Acquisition d'une technologie IoT sécurisée pour les entreprises
Tous les routeurs, imprimantes ou autres appareils intelligents ne sont pas sécurisés - une grande partie de la technologie IoT met l'ensemble de l'informatique en danger.
Il convient d'être prudent lors de l'acquisition de dispositifs IoT, c'est-à-dire de dispositifs intégrés à un réseau informatique. Dans des échantillons aléatoires, plus de 50 % des appareils testés présentaient des vulnérabilités flagrantes qui permettraient à un pirate d'attaquer l'ensemble d'une infrastructure informatique. "Les entreprises font entrer une boîte noire imprévisible dans leur propre maison avec des imprimantes, des routeurs, des caméras de sécurité ou des solutions d'éclairage intelligentes. Les pirates informatiques connaissent les vulnérabilités et peuvent facilement accéder à des informations sensibles. Par conséquent, lors de l'acquisition de ces appareils, il est important de s'assurer qu'il existe des spécifications de sécurité et que celles-ci sont également vérifiées", explique Florian Lukavsky, PDG et fondateur d'IoT Inspector.
Ces problèmes potentiels sont souvent dissimulés dans les produits des fournisseurs : En moyenne, chaque appareil contient des composants logiciels provenant de plus de dix fabricants différents, appelés producteurs OEM. Les experts en sécurité d'IoT Inspector fournissent une ligne directrice sous la forme d'une liste de contrôle.
Liste de contrôle pour l'acquisition sécurisée de dispositifs IoT
Pour obtenir une protection de base adéquate de l'infrastructure IoT au sein de l'entreprise, les mesures suivantes sont recommandées :
- Tout d'abord, une évaluation des besoins en matière de protection et une analyse des menaces doivent avoir lieu afin d'établir des directives claires pour la sécurité de l'IdO.
- Définition d'exigences techniques concrètes en matière de sécurité pour les marchés publics. Elles sont consignées dans une spécification de sécurité et doivent être mises en œuvre de manière vérifiable par le fabricant. Les spécifications internationales, telles que l'ISA/IEC 62443 ou l'ETSI 303 645, fournissent une orientation à cet égard. En outre, il existe des plateformes d'approvisionnement axées sur la sécurité, telles que "IT - Acheter en toute sécurité", dont on peut tirer des textes concrets sur les marchés publics.
- Contrôle de la fiabilité et de la diligence du fabricant dans le cadre du développement de matériel et de logiciels. Les modèles de maturité établis, tels que OWASP SAMM ou BSIMM, servent d'orientation. Le fabricant doit prouver qu'il met en œuvre le niveau de maturité requis - en fonction des besoins de protection du dispositif - pour toutes les activités de développement.
- Réalisation de tests de sécurité automatisés du micrologiciel de l'unité, tant lors de la réception qu'à intervalles fixes, afin de détecter toute nouvelle vulnérabilité introduite par les mises à jour du micrologiciel.
- Il est recommandé de procéder à des audits de type "boîte blanche" basés sur les guides de test de l'OWASP IoT.
- Demander au fabricant l'assurance écrite que toutes les exigences de sécurité définies ont été respectées.
- Examen de la documentation relative à la sécurité créée pendant le développement du logiciel (par exemple, documentation sur l'architecture de sécurité, analyses du flux de données, résultats des tests de sécurité internes du fabricant).
- Si un dispositif IoT accède à des informations confidentielles ou est utilisé dans des zones particulièrement vulnérables, il convient de procéder à un examen complet du code source de sécurité du micrologiciel, ainsi qu'à un examen de la sécurité physique du dispositif IoT lui-même, en se concentrant sur les portes dérobées cachées dans le logiciel et le matériel.
Pour les parties intéressées, IoT Inspector offre un livre blanc téléchargement.
Autres sujets :
Suissedigital étend son contrôle de cybersécurité
