Sécurité : quand la segmentation des réseaux IoT s’impose
À l’ère de l’IoT, les administrateurs IT doivent isoler les appareils, tels que les capteurs de température ou les caméras de surveillance, des autres applications et serveurs pour préserver la sécurité de leur réseau.
Les équipements IoT, tels que les lecteurs de cartes, les senseurs et les appliances embarquées, n’ont généralement pas beaucoup de puissance de calcul ou de mémoire vive. Par conséquent, bon nombre d’entre eux ne peuvent pas exécuter de programmes de sécurité pour se protéger sur un réseau. En outre, il est presque impossible de mettre à jour ou de corriger les firmwares des objets connectés existants par voie aérienne (over the air ou OTA) quand cette technologie n’était pas la norme lors de leur déploiement.
Selon les prévisions d’IDC, il y aura 41,6 milliards de dispositifs IoT en service d’ici 2025. Cette multitude d’appareils produira 79,4 zettaoctets de données d’ici là. Ces chiffres suffisent à eux seuls à provoquer un gros mal de tête à tout professionnel de la sécurité IT.
Les attaquants ciblent déjà les organisations avec une variété de menaces et surveillent de près les failles des systèmes IoT. Sans aucun doute, il y en aura beaucoup d’autres à l’horizon.
La multiplication des appareils IoT conduit les entreprises à adopter l’une des méthodes les plus classiques de la sécurité IT – la segmentation et son évolution, la microsegmentation – pour protéger leurs flottes d’équipements connectés en plein essor.
Qu’est-ce que la segmentation ?
La segmentation est un procédé de sécurité qui divise un réseau en plusieurs segments ou sous-segments qui agissent comme de petits networks. Sous une forme ou une autre, cette technique s’est développée en même temps que les réseaux d’entreprise et l’Internet public.
Sur la 5G, la segmentation est appelée « découpage du réseau » (Network Slicing). Cette fonctionnalité de la 5G deviendra de plus en plus pertinente pour l’Internet des objets, car davantage de machines seront équipées de cette technologie cellulaire, plutôt que de recourir à des liaisons 4G LTE ou des connexions LPWAN, comme c’est généralement le cas aujourd’hui.
Pourquoi choisir la segmentation comme méthode de sécurité ?
Malgré la pléthore de mesures de sécurité que les administrateurs peuvent mettre en œuvre, la segmentation du réseau reste une défense essentielle contre les menaces. Chaque groupe d’appareils isolé ne peut accéder qu’aux ressources dont il a besoin pour des utilisations approuvées. La segmentation de l’IoT peut empêcher les infections par ransomware ou un attaquant de se déplacer sur le réseau.
Les organisations ne sont pas forcées d’employer la segmentation spécifiquement avec certaines pratiques de sécurité, mais elle peut s’ajouter aux protections existantes. En outre, appliquée à un réseau IoT, cette méthode peut améliorer les performances globales. Séparer les différents appareils opérationnels les uns des autres peut réduire la congestion du réseau.
Comment mettre en œuvre la segmentation IoT
Avec l’avènement de l’IoT, la segmentation du réseau est devenue encore plus critique. À mesure que les appareils IoT prolifèrent, ces unités vulnérables doivent être isolées des autres applications et systèmes du réseau d’une organisation.
Lors du déploiement d’un projet de segmentation du réseau basé sur l’IoT, les administrateurs informatiques doivent d’abord identifier tous les appareils IoT du parc de l’organisation. Si un inventaire n’a pas déjà été dressé, la tâche peut s’avérer ardue, car les types d’équipements sont nombreux : caméra, capteurs, machines industrielles, balises, etc. Par ailleurs, il faut souvent prendre en compte différentes technologies de communication (Wifi, IP, Bluetooth, Sigfox, LoRa, LTE, NB-IoT, etc.).
Aujourd’hui, de nombreuses entreprises utilisent des outils de contrôle d’accès au réseau (NAC) pour mettre en œuvre une politique de sécurité sans confiance sur leurs réseaux. Un système NAC surveille en permanence le réseau et les appareils qui y sont connectés. L’outil NAC doit découvrir et identifier tous les utilisateurs et appareils avant d’autoriser l’accès au réseau.
Lors de la configuration initiale d’un système NAC, le personnel chargé de la sécurité numérique d’une organisation déterminera le niveau d’autorisation approprié pour les utilisateurs et les appareils. Par exemple, un ingénieur utilisant un capteur pour tester la température sur une section industrielle du réseau de l’entreprise nécessite des droits d’accès très différents de ceux d’une installation d’éclairage automatisée fonctionnant sur le même réseau.
Certains responsables informatiques considèrent la microsegmentation comme la prochaine étape de la sécurité du réseau, en particulier pour les projets IoT. Cette technique réduit encore davantage les parties d’un réseau auxquelles les appareils IoT peuvent accéder, amenuisant ainsi les surfaces d’attaque – éléments du système ou points de terminaison – qui sont les plus susceptibles d’être piratées.
Contrairement à la segmentation, la microsegmentation ne repose pas en principe sur la manipulation des subnets, des VLANs, des pare-feu physiques liés à l’infrastructure sous-jacente.
Les administrateurs IT peuvent généraliser des politiques pour segmenter les charges de travail individuelles exécutées dans un environnement cloud. La technologie s’étend au trafic latéral est-ouest entre les appareils, les workloads et les applications sur le réseau. L’utilisation accrue de la mise en réseau définie par logiciel (Software Defined Network ou SDN) dans les architectures a contribué à l’adoption de la microsegmentation.
Avec la microsegmentation, les objets connectés peuvent fonctionner sur une infrastructure commune qui comprend un réseau partagé et une plateforme de sécurité.
De par ce contrôle au niveau logiciel, les politiques appliquées à un appareil IoT demeurent actives même s’il est déplacé vers un autre secteur du réseau.
Avec la microsegmentation, les objets connectés peuvent fonctionner sur une infrastructure commune qui comprend un réseau partagé et une plateforme de sécurité. Cette forme d’isolation logicielle se veut plus facile à gérer et à exploiter sans donner aux appareils compromis ou affaiblis des moyens de mettre en péril d’autres parties du réseau d’une entreprise.
Pour autant, cette architecture logicielle doit respecter certains principes. Là où la segmentation peut être complexe à administrer quand il faut gérer de multiples passerelles, les pare-feu associés, et les terminaux reliés, la microsegmentation réclame de contrôler les communications entre appareils compris dans chaque microsegment, et de disposer d’un logiciel capable de générer et de répartir automatiquement ces petites sections de réseau. De plus, le système doit s’adapter dynamiquement à l’ajout de nouveaux dispositifs. Aussi, la microsegmentation ne remplace pas les autres mécanismes employés dans le cadre d’un périmètre de sécurité traditionnel, elle le complète.
