Sécurité de l'IoT :à qui incombe la responsabilité ?

Souvent, les gens sont considérés comme le maillon le plus faible d'une chaîne de sécurité, car ils sont amenés à révéler des mots de passe ou à choisir des mots de passe facilement déchiffrables. Il s'agit d'une idée fausse qui peut amener certains propriétaires d'entreprise ou professionnels de l'informatique à croire que l'IoT, compte tenu de son niveau d'automatisation presque total, est intrinsèquement sécurisé. Rien ne pourrait être plus éloigné de la vérité, car rien n'est intrinsèquement sûr.

Les environnements IoT sont un labyrinthe d'opportunités pour les cybercriminels, et cette année, ce labyrinthe devrait augmenter de 15 % (en glissement annuel) pour atteindre 20 milliards d'appareils, selon IHS Markit . Pour mettre cela en contexte, le nombre total d'abonnements mobiles uniques dans le monde s'élève à 4,9 milliards (selon la GSMA ). L'IoT éclipse l'utilisation mobile P2P en termes de connexions et, par conséquent, en termes de potentiel de failles de sécurité, déclare Sanjay Khatri, directeur mondial du marketing produit, Cisco IoT.

La chaîne de valeur de l'IoT est longue et complexe, chaque élément étant à la fois essentiel et interdépendant. Chaque maillon de la chaîne représente une vulnérabilité potentielle et, comme tout autre secteur, aucun fournisseur ne peut couvrir à lui seul toutes les vulnérabilités de sécurité de l'IoT.

Ce paysage fragmenté signifie que la sécurité de l'IoT prend un village.

Créer le village de la sécurité IoT

Le fabricant de l'appareil est sans doute la chaîne la plus évidente vers le lien IoT. Ces entreprises ne sont pas nécessairement le fabricant des « objets » connectés, mais plutôt des fabricants spécialisés d'éléments tels que les modules de communication et les capteurs qui permettent de connecter les objets.

Établir la responsabilité de sécuriser les choses est crucial. La partie ayant la responsabilité technique peut être différente de la partie que les utilisateurs finaux considèrent comme responsable. En fin de compte, cependant, l'entreprise en contact avec l'utilisateur final assumera la responsabilité, car elle est dans la ligne de mire si les choses tournent mal.

Les utilisateurs finaux sont susceptibles de considérer le fournisseur de matériel comme la partie responsable, mais les problèmes sont plus susceptibles d'exister dans le logiciel. Les développeurs doivent inclure des contrôles stricts pour authentifier l'accès des utilisateurs et les logiciels IoT doivent disposer de mécanismes robustes de détection et de prévention des fraudes pour protéger à la fois l'appareil et les données.

Des vulnérabilités existent également au niveau du réseau, car les appareils se connectent à Internet via cellulaire, Wi-Fi, Bluetooth, LPWAN ou même satellite. Dans le cas du cellulaire, un certain niveau de sécurité est déjà intégré. La connectivité cellulaire utilise des normes mondiales telles que des clés de chiffrement et des algorithmes de chiffrement sur la carte SIM elle-même pour transmettre et recevoir des données en toute sécurité. L'IoT cellulaire permet également d'analyser les données de l'appareil dans des réseaux privés pour les isoler du reste du trafic réseau.

Les fournisseurs de plateformes cloud joueront également un rôle central dans le développement d'un paysage de sécurité IoT pleinement fonctionnel. Certains, tels que IBM, Microsoft et Salesforce , se concentrera sur la sécurisation des données générées par les appareils connectés dans le cloud. Tandis que les plates-formes IoT géreront, surveilleront et sécuriseront la connectivité des appareils déployés.

Sécurisation de l'appareil

Le niveau de risque associé à un appareil variera en fonction du contexte dans lequel il est utilisé. Les couches de sécurité telles que l'authentification, l'accès des utilisateurs, l'accès aux applications, la gestion du cycle de vie des appareils et le cryptage des données doivent toutes être prises en compte pour protéger les appareils connectés.

Il y a souvent un compromis coût/bénéfice entre tout protéger et tout payer et cela peut être assez prononcé pour les appareils où un grand nombre est utilisé. De plus, les données de l'appareil ont différents niveaux de sensibilité. Comprendre quels appareils sont utilisés et combien d'appareils sont utilisés, ainsi que le type de données collectées sont les premières étapes essentielles pour élaborer la stratégie de sécurité des appareils appropriée.

Protection du réseau et des données

Si les appareils sont des passerelles, les réseaux représentent les autoroutes de connectivité sur lesquelles les données sont transportées vers les applications cloud fournissant des services IoT. La protection de cette autoroute est tout aussi importante que la sécurité des appareils, car même si les appareils sont sécurisés, il existe une myriade de points d'entrée sur n'importe quel réseau. Il existe de nombreuses options pour sécuriser un réseau et la stratégie utilisée dépendra du type de connectivité, des réseaux et de l'utilisation de l'appareil.

La connectivité sans fil, telle que le Wi-Fi ou le cellulaire, et les connexions de ligne fixe ont chacune leur propre ensemble de protocoles de sécurité. Les données de l'appareil doivent toujours être cryptées et analysées dans des réseaux privés sécurisés plutôt que d'être envoyées ouvertement sur Internet. De plus, l'authentification réseau permet aux utilisateurs de vérifier et d'autoriser les appareils sur le réseau et les applications au sein du réseau.

Couverture cloud

L'IoT découle de la connexion d'appareils via des réseaux sécurisés au cloud, par conséquent l'importance d'une sécurité cloud robuste ne peut pas être surestimée. Lors de la protection de l'infrastructure cloud, les entreprises doivent prendre en compte les pratiques de sécurité numériques et non numériques. L'adhésion à des normes telles que l'ISO/IEC 27001 peut constituer un élément essentiel d'une stratégie globale visant à garantir la sécurité de l'information.

En plus de sécuriser l'environnement global, les entreprises doivent obtenir des contrôles granulaires pour les applications IoT elles-mêmes, en particulier avec un accès basé sur les rôles et la détection d'anomalies. Avec un accès basé sur les rôles, les organisations doivent mettre en œuvre une gestion des identités et des listes de contrôle d'accès pour garantir que les applications dans le cloud donnent le bon accès aux bonnes personnes. La détection des anomalies garantit que la plate-forme IoT peut non seulement détecter les comportements anormaux ou suspects, mais également automatiser la correction de toute anomalie.

La liste de contrôle de sécurité IoT

Les prévisions de croissance de l'IoT sont énormes, cependant, avec une récompense massive vient un risque énorme. Les entreprises tout au long de la chaîne de valeur doivent adopter une vision globale du village de la sécurité, ce qui, bien sûr, est plus facile à dire qu'à faire.

Pour vous aider à cibler votre stratégie de sécurité IoT, assurez-vous de :

• Évaluer l'identification et l'authentification de bout en bout de toutes les entités impliquées dans le service IoT (c'est-à-dire les passerelles, les terminaux, le réseau domestique, les réseaux d'itinérance, les plates-formes de services)
• S'assurer que toutes les données utilisateur partagées entre l'appareil de point de terminaison et les serveurs principaux sont chiffrées
• Stocker et utiliser les données « personnelles » et réglementées conformément à la législation locale sur la confidentialité et la protection des données
• Utiliser une plate-forme de gestion de la connectivité IoT et établir des politiques de sécurité basées sur des règles pour une action immédiate en cas de comportement anormal
• Adoptez une approche holistique de la sécurité au niveau du réseau

L'auteur de ce blog est Sanjay Khatri, directeur mondial du marketing produit, Cisco IoT