IoT et sécurité : les clés pour comprendre l’évolution des pratiques
Introduction
Dès 2016, les botnets Mirai et ses variantes (Satori, Reaper, entre autres) ont permis de mettre le doigt sur les problématiques de sécurité IoT. Cet épisode particulièrement médiatisé – et qui pourtant n’a jamais pris réellement fin – avait entraîné un début de prise de conscience des industriels, en premier lieu les fabricants des appareils et gateways infectés par de tels réseaux zombies.
Pour autant, de par les particularités de l’internet des objets, assurer la sécurité des parcs d’appareils s’avère complexe. Et si la part des équipements connectés a augmenté dans le grand public ou dans les bureaux, depuis l’industrie s’est emparée du sujet. Il suffit d’observer les efforts des énergéticiens tels EDF ou Suez, mais également des industriels de la défense en la matière pour se rendre compte que la sécurité de l’IoT est devenue un enjeu critique. Or, là où l’intégration des objets connectés les plus courants peut s’apparenter à une problématique purement IT, l’IIoT implique un pont entre IT et OT.
Aussi, dans une usine des équipements et machines de différentes générations cohabitent : il faut prendre en compte les spécificités de plusieurs technologies de communication. Cela veut dire également qu’il n’est pas forcément possible de les mettre à jour une fois déployés. De plus, leurs capacités techniques limitées peuvent empêcher d’y exécuter des microprogrammes de sécurité ou des systèmes de chiffrement. Sans oublier les menaces purement physiques : certains équipements peuvent être installés sur des terrains distants et sont exposés à des risques de manipulation par des attaquants bien réels.
« Il est illusoire de vouloir proposer une lecture unique de la sécurité des objets connectés du fait de la diversité des situations rencontrées », écrivent les spécialistes de l’ANSSI dans un guide intitulé « Recommandations relatives à la sécurité des (systèmes d’) objets connectés ». Le document liste des conseils quant aux architectures matérielles et logicielles à mettre en place, l’instrumentalisation de la cryptologie et de l’authentification dans un tel contexte, la manipulation des données sensibles, la sécurité logicielle et matérielle, la protection des réseaux et la gestion du cycle de vie des dispositifs connectés. Mais comme le précise l’ANSSI, tout commence par une analyse des risques de laquelle découle l’application de ces diverses mesures plus ou moins strictes.
Or les entreprises se frottent à l’apparition de nouveaux concepts de sécurité qui, dans la bouche des éditeurs et fournisseurs, sont censés remplacer les anciens. Pourtant, en réalité, des solutions existantes en matière de gestion d’identité et de surveillance du réseau ont toute leur place dans une démarche de sécurisation de l’IoT. D’autres paradigmes, comme la supervision des logiciels, s’étendent désormais aux firmwares des objets connectés, même s’ils concernent en majorité des déploiements greenfield. C’est justement tout l’objet de ce guide essentiel qui vise à explorer les évolutions de ces trois volets – la gestion des identités, la surveillance du réseau et la supervision des vulnérabilités – au regard des pratiques des entreprises les plus conscientes de ces enjeux.
1Identité-
Les infrastructures PKI, toujours debout
Les avantages et inconvénients de l’IoT pour les entreprises
Bien que l’utilisation de l’IoT dans les entreprises soit de plus en plus populaire en raison des indicateurs que l’on peut en tirer, la technologie comporte ses propres risques et défis. Lire la suite
IoT : comment la PKI s’est imposée pour l’identité des objets connectés
Malgré des interrogations – il y a quelques années –, des défis, voire des divergences persistantes, les infrastructures à clé publique (PKI) se sont imposées dans le monde des objets connectés. Lire la suite
La FIDO Alliance veut sécuriser les déploiements IoT
Après FIDO2, la FIDO Alliance s’intéresse à l’IoT avec sa spécification FIDO Device Onboarding. Son objectif ? Populariser une solution pour sécuriser le provisionnement sécurisé d’équipements connectés sur le terrain. Retour sur un projet lancé en 2019. Lire la suite
FIDO Device Onboarding : forces et faiblesses d’un standard IoT
La FIDO Alliance compte bien convaincre les fabricants avec son standard sécurisé de déploiement IoT, FIDO Device Onboarding. Dans cet article, LeMagIT revient en détail sur le fonctionnement de ce protocole, ses limites et sur les différences avec une architecture PKI, plus classique. Lire la suite
Comment gérer les identités des machines
Les entreprises doivent vérifier que les machines, applications et appareils disposent bien d’une identité propre et des droits d’accès appropriés pour leurs communications en tâche de fond. Lire la suite
2Réseaux-
Les méandres de la supervision IoT
Pour EDF, la cybersécurité des SI industriels a besoin de coopération
Olivier Ligneul, le directeur cybersécurité d’EDF, en est convaincu : la protection des systèmes industriels passe nécessairement par une coopération au sein de l’écosystème. Les entreprises d’une même supply chain doivent en outre accepter de partager des données. Lire la suite
Zero-trust : quatre étapes pour adapter le modèle à l’IoT
Le modèle zero-trust appliqué à l’IoT promet de renforcer l’identité des équipements et l’isolation des menaces à l’échelle, à condition de trouver un équilibre avec les périmètres de sécurité existants. Lire la suite
Sécurité : quand la segmentation des réseaux IoT s’impose
À l’ère de l’IoT, les administrateurs IT doivent isoler les appareils, tels que les capteurs de température ou les caméras de surveillance, des autres applications et serveurs pour préserver la sécurité de leur réseau. Lire la suite
Industrie 4.0 : Fives CortX déploie Wallix Bastion sur ses gateways
Filiale dédiée au Big Data et à l’IoT du groupe Fives, Fives CortX a fait le choix de la solution Bastion de Wallix pour accroître le niveau de sécurité de sa solution d’analyse des données industrielles. Lire la suite
3Vulnérabilités-
Les nouvelles pratiques de sécurisation des firmwares
Microsoft rachète ReFirm Labs pour chasser les vulnérabilités dans les firmwares IoT
Microsoft a annoncé le rachat la société de cybersécurité ReFirm Labs pour améliorer sa capacité à analyser la sécurité des microprogrammes (firmware) IoT. Lire la suite
IoT et sécurité : avec Microvisor, Twilio parie sur l’avenir
Twilio prend son temps pour développer Microvisor. Cet hyperviseur sera au cœur de la plateforme de gestion de flottes IoT de l’éditeur américain, misant clairement sur la sécurité fournie par les microcontrôleurs de nouvelles générations. Lire la suite
Pour Parrot, la cybersécurité est un devoir et un atout concurrentiel
Le fabricant de drones Parrot adopte une approche security by design et privacy by design pour ses développements logiciels. Outre des audits, Parrot renforce la sécurité de ses produits via le recours à un programme de bug bounty. Lire la suite
IoT : Ubuntu Core 20 s’aligne sur les exigences sécuritaires des industriels
Canonical a annoncé la disponibilité d’Ubuntu Core 20, une version allégée d’Ubuntu 20.04 LTS dédiée à l’IoT. L’éditeur entend multiplier les solutions de sécurité pour répondre aux exigences des spécialistes du développement embarqué. Lire la suite