Sécurité IoT – Un obstacle au déploiement ?

La sécurité est prioritaire dans le développement et le déploiement de l'Internet des objets (IoT), avec Gartner  prédisant que d'ici 2020, la sécurité de l'IoT représentera 20 % des budgets de sécurité annuels.

Selon Nick Sacke, responsable des produits et de l'IoT, Comms365 ,  en tant qu'inhibiteur potentiel, les analystes, les fournisseurs et les parties prenantes sont préoccupés par les risques de sécurité potentiellement importants associés aux déploiements IoT.

Ces préoccupations jouent un rôle dans la prise de décision et la confiance des utilisateurs finaux dans le déploiement de services IoT, en particulier lorsqu'il s'agit d'utiliser des réseaux existants connus pour être vulnérables, par exemple le Wi-Fi, et ceux qui sont nouveaux et fonctionnent dans le spectre sans licence, tel que LoRaWAN et Sigfox . La normalisation, ou l'absence de, au sein de l'industrie de l'IoT agit également comme un obstacle au déploiement, avec des réseaux plus anciens et plus récents déployant l'IoT, une plus grande normalisation des politiques de sécurité est requise de toute urgence.

Manque d'informations

L'un des problèmes qui minent la confiance des utilisateurs est le manque d'informations concernant les dispositions de sécurité déjà en place pour les réseaux sous-jacents à l'IoT, à la fois les variantes sous licence et sans licence. Les plates-formes technologiques WAN à faible consommation (LPWAN) telles que LoRaWAN et Sigfox utilisent un spectre sans licence pour déployer des capteurs IoT à grande échelle et il a été largement rapporté que ces types de réseaux ne disposent pas des mécanismes de sécurité traditionnels des réseaux cellulaires, les opérateurs parlant d'un réseau IoT cellulaire étant "plus sécurisé" car le trafic sur ces types de réseaux est sous le contrôle de l'opérateur respectif.

Pour aborder l'argument, il est important de faire la distinction entre les types de trafic de capteurs qui transitent sur ces réseaux et la manière dont la sécurité peut être appliquée à différents points du réseau. Par exemple, tout le trafic qui traverse un réseau de capteurs LoRaWAN n'est pas basé sur un protocole IP, dispose d'un cryptage 128 bits de qualité professionnelle et nécessite un décryptage via un serveur d'applications situé dans un environnement de cloud privé.

Cela contraste favorablement avec les réseaux de capteurs basés sur le Wi-Fi qui peuvent s'interfacer avec des connexions Internet publiques, qui nécessitent des exigences de sécurité très strictes localement sur le site. Idéalement, les réseaux publics, leurs fournisseurs et les fabricants d'appareils doivent examiner chaque élément de leur conception et de leur déploiement pour assurer une sécurité maximale à tous les niveaux, et pour promouvoir ces dispositions auprès des utilisateurs.

Malgré ces problèmes de sécurité, il est important de noter que tous les réseaux IoT ne sont pas aussi sujets aux failles de sécurité que d'autres, du point de vue de la sécurité, les réseaux récents déployés sur LoRaWAN ont une sécurité intrinsèque intégrée dès la conception, ce qui est primordial.

Alors, qui est en fin de compte responsable de la sécurité de l'IoT ? Les fournisseurs de réseau devraient-ils fournir un réseau super sécurisé ? Est-ce qu'une partie de la responsabilité incombe à l'utilisateur de sécuriser son réseau local ? Est-ce aux fabricants d'appareils IoT d'intégrer la sécurité directement dans l'appareil dès le départ ? La réponse est oui aux trois scénarios.

Afin de sécuriser l'IoT du développement au déploiement, jusqu'à l'utilisation de l'appareil IoT connecté, un effort conjoint coordonné devra être fait par toutes les parties impliquées. Selon le choix de la technologie d'accès au réseau, des fonctionnalités de sécurité inhérentes peuvent déjà être intégrées, telles que celles du LPWAN cellulaire, mais il n'y a aucune raison pour que vous ne puissiez pas avoir des dispositions similaires pour les réseaux IoT à spectre sans licence, via la création d'un réseau privé type de réseau doté d'une sécurité en couches de bout en bout.

Comment une ville l'a fait

Le projet de ville intelligente de Milton Keynes a déployé un réseau LoRaWAN vers la fin de l'année dernière, pour fournir une couverture à travers les zones centrales de la ville pour une variété de cas d'utilisation, y compris l'énergie, le stationnement et l'environnement, entre autres.

Les données collectées à partir de plusieurs milliers de capteurs IoT basés sur LoRa sont collectées en toute sécurité sur le réseau étendu à faible puissance (LPWAN) et déposées dans un hub de données IoT spécialement conçu, ce qui permet aux analyses d'être menées par une variété de parties prenantes dans un environnement surveillé sécurisé. manière, qui est conforme aux cadres juridiques de protection des données.

Ces types de projets font sans aucun doute de la sécurité une priorité absolue en raison du volume du déploiement et du nombre de personnes qui utiliseront le réseau et les appareils qui y sont connectés.

Les consommateurs doivent avoir l'assurance que les dispositifs de sécurité mis en place sont solides, non seulement pour le logiciel, mais également pour l'environnement physique. Il existe déjà des initiatives pour fournir une sécurité beaucoup plus approfondie via la blockchain et d'autres plates-formes, afin de sécuriser encore plus le trafic du réseau public. La partie la plus critique est peut-être le site où les appareils sont réellement déployés et s'assure qu'ils ne peuvent pas être piratés localement.

Si quelqu'un est en mesure d'accéder et d'interférer avec l'appareil localement, peu importe ce qui se passe sur le reste du chemin des données du capteur, car il a déjà été compromis. L'inviolabilité est donc une fonctionnalité clé lors de la surveillance de la santé d'un déploiement de capteur IoT, d'un simple accéléromètre aux changements de température, l'analyse peut montrer ou projeter une falsification potentielle et minimiser les interférences de l'appareil.

L'incertitude des entreprises concernant la sécurité semble être un obstacle au déploiement, mais ce n'est pas nécessaire. Il existe un certain nombre de domaines potentiels à sécuriser dans un déploiement IoT, en particulier pour les infrastructures héritées et les réseaux plus anciens, mais en appliquant la sécurité à chaque point ; périphérique, périphérique, WAN et cloud, il y a de bien meilleures chances d'atténuer les incursions potentielles.

Les fabricants ont la possibilité d'intégrer certaines fonctionnalités de sécurité dans leurs appareils dès le départ et c'est quelque chose que l'industrie des semi-conducteurs étudie déjà. Mais encore une fois, c'est le manque général de normes qui fait obstacle. Il existe déjà un certain nombre de normes de sécurité pour le logiciel, mais qu'en est-il du matériel en termes de puces et d'autres parties du boîtier semi-conducteur, au sein de l'appareil IoT ?

La fragmentation est toujours un problème car les fabricants font en quelque sorte leur propre truc, mais c'est la coordination croisée entre eux qui fera la plus grande différence. Il existe de solides arguments selon lesquels le déploiement et la sécurité ne devraient pas être une préoccupation, à condition que vous choisissiez le bon système de partenaires. Il y a des développements et des améliorations substantiels de la sécurité dans tous les types d'IoT à venir, pour donner aux clients l'assurance qu'ils peuvent déployer avec intensité et échelle.

L'auteur de ce blog est Nick Sacke, Head of Product and IoT,  Comms365