plutôt qu'à quelques mois. »

Haydn Povey, membre du conseil d'administration de l'IoT Security Foundation et PDG et fondateur de Secure Thingz, a ajouté :« Vous devez être en mesure de créer une base de confiance et le matériel est mieux placé pour permettre un chemin de démarrage immuable. Vous avez plus de contrôle avec la racine matérielle de confiance, et elle fournit un chemin d'audit. Le matériel permet l'enclave sécurisée, peut exécuter des services de démarrage fondamentaux tels que le gestionnaire de démarrage sécurisé et peut mettre l'appareil dans un bon état connu si cela s'avère nécessaire. »

Il a déclaré que du point de vue des «secrets», un écosystème de confiance est essentiel. Un fournisseur de silicium est bien placé pour fournir les éléments sécurisés d'un appareil, ou les clés peuvent être injectées par un OEM. Pour les quantités en volume, la société de puces peut les provisionner au niveau de la tranche, mais pour des quantités inférieures, une partie de l'écosystème de confiance inclurait des distributeurs tels qu'Arrow, qui peuvent alors fournir la programmation des éléments sécurisés.

Hanna d'Infineon tient à souligner l'aspect délai de mise sur le marché de l'utilisation de la sécurité matérielle. L'argument est qu'il existe déjà des blocs de construction disponibles auprès de certains fournisseurs de silicium, et ces puces de sécurité matérielles sont souvent évaluées par des laboratoires de test de sécurité indépendants, puis certifiées en matière de sécurité. La certification peut s'avérer être la barrière la plus élevée pour les attaquants cherchant à pénétrer les défenses d'une puce.

En déployant ces puces testées indépendamment, les solutions prêtes à l'emploi peuvent aider un concepteur à ajouter rapidement des fonctions telles que la protection matérielle pour les authentificateurs d'appareils ou la protection des clés et des données des fournisseurs en tant que racines de confiance (voir le graphique). Ceci est particulièrement approprié, car il arrive souvent que la sécurité de l'IIoT nécessite une courbe d'apprentissage énorme, donc en utilisant des appareils déjà disponibles, cela peut réduire la pression et le temps du travail de développement.

Graphique :La famille de produits OPTIGA d'Infineon fournit une gamme de puces de sécurité pour l'authentification et d'autres fonctions. (Source :Infineon Technologies)

Évolutivité, performances et flexibilité de fabrication

Avec la croissance de l'IoT industriel mise en évidence pour 2019 au début de cet article, en plus du délai de mise sur le marché, l'évolutivité est également une exigence clé. Les dispositifs de sécurité basés sur le matériel se prêtent bien à une mise à l'échelle pour différents niveaux de performances, différents niveaux de sécurité et différentes plates-formes. Afin de protéger l'intégrité, l'authentification, la confidentialité et la disponibilité des produits et des données gérés par le système, le même contrôleur de sécurité discret pourrait être déployé sur l'ensemble d'un portefeuille de produits. Cela a l'avantage de fournir l'assurance du même niveau de mise en œuvre de la sécurité sur un certain nombre de produits.

Les performances peuvent être une réelle préoccupation lors de l'ajout de sécurité à un appareil. C'est là que l'approche matérielle peut offrir des avantages significatifs par rapport aux solutions logicielles pour des fonctions telles que le stockage et les calculs sécurisés. Un exemple pourrait être de cacher de manière sécurisée le calcul effectué par une clé cryptographique :une puce dédiée inviolable terminera le calcul en un seul passage car il se déroule dans un environnement protégé, mais obtenir le même niveau de sécurité avec une solution logicielle peut nécessiter plusieurs opérations de « couverture » ​​pour masquer la clé pendant le calcul, ce qui a un impact sur les performances et la consommation d'énergie.

La logistique de la chaîne d'approvisionnement de fabrication peut présenter un défi important pour les fabricants d'appareils IoT, car les appareils et leurs clés privées peuvent être susceptibles d'être volés et contrefaits. Le concept de sécurité dans la plupart des appareils IoT est basé sur l'injection d'une paire de clés, une publique et une privée, fournissant une identité unique à attribuer à un appareil qui, à son tour, lui permet d'être authentifié au sein d'un réseau et d'attribuer un accès en fonction de son privilèges. Mais compte tenu de la façon dont de nombreuses opérations de fabrication sont mises en place dans le cadre des chaînes d'approvisionnement mondiales, il est possible que si des clés privées sont interceptées ou volées le long de leur itinéraire, il soit alors possible pour une personne extérieure au système de fabriquer des appareils contrefaits, ce qui entraîne une menace potentielle. à la sécurité du système. C'est là que la sécurité basée sur le matériel peut offrir un suivi sécurisé sur une chaîne de valeur et offrir une flexibilité de fabrication étant donné que la puce peut être interrogée aux points appropriés pour vérifier l'authenticité.

En fin de compte, a commenté Hanna, la sécurité basée sur le matériel offre des avantages significatifs pour les appareils et systèmes connectés dans l'IIoT. « Même si un attaquant est entré, il ne peut pas facilement déchiffrer ce qui se passe dans la puce. Notre technologie de sécurité peut rendre extrêmement difficile pour un attaquant de trouver ou de sonder ces vulnérabilités. »