IoT La cybersécurité dans les médias : Pourquoi il n'y a pas que des mauvaises nouvelles

Si vous jouez un rôle dans la grande écosphère qu'est le site IoT d'aujourd'hui, vous avez vu les articles. Les routeurs cellulaires industriels sont en danger, annonce The Hacker News. Des vulnérabilités pourraient exposer des milliers d'entreprises industrielles à des attaques à distances'écrie SecurityWeek. Et plus récemment, SC Media s'est insurgé contre le fait que certaines vulnérabilités des routeurs présentent un risque de piratage pour les infrastructures critiques. IoT Les problèmes de cybersécurité sont suffisants pour empêcher les gestionnaires de réseaux de dormir et même pour freiner la croissance fulgurante de l'internet des objets.

Ne blâmez pas les médias. Ils ne font que leur travail. Cette prise de conscience contribue à briser un état d'esprit risqué et ancien selon lequel les atteintes à la cybersécurité IoT sont isolées ou rares. Aujourd'hui, aucune organisation déployant des dispositifs connectés ne peut se reposer sur l'idée que "cela ne nous arrivera pas". Nous devons reconnaître que cela peut arriver à n'importe quelle organisation, n'importe où dans le monde - même aux institutions financières, qui ont vraisemblablement mis en place les protocoles de cybersécurité et les cadres de conformité les plus récents.

Sur IoT et dans le domaine de la cybersécurité, il existe des mesures essentielles que chaque entreprise peut et doit mettre en place pour non seulement établir les bases d'une bonne hygiène de sécurité, mais aussi garantir que tous les appareils connectés relevant de la compétence de l'entreprise peuvent être mis à jour au fur et à mesure que de nouvelles vulnérabilités critiques sont mises en évidence.

Concepts clés de IoT Cybersécurité

Commençons par les grands principes de la cybersécurité sur le site IoT . Vous vous posez peut-être des questions : Qu'est-ce que la cybersécurité à l'adresse IoT, et quels en sont les exemples ?

Comme la plupart des gens le savent aujourd'hui, le IoT, ou Internet des objets, est un terme qui décrit le vaste univers des dispositifs connectés. Cela inclut les appareils domestiques intelligents et les bâtiments intelligents, ainsi que les appareils industriels, les technologies de transport et de ville intelligentes, etc. IoT La cybersécurité implique des stratégies et des pratiques visant à garantir que tous les appareils connectés et sans fil - y compris les routeurs, les passerelles, les modules de communication intégrés et tous les appareils qui intègrent ces technologies connectées - sont conçus ou programmés pour décourager les cyberattaques. 

Par exemple, si un routeur cellulaire déployé dans un bureau d'entreprise ou dans un bus ou un train en mouvement ne nécessite pas d'authentification pour recevoir des données extérieures, un "mauvais acteur" peut profiter de ce manque de sécurité pour envoyer des données qui modifient la fonctionnalité de l'appareil. 

Voici quelques concepts clés de la cybersécurité IoT qui peuvent aider les organisations à définir un plan de sécurité pour protéger leurs données d'entreprise :

• Tous les appareils connectés peuvent être piratés. En effet, un cybercriminel - ou même un opérateur interne qui commet une erreur - peut exploiter le fait que les appareils communiquent entre eux. Des mots de passe faibles, des vulnérabilités logicielles, l'absence de mises à jour, des tactiques d'ingénierie sociale telles que le phishing ou les escroqueries dans les médias sociaux, des connexions réseau non sécurisées, des configurations par défaut risquées, des logiciels malveillants et le manque de sensibilisation des utilisateurs à l'un ou l'autre de ces problèmes peuvent conduire à la compromission d'appareils connectés.
• En matière de cybersécurité, il n'y a pas de responsable unique ; il faut un village.. Tout au long de la chaîne, du fabricant à l'utilisateur final, chacun joue un rôle dans la sécurité des appareils.
  • Les fabricants doivent intégrer la sécurité dès le départ et prévoir des méthodes pour maintenir la sécurité pendant toute la durée de vie du produit.
  • Les administrateurs de réseau doivent établir et renforcer les pratiques de sécurité par l'authentification, l'accès adapté au rôle et les pratiques de mot de passe pour tous les utilisateurs.
  • Les utilisateurs finaux doivent se conformer à toutes les exigences en matière de cybersécurité et utiliser des mots de passe sécurisés.
  • Les entreprises doivent créer une guilde de la sécurité ou une équipe "devsecops" (Developer Security Operations) qui mobilise des ambassadeurs au sein de l'entreprise pour sensibiliser les utilisateurs à la sécurité de l'information.
  • Il est important de développer une mentalité de sécurité d'entreprise pour que les pratiques de sécurité soient plus proches du développement et des opérations, car il ne s'agit plus d'une équipe fonctionnelle unique.
• Les cybermenaces évoluent sans cesse et les mesures de sécurité doivent donc être flexibles. Les pirates sont créatifs et habiles, et de nouvelles menaces apparaissent constamment, ce qui signifie que vous devez disposer d'une méthode pour surveiller et gérer les appareils de manière proactive. Les fabricants d'appareils (OEM) et les gestionnaires de réseaux doivent concevoir et déployer des appareils capables d'être mis à jour à distance lorsque de nouvelles menaces sont identifiées.

Ressources de l'industrie pour soutenir IoT Cybersécurité 

La bonne nouvelle, c'est qu'il existe une vaste communauté d'experts en cybersécurité, ainsi qu'une multitude d'outils et de capacités disponibles pour aider les organisations à mettre en place les meilleures pratiques, à surveiller les violations et à réagir rapidement.

Il est important de comprendre les cadres de vulnérabilité et d'adversité tels que les CVE, les CWE, le cadre ATT&CK de MITRE et le TOP 10 d'OWASP. 

Les CVE (Common Vulnerabilities and Exposures), les CWE (Common Weakness Enumerations), le cadre ATTA&CK (Adversarial Tactics Techniques and Common Knowledge) de MITRE et le Top 10 de l'OWASP (Open Web Application Security Project) sont tous des cousins de la cybersécurité, mais ils servent des objectifs différents.

• Les CVE sont un dictionnaire dynamique, accessible au public, des vulnérabilités en matière de sécurité de l'information et des expositions du matériel ou des logiciels, géré par une organisation à but non lucratif, The MITRE Corporation. Il s'agit de risques connus auxquels chaque organisation peut et doit s'attaquer. Les CVE mettent en évidence les vulnérabilités connues des logiciels et des systèmes, exposant les faiblesses potentielles qui peuvent être exploitées par des acteurs malveillants. En les prenant au sérieux, on s'assure que des mesures proactives peuvent être prises pour atténuer ces vulnérabilités, réduisant ainsi le risque de cyberattaques et d'atteintes à la protection des données. En outre, les CVE facilitent le partage d'informations et la collaboration entre les professionnels de la sécurité, ce qui permet de développer des correctifs et des mises à jour efficaces. Ignorer les CVE peut avoir de graves conséquences, notamment des pertes financières, une atteinte à la réputation et une compromission de la vie privée et de la sécurité des personnes et des organisations.
• CWE est une liste de faiblesses logicielles communes établie par la communauté. Elle fournit une classification très complète des faiblesses de sécurité des logiciels qui permet d'identifier et d'atténuer les risques au cours du cycle de développement des logiciels.
• Le cadre ATT&CK de MITRE est une matrice de base de connaissances disponible à l'échelle internationale qui donne un aperçu des tactiques, techniques et procédures (TTP) utilisées par les attaquants ou les groupes de menaces persistantes avancées (APT) lors d'intrusions cybernétiques. Il fournit des orientations pour comprendre et catégoriser le comportement des adversaires afin de permettre aux organisations de tester et de se préparer à des voies d'attaque connues.
• Le Top 10 de l'OWASP est une liste évolutive des risques les plus critiques en matière de sécurité des applications web, tels que l'injection de code, le cross site scripting (xss) et l'authentification erronée, pour n'en citer que quelques-uns. L'OWASP Top 10 fournit des informations précieuses pour améliorer la posture de sécurité des applications web, comme un système de gestion à distance pour les IoT.

Ces cadres aident collectivement les organisations à comprendre, à hiérarchiser et à atténuer les risques et sont aujourd'hui intégrés dans de nombreuses technologies de sécurité.

 

Meilleures pratiques en matière de sécurité des appareils critiques IoT

Dans le paysage évolutif de la cybersécurité IoT , il peut sembler qu'il n'y ait aucun espoir de mettre en place des protections de sécurité adéquates. Après tout, les pirates informatiques continuent de déjouer les entreprises les plus intelligentes du monde, n'est-ce pas ?

Nous avons d'autres bonnes nouvelles. Il existe des mesures importantes en matière de cybersécurité, et ces pratiques transcendent la nature évolutive des cybermenaces.

1. Exiger une autorisation et des justificatifs d'identité pour l'accès à tous les appareils. Cette question a été soulevée dans l'un des articles de presse. Cette meilleure pratique devrait être mise en place systématiquement pour tous les appareils. Des justificatifs d'identité doivent être exigés pour l'accès à tout appareil sur un réseau et, surtout, ils ne doivent pas être fournis par défaut. Comme nous l'avons dit, la responsabilité de la cybersécurité incombe à chacun.
2. Adopter une approche de sécurité multicouche qui évite tout point de défaillance unique. Les mots de passe et l'authentification sont importants. Mais pour traiter les autres voies d'accès, les entreprises devraient déployer des appareils dotés de mesures de sécurité intégrées telles que le démarrage sécurisé, les ports protégés et la surveillance de la configuration. Il y a bien d'autres choses à discuter ici. Contactez-nous si vous souhaitez travailler avec un représentant Digi pour répondre aux besoins de votre organisation.
3. Déployer des dispositifs avec la possibilité de les mettre à jour de manière proactive tout au long de leur cycle de vie. Cette étape critique nécessite la capacité d'effectuer des mises à jour sécurisées en direct à mesure que de nouvelles CVE sont identifiées. Que vous déployiez des appareils avec des modules de connectivité intégrés (tels que des appareils médicaux, IoT wearables, des stations de recharge pour véhicules électriques ou des équipements agricoles) - ou que vous déployiez des routeurs et des passerelles cellulaires (tels que dans les systèmes de transit, la gestion du trafic, l'automatisation de la fabrication ou les réseaux d'entreprise), vous avez besoin de capacités de surveillance et de gestion à distance pour surveiller les menaces, remédier automatiquement aux menaces telles que les changements de configuration, et déployer des mises à jour régulières du micrologiciel. Là encore, les représentants de Digi peuvent vous aider à identifier la bonne approche
4. Mettre en place une sécurité physique des appareils. Les appareils pouvant accéder à l'infrastructure de l'entreprise doivent être conservés dans des armoires fermées à clé. Physique IoT La sécurité des appareils est essentielle pour les protéger contre les accès non autorisés et les manipulations. Des mesures de sécurité physique robustes, telles que des sceaux d'inviolabilité, des boîtiers sécurisés et des mécanismes d'authentification forts, permettent de prévenir les attaques physiques et les tentatives d'altération. La sécurité physique implique également la protection des appareils pendant le transport, le stockage et l'installation. En garantissant l'intégrité physique des dispositifs IoT , les organisations peuvent minimiser le risque de violation des données, préserver la confidentialité des informations sensibles et sauvegarder la fonctionnalité et la fiabilité globales de leur écosystème IoT .
5. Assurer une formation continue dans l'ensemble de l'organisation. Les êtres humains sont des créatures faillibles, ce qui signifie que toute personne sur la planète qui utilise des appareils connectés doit se voir rappeler périodiquement le rôle qu'elle joue dans la sécurisation des appareils.
   • Apprenez à vos équipes à identifier les menaces liées à l'ingénierie sociale.
   • Envoyez des rappels sur ce à quoi ressemblent les tentatives d'hameçonnage.
   • Rappelez aux employés qu'ils ne doivent pas laisser les visiteurs non badgés les suivre dans les bâtiments administratifs sécurisés.
6. Travailler avec un fournisseur de solutions globales qui intègre les meilleures pratiques en matière de sécurité ainsi que des services de surveillance et de gestion.. En d'autres termes, ne vous contentez pas d'acheter des appareils et de les déployer. Travaillez avec un fournisseur de solutions qui offre la possibilité de gérer les appareils de manière proactive. Cela peut englober quelques bonnes pratiques pour un développement sécurisé et des tests de production afin de garantir la confidentialité, l'intégrité et la disponibilité.
   • L'analyse statique, qui est une méthode utilisée dans le développement de logiciels pour examiner le code sans l'exécuter, permet de trouver des failles dans les variables et des vulnérabilités associées à la base de code.
   • L'analyse dynamique, qui est une méthode utilisée dans le développement de logiciels pour examiner le code en cours d'exécution lorsqu'il est exécuté et peut être menée pendant les tests ou la production pour découvrir des comportements inattendus qui conduisent à des vulnérabilités en matière de sécurité et à des comportements inattendus.
   • L'analyse des dépendances des sources ouvertes, qui est une méthode utilisée dans le développement de logiciels qui vérifie les bibliothèques et les composants des sources ouvertes utilisés dans le logiciel afin d'identifier les vulnérabilités en matière de sécurité comme les CVE et les CWE ou les problèmes de licence.
   • Les analyses d'infrastructure qui soutiennent votre développement logiciel, qu'il s'agisse de IaaS, de conteneurs ou de serveurs, afin de s'assurer que vos environnements de construction ne comportent aucun point d'entrée pour les logiciels malveillants ou les codes malveillants qui pourraient s'introduire dans les logiciels de construction des microprogrammes.
   • Les tests de pénétration sont une méthode d'évaluation de la sécurité d'un système, d'un réseau ou d'une application, menée en interne par le personnel chargé de la cybersécurité ou en externe par une société de tests de pénétration.
   • Bug Bounty est un fournisseur tiers qui prend en charge les tests continus d'un système, d'un réseau ou d'une application et qui récompense les chercheurs du Bugbounty pour leurs découvertes valables.
   • Les systèmes de gestion à distance qui peuvent contribuer à la mise en œuvre du FOTA (firmware over the air) afin de garantir que les appareils sur le terrain disposent d'un moyen de patcher une flotte pour rester au fait du cycle de vie des vulnérabilités.

Comment Digi soutient vos objectifs de cybersécurité IoT

Naturellement, nous partagerons ici notre histoire et ce qui différencie Digi en tant que fournisseur de solutions IoT . Digi développe des systèmes connectés depuis près de quarante ans, et nous avons mis en place de nombreux processus et équipes autour de l'intégration, de la surveillance et de la gestion de la cybersécurité.

Au premier plan de notre intégration de la sécurité se trouve Digi TrustFence®, un cadre de sécurité qui fournit de multiples points de sécurité dans nos appareils. Nos routeurs cellulaires, par exemple, intègrent ce cadre afin de garantir que ces appareils disposent d'une sécurité intégrée dès le départ, ainsi que de fonctions permettant d'intégrer davantage de sécurité au moment du déploiement et de l'utilisation finale.

Digi Remote Manager®, notre plateforme de surveillance et de gestion à distance, offre une surveillance, une gestion automatisée pour détecter et remédier aux changements de configuration non autorisés, et la possibilité de gérer et de mettre à jour à distance des dizaines, des centaines ou des milliers d'appareils en quelques clics.

Pour Digi ConnectCore®, notre écosystème de modules embarqués, d'outils et de services, nous proposons Digi ConnectCore Security Services pour la gestion de la sécurité tout au long du cycle de vie des produits déployés, ainsi que Digi ConnectCore Cloud Services pour la surveillance et la maintenance continues des appareils. De plus, nos appareils Digi XBee® intègrent depuis longtemps la possibilité d'effectuer des mises à jour du micrologiciel en direct.

En outre, Digi dispose d'une équipe devsecops chargée de surveiller les tendances du secteur de la sécurité et les vulnérabilités émergentes pour une gestion proactive de nos appareils et une communication transparente avec nos clients.

Bien que l'expression "une fois pour toutes" ne décrive pas une approche adéquate de la cybersécurité aujourd'hui, les organisations de l'écosphère IoT peuvent faire beaucoup pour établir des politiques et des procédures de sécurité rigoureuses et s'assurer qu'elles ont la capacité de maintenir les appareils de manière proactive pendant toute leur durée de vie. Digi peut vous aider !

Prochaines étapes

• Prêt à parler à un expert Digi ? Contactez nous
• Vous voulez en savoir plus sur Digi ? Inscrivez-vous à notre bulletin d'information
• Ou achetez maintenant des solutions Digi : Comment acheter