SOLUTIONS D’IDENTITÉ DES UTILISATEURS

Internet des objets (IoT)

Quelles sont les principales exigences de la sécurité IoT ?

Les principales exigences de toute solution de sécurité IoT sont les suivantes :

  • Assurer la sécurité des appareils et des données IoT, y compris l’authentification des appareils et la confidentialité et l’intégrité des données
  • Mettre en œuvre et exécuter des opérations de sécurité à l’échelle de l’IoT
  • Répondre aux exigences et demandes de conformité
  • Répondre aux exigences de performance selon le cas d’utilisation

Quelles sont les principaux blocs fonctionnels de la sécurité IoT ?

Les solutions de sécurité IoT doivent implémenter les blocs fonctionnels répertoriés ci-dessous en tant que modules interconnectés, et non de manière isolée, pour répondre aux exigences de l’IoT en matière d’échelle, de sécurité des données, de fiabilité des appareils et de conformité.

  • Fiabilité des appareils IoT : Établir et gérer l’identité et l’intégrité des appareils
  • Fiabilité des données IoT : Confidentialité et sécurité des données de bout en bout basée sur des politiques, depuis la création jusqu’à la consommation
  • Opérationnaliser la fiabilité : Automatisation et interface avec les technologies/produits éprouvés basés sur des normes. Par exemple : Produits PKI.

De quoi les appareils connectés ont-ils besoin pour participer en toute sécurité à l’IoT ?

Pour participer en toute sécurité à l’IoT, chaque appareil connecté a besoin d’une identification unique - avant même d’avoir une adresse IP. Ces informations d’identification numériques établissent la racine de confiance pour l’ensemble du cycle de vie de l’appareil, de la conception initiale au déploiement en passant par le retrait.

Entrust utilise des modules matériels de sécurité (HSM) nShield, associés aux applications de sécurité de prise en charge des partenaires technologiques Entrust, pour permettre aux fabricants de fournir à chaque appareil un identifiant unique en utilisant le traitement de chiffrement, la protection des clés et la gestion des clés les plus puissants disponibles. Un certificat numérique est injecté dans chaque appareil pour permettre :

  • Une authentification de chaque appareil introduite dans l’architecture de l’organisation
  • La vérification de l’intégrité du système d’exploitation et des applications sur l’appareil
  • Des communications sécurisées entre les appareils, la passerelle et le cloud
  • Des mises à jour logicielles et micrologicielles autorisées, basées sur un code approuvé

Existe-t-il des directives de sécurité pour l’IoT ?

Un certain nombre d’organisations ont élaboré des directives de sécurité pour l’IoT, dont les suivantes :

  • IoT Security Foundation, « Best Practice Guidelines »
  • Open Web Application Security Project (OWASP), « Security Guidance »
  • Groupe Spéciale Mobile Association (GSMA), « GSMA IoT Security Guidelines & Assessment »
  • Publication spéciale 800-160 (« Guidance ») du National Institute of Standards and Technology (NIST) du ministère américain du commerce sur la mise en œuvre de la sécurité dans les appareils de l’Internet des objets (« IoT »).
  • Cloud Security Alliance (CSA), « Future Proofing the Connected World : 13 Step to Developing Secure IoT Products »

Pourquoi l’authentification des appareils est-elle nécessaire pour l’IoT ?

Une authentification forte des appareils IoT est requise pour garantir que les appareils connectés sur l’IoT sont ce qu’ils prétendent être. Par conséquent, chaque appareil IoT a besoin d’une identité unique qui peut être authentifiée lorsque l’appareil tente de se connecter à une passerelle ou à un serveur central. Grâce à cet identifiant unique, les administrateurs du système informatique peuvent suivre chaque appareil tout au long de son cycle de vie, communiquer en toute sécurité avec lui et l’empêcher d’exécuter des processus nuisibles. Si un appareil présente un comportement inattendu, les administrateurs peuvent tout simplement révoquer ses privilèges.

Pourquoi la fabrication sécurisée est-elle nécessaire pour les appareils IoT ?

Les appareils IoT fabriqués selon des processus de fabrication non sécurisés permettent aux criminels de modifier les cycles de production pour introduire du code non autorisé ou produire des unités supplémentaires, ensuite vendues sur le marché noir.

Une façon de sécuriser les processus de fabrication consiste à utiliser des modules matériels de sécurité (HSM) et des logiciels de sécurité d’appui pour injecter des clés cryptographiques et des certificats numériques, et pour contrôler le nombre d’unités construites et le code incorporé dans chacune.

Pourquoi la signature de code est-elle nécessaire pour les appareils IoT ?

Afin de protéger les entreprises, les marques, les partenaires et les utilisateurs contre les produits infectés par des logiciels malveillants, les éditeurs ont adopté la signature de code. Dans un réseau IoT, la signature de code dans le processus de publication du logiciel garantit l’intégrité des mises à jour logicielles et micrologicielles des appareils IoT, et protège contre les risques associés à la falsification du code logiciel IoT ou au code qui s’écarte des politiques organisationnelles.

Dans la cryptographie à clé publique, la signature de code est une utilisation spécifique des signatures numériques basées sur des certificats qui permet à une organisation de vérifier l’identité de l’éditeur du logiciel et de certifier que ce dernier n’a pas été modifié depuis sa publication.

Qu’est-ce que la PKI IoT ?

Aujourd’hui, il y a plus d’objets (appareils) en ligne qu’il n’y a de personnes sur la planète ! Les appareils étant les principaux utilisateurs d’Internet, ils ont besoin d’identités numériques pour un fonctionnement sécurisé. Alors que les entreprises cherchent à transformer leurs modèles commerciaux pour rester compétitives, l’adoption rapide des technologies IoT crée une demande croissante d’infrastructure à clé publique au service de l’Internet des objets (PKI IoT). Les PKI fournissent des certificats numériques pour le nombre croissant d’appareils et les logiciels et micrologiciels qu’ils exécutent.

Les déploiements sécurisés de l’IoT nécessitent non seulement d’avoir l’assurance que les appareils sont authentiques et ce qu’ils prétendent être, mais aussi d’avoir l’assurance que les données qu’ils collectent sont réelles et non modifiées. Si l’on ne peut pas faire confiance aux appareils IoT ni aux données, il est inutile de collecter, d’exécuter des analyses et de prendre des décisions basées sur ces informations collectées.

L’adoption sécurisée de l’IoT doit s’effectuer dans les conditions suivantes :

  • Permettre l’authentification mutuelle entre les appareils connectés et les applications
  • Maintenir l’intégrité et la confidentialité des données collectées par les appareils
  • Assurer la légitimité et l’intégrité du logiciel téléchargé sur les appareils
  • Préserver la confidentialité des données sensibles à la lumière des réglementations de sécurité les plus strictes