Pourquoi nous ne pouvons pas retarder la sauvegarde de l'IoT dans les infrastructures nationales critiques

Il est crucial de maintenir la sécurité du réseau électrique hermétique.

Lorsqu'on discute de la sécurité de l'Internet des objets (IoT), il est essentiel de commencer par reconnaître à quel point notre vie quotidienne dépend de plus en plus de ces systèmes entièrement connectés. L'intégration d'appareils IoT dans des industries critiques signifie que, tout en gagnant en efficacité, nous créons un terrain fertile pour de nouveaux points d'attaque. Ces réseaux sont d'une importance vitale, déclare Alan Grau, VP of IoT, Embedded Solutions chez Sectigo ; la protection du portail devient une priorité.

Bien que même le citoyen profane se rende compte de la nature cruciale de maintenir l'étanchéité du réseau électrique ou de l'approvisionnement en eau, un élément est souvent absent de la conversation, le rôle central de la sécurisation des appareils IoT, y compris l'authentification à l'aide de certificats numériques.

Il est désormais impératif d'authentifier tout ce qui est connecté et les certificats sont à l'avant-garde pour surmonter les vulnérabilités au sein de notre infrastructure nationale critique (CNI). Et le temps presse. L'Institut Ponemon a révélé que 90 % des fournisseurs de CNI luttent déjà contre les attaques IoT. Probablement, les 10 % restants n'ont pas encore reconnu qu'ils sont également attaqués.

Alors qu'un nombre croissant d'attaques par déni de service distribué (DDoS) et de rançongiciels continuent de cibler les appareils non sécurisés, les entreprises doivent se réveiller et faire face aux risques inhérents posés par les points de terminaison non sécurisés dans les écosystèmes, des serveurs aux véhicules en passant par les réseaux électriques.

Un nombre croissant de gouvernements ont récemment émis des exigences réglementaires pour la sécurité des appareils grand public, mais les mesures sont loin d'être mondiales; ils ne sont pas non plus exhaustifs. Il appartient à chacun dans l'écosystème, des fabricants d'équipement d'origine (OEM) aux organisations d'utilisateurs finaux, d'intégrer et d'adopter une technologie d'authentification qui protège notre CNI.

Garder le secteur de la santé en sécurité

Le secteur de la santé est confronté au défi monumental de gérer une multitude de données sensibles. Qu'il s'agisse de gérer la propriété intellectuelle, les renseignements personnels sur la santé (PHI) confidentiels ou la configuration d'un appareil connecté ; les données sont à juste titre l'atout le plus précieux du secteur de la santé et, par conséquent, l'un des plus compliqués à protéger.

Tout système ou appareil qui détient ou transmet des données de grande valeur sur des patients, des recherches ou des organisations est en danger. Les menaces, qui peuvent provenir à la fois de sources internes et externes, couvrent désormais toute la gamme des logiciels malveillants, des ransomwares, des botnets IoT et du vol aux tentatives d'hameçonnage, en passant par la compromission des e-mails professionnels (BEC), l'extorsion et les violations de données à grande échelle.

Malheureusement, de nombreux établissements de santé restent insuffisamment protégés. La plupart n'ont pas le haut niveau de cryptage des données requis pour sécuriser à la fois les données en mouvement et les données au repos. Beaucoup n'utilisent toujours pas pleinement les avantages que l'identité numérique peut apporter à travers une variété de cas d'utilisation.

Peut-être encore plus préoccupant est le risque souvent négligé que représentent les « choses » non garanties dans le secteur. La plupart des organisations de soins de santé dont les modèles commerciaux émergents dépendent de l'IoT ne parviennent souvent pas à reconnaître que leurs appareils connectés (biocapteurs pour la surveillance des patients, appareils portables pour la télémédecine, stimulateurs cardiaques, pompes, etc.) représentent un risque de sécurité important.

La numérisation croissante de l'expérience du patient, associée à une dépendance croissante aux données (y compris les données de paiement par carte de crédit), signifie qu'il est impératif pour les organisations de ce secteur de renforcer continuellement leurs capacités de sécurité et de fermer les vulnérabilités potentielles pour garder une longueur d'avance sur les menaces.

Sécurisation de chaque véhicule

L'arrivée des véhicules autonomes augmentera la menace potentielle pour les biens et la vie provoquée par une attaque IoT. Dans un avenir pas si lointain, les camions de livraison, les bus, les taxis et les véhicules personnels seront autonomes, offrant des cibles riches pour les cyber-attaquants. Les constructeurs de véhicules autonomes déclarent que la technologie IoT qui permettra à ces véhicules de communiquer directement entre eux et avec le système de circulation d'une ville se traduira par un système de déplacement plus efficace et plus sûr.

Cependant, cette communication nécessite un flux d'informations parfait et inaltéré entre les véhicules pour assurer leur coordination étroite tout en voyageant éventuellement à grande vitesse, à quelques centimètres l'un de l'autre.

Selon le Consumer Watchdog 2019 rapport 'Kill Switch', plus des deux tiers des nouvelles voitures sur les routes américaines d'ici 2022 auront des connexions en ligne à leur système critique pour la sécurité, ce qui les expose au risque de piratage mortel du système "tête" des véhicules, utilisé principalement pour l'infodivertissement, Navigation GPS et autres fonctionnalités.

Que se passe-t-il si l'un de ces véhicules est piraté, paralysant sa communication, de sorte qu'il ne peut pas se coordonner avec d'autres véhicules ? Au minimum, le pirate peut provoquer un enchevêtrement du trafic. Au pire, le mauvais acteur pourrait provoquer des accidents graves, pouvant entraîner des blessures et la mort des passagers et/ou des piétons à proximité. Une autre menace réelle est une attaque massive de ransomware contre les véhicules. La sécurité est clairement impérative pour les voitures connectées.

Protéger le réseau électrique

Les avantages de l'IoT dans le secteur de l'énergie sont clairs. La collection massive de capteurs et d'appareils de contrôle assure la fiabilité de l'alimentation et peut éviter les pannes en contrôlant le flux de puissance à un instant donné. La modernisation du système signifie également une efficacité énergétique accrue et moins d'intervention humaine, un avantage économique pour les organisations. De plus, en récupérant une riche source de données, le réseau intelligent peut créer des modèles de maintenance prédictive, augmentant ainsi la sécurité globale.

Il y a bien sûr un revers à cette automatisation et à cette intelligence collective. Les myriades de cyberattaques et d'incidents de chapeaux blancs au cours de la dernière décennie soulignent à la fois la vulnérabilité de l'industrie de l'énergie et sa grande valeur en tant que cible. Les cybercriminels le comprennent et continuent de rechercher activement des moyens d'implanter du code malveillant dans des réseaux étrangers afin de l'exploiter au moment de frapper. L'attaque test de la Russie contre le réseau électrique ukrainien en est un exemple, confirmant la capacité du pays à éteindre les lumières à volonté.

Compte tenu des retombées potentiellement catastrophiques, il est maintenant plus important que jamais pour l'industrie de l'énergie de faire de la sécurisation de cette technologie de plus en plus répandue une priorité majeure.

Concevoir une solution depuis l'atelier de fabrication

La solution n'est pas seulement entre les mains des législateurs, mais aussi des fabricants d'appareils et d'autres parties impliquées dans la chaîne d'approvisionnement. La gestion des identités doit être intégrée dès la conception, automatisée pour éviter les erreurs ou le sabotage, et régulièrement mise à jour tout au long du cycle de vie de chaque appareil.

Les outils d'authentification d'identité sont une garantie essentielle pour protéger l'infrastructure critique et ses nombreux appareils. Les certificats numériques, le démarrage sécurisé et les mises à jour du code sécurisé, les pare-feu intégrés et d'autres technologies permettent aux entreprises de santé, de transport, d'énergie et d'autres entreprises critiques de détecter et de bloquer les connexions non autorisées avant qu'elles n'entrent dans le réseau, gardant ainsi la porte fermée aux cybercriminels dès le départ .

La sécurité de l'entreprise et de l'IoT embarqué ne concerne plus uniquement les fournisseurs de technologies ou les opérateurs de réseau. L'identité de l'IoT est devenue une question d'intérêt national.

L'auteur est Alan Grau, VP of IoT, Embedded Solutions chez Sectigo

À propos de l'auteur

Alan Grau est vice-président de l'IoT, des solutions intégrées chez Sectigo, un fournisseur mondial de solutions automatisées de gestion de l'identité numérique et de sécurité Web. Alan a rejoint Sectigo en mai 2019 dans le cadre de l'acquisition par la société de Icon Labs , un fournisseur de logiciels de sécurité pour l'IoT et les appareils embarqués, où il était CTO et co-fondateur.