Comment les modifications apportées à la chaîne d'approvisionnement de l'IoT peuvent combler les lacunes en matière de sécurité

En ce qui concerne l'Internet des objets, les approches traditionnelles de cybersécurité sont difficiles à intégrer et ne peuvent pas sécuriser les appareils opérationnels. De nombreuses approches de dispositifs embarqués isolent les systèmes, n'offrant qu'une protection partielle et uniquement contre les vecteurs d'attaque connus. Tous nos problèmes de sécurité IoT pourraient-ils être résolus par un simple ajustement de la chaîne d'approvisionnement ?

Dans mon esprit, oui, si nous commençons à y penser comme la chaîne d'approvisionnement de confiance IoT. L'IoT Security Foundation a inventé l'idée en mai 2016 que la sécurité de l'IoT n'a pas de propriétaire unique et que tous les fournisseurs ont le devoir de prendre soin de leurs clients directs et de l'écosystème au sens large.

Pensons-y d'une manière un peu plus pratique. Si vous êtes un fabricant, la chaîne d'approvisionnement de confiance sait d'où vous vous procurez des logiciels ou du matériel et comprend la sécurité à l'intérieur de tout ce que vous vous procurez. Cela revient à s'approprier chaque niveau de sécurité.

Le problème

Avec plus de 8 milliards d'appareils IoT qui devraient être utilisés dans le monde en 2017, contre 6 milliards en 2016, selon Gartner, la promesse d'une croissance exponentielle est éminente. C'est arrivé au point où chaque entreprise, quelle que soit son activité, pense qu'elle doit créer un produit connecté à Internet.

Le problème est que ces entreprises se concentrent uniquement sur la fabrication de leur widget, et non sur les pièces et les pièces qui composent ce widget. D'où la nécessité d'une chaîne d'approvisionnement de confiance IoT.

Par exemple, supposons qu'une entreprise souhaite créer un nouveau widget brillant avec une capacité Wi-Fi. Ils ne créent généralement pas de puce Wi-Fi à partir de zéro ; ils achèteront une puce à une entreprise qui a déjà produit des millions de ces puces.

Mais cette entreprise productrice de widgets qui n'est pas spécialisée dans la sécurité, ne prend pas le temps de comprendre et de tester les protocoles de sécurité du fabricant de puces. S'ils ne prennent pas le temps de comprendre d'où vient la puce, le micrologiciel requis pour faire fonctionner cette puce et la susceptibilité de cette puce à être piratée, alors ils construisent une technologie très peu sécurisée dans leur prototype.

Pensez à tous les composants créés par des tiers qui se retrouvent dans le widget final. Un appareil IoT n'est aussi sûr que sa couche la plus faible.

Bien sûr, nous pourrions blâmer la pression exercée sur les entreprises pour commercialiser des produits IoT, mais malheureusement, je pense que cela découle toujours d'un manque de bonne gouvernance de la cybersécurité. Tout le monde est heureux de parler de sa cyber-posture, mais nous manquons encore de normes de sécurité réglementées et d'une adoption généralisée des meilleures pratiques existantes de l'industrie pour la fabrication IoT. Nous voulons montrer du doigt et ne couvrir que nos propres risques.

Quelle est la solution ?

La solution à long terme :un processus de certification. Alors que de nombreux groupes industriels travaillent sur ces efforts, nous ne pouvons pas attendre ces normes.

À court terme, il existe deux approches.

Tout d'abord, si vous achetez des appareils IoT pour vous-même ou votre entreprise, prenez le temps de faire vos recherches. Il existe de nombreuses options proposées par des entreprises réputées ayant de bons antécédents en matière de sécurité. Lors de l'examen des coûts, tenez compte des fonds nécessaires si votre entreprise subit une violation en laissant un appareil non sécurisé sur votre réseau.

Deuxièmement, si vous fabriquez des appareils IoT, tenez compte de la sécurité de chaque élément matériel que vous intégrez à votre appareil. Une entreprise qui fait un excellent travail est Taser, un développeur, fabricant et distributeur d'armes à impulsions électriques, de caméras corporelles et de solutions de gestion des preuves numériques. Taser crée une équipe interne d'experts en matériel, logiciels et sécurité pour contrôler tous les produits avant leur mise sur le marché. Ce groupe diversifié examine comment le produit s'intégrera dans la gamme de produits existante, garantit l'existence de la sécurité et effectue des tests d'intrusion. L'investissement initial de l'entreprise garantit que la chaîne d'approvisionnement de tout nouvel appareil est prise en compte.

Jusqu'à ce que les organisations qualifient les appareils IoT de « bons » ou « mauvais », les entreprises doivent faire preuve de diligence pour garantir la sécurité à chaque niveau.