Cybersécurité et Internet des objets :sécurité IoT évolutive

L'Internet des objets change notre façon de vivre et de travailler. Ce n'est pas seulement l'industrie qui en bénéficiera :l'IoT transforme déjà la façon dont nous interagissons tous avec les objets dans notre vie quotidienne. Cependant, l'approche de la sécurité de l'IoT est actuellement très fragmentée et, dans certains cas, inexistante.

Des normes communes sont nécessaires pour garantir que l'IdO bénéficie d'une sécurité de base. Il convient de prendre en considération la cryptographie à clé publique basée sur l'identité, qui, en raison de ses caractéristiques, peut fournir une sécurité de base indépendante du secteur, des maisons intelligentes aux IdO industriel, déclare Roderick Hodgson, directeur, Secure Chorus .

C'était le thème d'une récente conférence que j'ai prononcée devant l'Institut européen des normes de télécommunications (ETSI) Semaine de la sécurité organisée au siège de l'ETSI à Sofia Antipolis, France. Je parlais en tant que directeur avec une responsabilité particulière pour la supervision technique de Secure Chorus, une organisation à but non lucratif qui fournit un leadership éclairé, des normes communes et des capacités tangibles pour le secteur de la cybersécurité.

J'ai également signalé que l'industrie dans son ensemble connaît actuellement une augmentation annuelle de 600 % des cyberattaques IoT, l'électronique commerciale et industrielle, les services publics, le médical, l'automobile et les transports étant les plus à risque en raison d'être à la pointe de l'adoption de l'IoT. .

L'IoT n'est pas un appareil ou une technologie, mais un cadre pour intégrer la connectivité et l'intelligence à travers une gamme d'appareils. La collecte et la réaction aux données en temps réel est la capacité clé créée par l'IoT. Les données peuvent être collectées sur une gamme d'appareils et peuvent être consultées et interprétées grâce aux nouvelles technologies informatiques.

Le cloud computing, les moteurs d'analyse et les solutions de Big Data apportent une innovation considérable lorsqu'ils sont combinés avec l'IoT. Les attaques parrainées par l'État, la fermeture économique massive et les tentatives de provoquer un chaos généralisé sont tous des risques plausibles dans un monde où les systèmes IoT sont plus gros que la somme de leurs parties.

Bien que l'IoT ne soit pas un phénomène nouveau, de plus en plus d'appareils sont connectés et deviennent plus intelligents. Cette tendance se produit dans tous les secteurs, dont certains sont considérés comme des infrastructures nationales critiques (CNI), faisant de la cybersécurité une préoccupation majeure. Les défaillances catastrophiques dans le nucléaire, l'aviation et les services essentiels doivent être prises en compte par les fabricants, les adoptants de l'IoT industriel, les États-nations et les régulateurs.

Les déploiements IoT sont confrontés à des risques critiques de cybersécurité :

1. Le nombre d'appareils à sécuriser est bien plus important que dans les environnements informatiques traditionnels des entreprises et de l'industrie ;
2. Les appareils et systèmes trouvés dans l'IoT sont très variés. Alors que certaines solutions reposent sur une faible consommation d'énergie et une faible bande passante de données, d'autres sont dédiées à effectuer beaucoup plus de calculs sur des réseaux à haut débit ;
3. Les appareils IoT sont utilisés dans un large éventail d'environnements, chacun présentant des défis causés par des différences dans les capacités de traitement, les cas d'utilisation, les capacités de réseau et les emplacements physiques ; et
4. Les appareils IoT deviennent des composants de systèmes qui affectent directement la santé et la sécurité.

Le problème de la résolution simultanée des problèmes d'authentification et de sécurité dans les systèmes IoT peut être résolu grâce à l'utilisation d'une « cryptographie à clé publique basée sur l'identité », dans laquelle les clés cryptographiques sont directement liées à l'identité d'un appareil ou d'un capteur IoT.

L'utilisation supplémentaire de serveurs de gestion de clés (KMS) simplifie la gestion des clés, offrant une évolutivité en nombre et une compatibilité avec la grande variété d'appareils et de capteurs, tout en garantissant que la confiance peut être établie entre les parties pour les appareils qu'elles contrôlent, au-delà de la périmètre d'un système ou d'une organisation unique.

Secure Chorus a permis le développement d'un écosystème de produits conformes à Secure Chorus (SCCP) garantissant les éléments suivants :

• Sécurité des données – Ceci est réalisé avec un cryptage de bout en bout pour garantir que toute activité de traitement des données peut être entreprise sans compromettre la sécurité des données.
• Propriété des données – Ce type de cryptographie comprend un serveur de gestion de clés (KMS), donnant au propriétaire du système un contrôle total sur la sécurité du système.
• La cryptographie à clé publique basée sur l'identité ne nécessite pas d'infrastructure de support coûteuse et complexe pour la distribution des informations d'identification, permettant une mise en œuvre à grande échelle. Cela représente une innovation substantielle dans le domaine de la cryptographie.

L'un des plus grands défis de la sécurisation de l'IoT est de trouver une solution qui fonctionne pour les appareils à faible consommation, tout en étant suffisamment sécurisée pour les systèmes d'infrastructure critiques. La sécurité, l'authentification et la confiance des données sont mieux assurées dans un environnement IoT grâce à l'utilisation du protocole de cryptographie à clé publique basé sur l'identité.

MIKEY-SAKKE est l'un de ces protocoles de cryptographie à clé publique basés sur l'identité, offrant une authentification, une distribution et une révocation de clé efficaces dans une variété de scénarios de déploiement. Secure Chorus et ses membres ont choisi MIKEY-SAKKE comme norme de cryptographie ouverte, ce qui nous permet de développer des normes d'interopérabilité pour les solutions de communication multimédia basées sur MIKEY-SAKKE.

L'auteur de ce blog est Roderick Hodgson, directeur, Secure Chorus

À propos de l'auteur

Roderick Hodgson est un technologue et un stratège en innovation qui supervise tous les aspects technologiques de Secure Chorus, y compris la gestion technique, la définition de la stratégie technique et la représentation de la technologie à l'extérieur.