Top 5 des défis de sécurité de l’Internet industriel des objets et moyens de les surmonter
Publié: 2023-09-04En 2010, une centrale nucléaire de Natanz, en Iran, a été victime du malware Stuxnet qui ciblait Simatic Step 7, un logiciel permettant de configurer et d'exploiter des automates programmables (PLC). L'attaque a permis aux pirates informatiques d'exploiter les unités CPL de l'usine et d'endommager près d'un millier de centrifugeuses d'enrichissement d'uranium, portant ainsi un coup dur au programme nucléaire du pays.
Dans le cas de l’Iran, ce n’était pas nécessairement une mauvaise chose ; nous ne voulons pas vraiment plus d’armes nucléaires, n’est-ce pas ? Mais imaginez si la même chose arrivait à votre usine ou à votre équipement valant plusieurs millions de dollars chacun, avec votre réputation en jeu. C'est toujours utile de relativiser, non ?
Ce à quoi nous voulons en venir ici est le suivant : votre entreprise ne peut pas se permettre de prendre la cybersécurité à la légère, en particulier si vous opérez dans des secteurs hautement compétitifs comme la fabrication et la gestion de la chaîne d'approvisionnement, et surtout si votre entreprise a exploité le développement de logiciels de l'Internet des objets - simplement comme l'ont fait 72 % de vos concurrents.
De la détection des anomalies dans les performances des équipements avant que les pannes ne surviennent à la surveillance des niveaux de stocks en temps réel à l'aide d'étiquettes RFID et de balises BLE, il existe de nombreuses applications et avantages IIoT passionnants à prendre en compte. Il existe autant de façons dont votre solution IIoT pourrait compromettre l’ensemble de votre infrastructure informatique, entraînant les conséquences suivantes :
- Machines endommagées
- Temps d'arrêt de production
- Accidents dans l'usine
- Violation de données
- Dommage à la réputation
- Pertes financières directes et indirectes causées par tout ce qui précède
Quels sont les principaux facteurs mettant en danger la sécurité de l’IIoT, et comment votre entreprise peut-elle prévoir et résoudre les problèmes de sécurité de l’IIoT avant qu’une catastrophe ne survienne ? Résolvons l'énigme ensemble !
Aperçu des failles et des défis de sécurité de l'IIoT
Par souci de clarté, définissons l'IIoT et ses composants technologiques avant de nous concentrer sur ses implications en matière de sécurité.
Le terme IIoT fait référence au réseau interconnecté de machines, de capteurs, de contrôleurs et de systèmes qui communiquent et échangent des données entre eux et avec des plates-formes centrales dans les environnements industriels.
De tels systèmes cyber-physiques combinent des éléments des équipements industriels traditionnels avec la connectivité, l'analyse des données et la visualisation des données. Les entreprises se tournent vers les consultants IIoT pour surveiller les opérations de fabrication et d'entrepôt et automatiser des processus uniques ou des flux de travail complets.
En coulisses, l'IIoT a la même architecture que toutes les autres solutions Internet des objets (IoT), bien que les déploiements Edge IoT où les données sont analysées plus près des capteurs ont tendance à prévaloir dans les environnements industriels. Les entreprises qui exploitent l'IIoT peuvent se procurer des équipements flambant neufs dotés de capteurs et prenant en charge la connectivité par défaut ou mettre à niveau des machines existantes à l'aide de kits de mise à niveau IIoT personnalisés et disponibles dans le commerce.
Du point de vue de la sécurité de l’IIoT, pourquoi est-il important de comprendre comment les systèmes IIoT fonctionnent en coulisses ? Les problèmes de sécurité IIoT peuvent se manifester à chaque niveau de votre système cyber-physique, des contrôleurs programmables aux applications héritées contenant des vulnérabilités non corrigées. Pour atténuer les risques de sécurité IIoT, votre entreprise doit donc protéger tous les points de terminaison de votre réseau filaire ou sans fil, sécuriser les données en transit et au repos et corriger les failles de sécurité dans les applications composant votre infrastructure informatique.
Sans plus tarder, examinons quels facteurs compromettent la sécurité des solutions IIoT et ce que vous pouvez faire pour protéger vos systèmes cyber-physiques de ces menaces.
Défi 1 : Communications non sécurisées
Les technologies de connectivité constituent l'épine dorsale de tous les systèmes IoT, quels que soient leur complexité et leur domaine d'application.
Dans les environnements industriels, à mesure que de plus en plus d'appareils et de capteurs sont mis en ligne, davantage de points finaux, de canaux de communication et de solutions de stockage de données émergent. Et cela nécessite un mélange très diversifié et, de préférence, équilibré de protocoles de données et de réseau qui répondent aux exigences spécifiques de sécurité de l’IIoT.
Actuellement, jusqu'à 98 % de tout le trafic IoT n'est pas crypté, ce qui signifie que les pirates peuvent facilement contourner la première ligne de défense (par exemple en apprenant l'identifiant et le mot de passe d'un utilisateur via une attaque de phishing) et mettre la main sur les données de votre entreprise.
Les mauvaises pratiques de chiffrement proviennent de l'utilisation de technologies de communication héritées, telles que Modbus, Profibus et DeviceNet. En fait, la plupart des anciens protocoles de communication IIoT manquent totalement de capacités de chiffrement des données, obligeant les développeurs IoT à rechercher des solutions de contournement, telles que la mise en œuvre de VPN et de tunnels ou de passerelles sécurisés et la résolution des problèmes de chiffrement au niveau de la sécurité SSL (Secure Sockets Layer)/Transport Layer ( TLS).
Solution
Pour sécuriser l'échange de données entre les composants d'une solution IIoT et ainsi éviter les accidents de sécurité IIoT, nous vous recommandons de mettre en œuvre une pile technologique de connectivité à toute épreuve comprenant les éléments suivants.
Protocoles de données fiables
Dans IIoT, les protocoles de données déterminent la manière dont les informations sont structurées, codées et interprétées par les appareils. Si votre entreprise opte pour un déploiement IIoT filaire, vous pouvez faciliter l'échange de données entre les équipements connectés et les passerelles via des protocoles Ethernet, tels que Profinet, EtherNet/IP et Modbus TCP/IP.
Bien que ces protocoles ne prennent pas automatiquement en charge le cryptage des données, vos développeurs IIoT peuvent toujours rendre les données illisibles pour les tiers en mettant en œuvre la pile technologique TLS/SSL au niveau de la couche de transport ou en introduisant des dispositifs intermédiaires, tels que des passerelles sécurisées ou des pare-feu, entre les appareils connectés et le réseau. Si vous recherchez un protocole de données plus flexible pour les solutions IIoT et d'automatisation industrielle, nous recommandons fortement le protocole OPC Unified Architecture (OPC UA), qui prend en charge le cryptage de bout en bout, utilise des certificats numériques X.509 pour l'authentification des appareils et peut être utilisé dans les solutions IIoT filaires et sans fil.
Lors de la création de systèmes IIoT sans fil, l'équipe ITRex s'en tient généralement au Message Queuing Telemetry Transport (MQTT), au Constrained Application Protocol (CoAP), au Advanced Message Queuing Protocol (AMQP), aux WebSockets ou aux API RESTful avec HTTPS. Ces protocoles modernes offrent des capacités de cryptage via TLS/SSL ou Datagram Transport Layer Security (DTLS) et aident à établir des canaux de communication sécurisés entre les équipements connectés, les passerelles et les serveurs cloud.
Pour plus d’informations sur les protocoles de données et leur impact sur la sécurité IIoT, réservez une consultation gratuite avec notre équipe R&D.
Protocoles de réseau sécurisés
Contrairement aux protocoles de données, qui traitent principalement de l'échange d'informations et de l'interopérabilité, les protocoles réseau définissent des règles, des normes et des procédures sur la manière dont les appareils sont connectés, dont les données sont transmises et dont les composants d'un système IIoT interagissent au sein d'un réseau.
Du point de vue de la sécurité de l’IIoT, les protocoles réseau peuvent constituer des cibles attractives pour les pirates. Les raisons en sont notamment des mécanismes limités de contrôle d’accès et d’authentification et un manque de capacités de cryptage des données. En fonction de votre architecture réseau (c'est-à-dire des modèles point à point, en étoile ou maillé) et des cas d'utilisation prévus, vous pouvez utiliser divers protocoles réseau pour relever les défis de sécurité de l'IIoT. Ces protocoles couvrent le service de distribution de données (DDS), le réseau étendu à faible consommation (LoRaWAN), Zigbee, WirelessHART et l'IoT à bande étroite (NB-IoT).
Pour sélectionner la pile technologique de connectivité appropriée répondant à tous vos besoins de sécurité IIoT, il est important de prendre en compte le type de système cyber-physique que vous souhaitez construire, la plage de transmission de données requise et les exigences de consommation d'énergie. Cela peut être fait pendant la phase de découverte de votre projet IoT.
Défi 2 : Pratiques de mise à jour logicielles inadéquates
Contrairement aux ordinateurs, aux tablettes et aux smartphones, les appareils IoT ne prennent pas en charge les systèmes de sécurité des points finaux, tels que les programmes antivirus, simplement parce qu'ils exécutent souvent des logiciels intégrés hautement personnalisés ou obsolètes ou sont spécifiquement conçus pour être petits et économes en énergie.
Bien que vous puissiez partiellement résoudre les problèmes de sécurité de l'IIoT en introduisant des pare-feu, la détection et la prévention des intrusions (IDP), ainsi que des mécanismes de contrôle des appareils au niveau du réseau, la mise à niveau des applications constituant votre écosystème logiciel IIoT vers la dernière version devient essentielle pour résoudre d'éventuels problèmes de sécurité IIoT. .
En parlant de logiciels IIoT, nous devons tracer la frontière entre les systèmes embarqués, tels que les micrologiciels, les middlewares et les systèmes d'exploitation (OS), et les logiciels ordinaires – pensez aux applications Web, de bureau et mobiles facilitant la gestion des appareils.
En raison des contraintes de conception des appareils IIoT et du grand nombre de points de terminaison au sein d'un système cyber-physique, la correction des vulnérabilités de sécurité des logiciels IIoT est une tâche que peu d'entreprises industrielles peuvent accomplir. C'est pourquoi jusqu'à 65 % des fabricants utilisent encore des systèmes d'exploitation obsolètes et présentant des vulnérabilités de sécurité Zero Day.
Solution
Pour atténuer les risques de cybersécurité de l’IIoT, une entreprise industrielle doit mettre en place un mécanisme efficace de gestion des mises à jour logicielles.
Chez ITRex, nous sommes de fervents défenseurs des mises à jour de logiciels et de micrologiciels par liaison radio (OTA). Dans ce scénario, une plate-forme basée sur le cloud optimisée par AWS IoT Device Management, Azure IoT Hub ou des solutions SaaS préconfigurées telles que Bosch IoT Rollouts fournit automatiquement des mises à jour logicielles aux appareils de périphérie, aux contrôleurs et aux passerelles.
Une plate-forme de gestion des appareils correctement configurée permettra également de mieux suivre votre flotte d'appareils, d'optimiser les déploiements de mises à jour à la lumière des paramètres et des exigences de sécurité spécifiques aux appareils, et d'informer votre équipe informatique en cas d'urgence.
Défi 3 : Mauvaises mesures de sécurité physique
Outre la sécurité des réseaux IIoT, une entreprise industrielle sensibilisée à la cybersécurité doit également empêcher les cybercriminels et les initiés malveillants de voler du matériel dans le but d'analyser l'intérieur des appareils et de les infester de virus et de programmes d'espionnage.
Des mesures de sécurité physique insuffisantes compromettent non seulement l'intégrité et la confidentialité des données sensibles, mais entraînent également des interruptions de service, des temps d'arrêt opérationnels et des pertes financières. Les répercussions des vulnérabilités en matière de sécurité physique peuvent s’étendre au-delà de leur impact immédiat, mettant potentiellement en danger la sécurité publique et les infrastructures critiques.
Solution
Pour résoudre les problèmes de sécurité physique dans l’IIoT, une approche multidimensionnelle est nécessaire. Voici ce que votre entreprise devrait faire dans le cadre de la refonte de la sécurité physique de l’IIoT.
Prioriser la mise en œuvre de mécanismes de contrôle d’accès robustes
Cela comprend des mesures telles que le contrôle d'accès basé sur les rôles (RBAC) aux équipements connectés, l'authentification biométrique et la vidéosurveillance basée sur la vision par ordinateur, ainsi que la mise en œuvre de systèmes de détection d'intrusion.
Effectuer régulièrement des audits de sécurité physique et des évaluations des risques
Les audits de sécurité IIoT aident à identifier les vulnérabilités dès le début. Ils aident également à développer des stratégies d’atténuation appropriées. Cette approche proactive permet aux organisations de garder une longueur d'avance sur les menaces potentielles et de prendre des mesures préventives pour protéger leurs systèmes IIoT. En pratique, cela signifie déconnecter du réseau les appareils présentant des preuves de falsification, masquer les marquages du fabricant sur les appareils et, si possible, supprimer les composants inutiles de la solution IIoT pour éviter les événements d'ingénierie inverse.
Mettre en œuvre des programmes complets de formation des employés
La sensibilisation aux risques de sécurité physique et aux meilleures pratiques est essentielle pour renforcer la cybersécurité de l’IIoT (nous y reviendrons plus tard). La collaboration entre les équipes informatiques et de sécurité physique est également vitale. Ce partenariat garantit une approche holistique de la sécurité, où les aspects numériques et physiques sont pris en compte et synchronisés pour fournir une protection solide contre les menaces de sécurité émergentes.
Défi 4 : visibilité limitée sur les appareils et l'activité réseau
Jusqu'à 90 % des organisations déclarent avoir des appareils Shadow IoT sur leur réseau, 44 % des personnes interrogées admettant que ces appareils étaient connectés à l'insu de leurs équipes de sécurité ou informatiques.
En conséquence, de nombreux employés de l’entreprise ne savent pas quels appareils communiquent entre eux, ni le type d’informations qu’ils collectent et échangent, ni si ces informations sont inaccessibles à des tiers. Et le fait que les audits de sécurité IIoT vont bien au-delà de l’identification des solutions matérielles par leur IP et leur système d’exploitation ne fait que compliquer les choses.
Solution
Vous pouvez suivre plusieurs étapes pour obtenir une visibilité sur les appareils et le réseau dans les déploiements IIoT.
- Analysez toutes les communications réseau à l’aide de solutions d’inspection approfondie des paquets (DPI).
- Collectez des informations exhaustives sur les appareils, notamment le type de matériel, le modèle, le numéro de série et les versions du système intégré.
- Regroupez vos appareils en fonction de leur type, de leur fonction, de leur caractère critique et des risques potentiels de sécurité IIoT.
- Créez des réseaux locaux virtuels (VLAN) pour chaque groupe de périphériques afin d'améliorer la visibilité et le contrôle du trafic.
- Utilisez des plateformes de gestion d'appareils fiables, telles qu'AWS IoT Core, Azure IoT Hub et PTC ThingWorks, pour améliorer les inventaires, la surveillance, la configuration, le déploiement des mises à jour et le dépannage des appareils.
Défi 5 : Formation insuffisante des employés et sensibilisation à la cybersécurité
Comme nous l'avons mentionné précédemment, un manque de collaboration et de coordination entre les équipes de technologie de l'information (TI) et de technologie opérationnelle (OT) peut entraîner de mauvaises pratiques de gestion de la sécurité IIoT.
Même si les opérateurs d'équipement et les directeurs d'usine peuvent s'occuper correctement des machines connectées, ils connaissent souvent peu les technologies embarquées et de connectivité qui les alimentent. Les équipes informatiques, au contraire, connaissent bien la sécurité des informations traditionnelle, mais ont tendance à traiter les solutions IIoT comme du matériel ordinaire.
Cela peut entraîner de faibles niveaux de correctifs, une visibilité limitée sur l'activité du réseau et des erreurs de configuration des systèmes IIoT. De plus, les cybercriminels peuvent exploiter les connaissances limitées de vos employés en matière de bonnes pratiques de sécurité IIoT par le biais d'attaques de phishing et d'usurpation d'identité. Votre équipe peut également choisir des mots de passe faibles ou réutiliser des mots de passe dans plusieurs applications, ce qui peut ouvrir une porte dérobée à votre infrastructure informatique et compromettre la sécurité des logiciels IIoT.
Solution
Voici un plan de haut niveau qui pourrait aider votre entreprise à sensibiliser ses employés à la cybersécurité.
Créer des programmes de formation spécifiquement adaptés à l'environnement IIoT
Ces programmes doivent couvrir des sujets tels que les principes fondamentaux de la cybersécurité, la sécurité des appareils IoT, les pratiques de configuration sécurisées, l'hygiène des mots de passe, la reconnaissance et le signalement des incidents de sécurité potentiels et le respect des politiques et procédures de sécurité internes.
Organisez des sessions de formation régulières pour garantir que les employés restent informés des dernières menaces de cybersécurité et des meilleures pratiques.
Cela peut être fait via des ateliers, des séminaires, des webinaires ou des modules de formation en ligne dans votre système de gestion de l'apprentissage (LMS). Dans le cadre des activités de formation, par exemple, vous pouvez apprendre à votre personnel à reconnaître et à répondre aux menaces de sécurité IIoT grâce à des simulations de phishing et à des tests d'intrusion. Vous devez également adapter les programmes de formation à des fonctions professionnelles spécifiques, en veillant à ce que les employés reçoivent la formation adaptée à leurs responsabilités. Par exemple, le personnel informatique peut avoir besoin d'une formation plus technique, tandis que les employés opérationnels peuvent avoir besoin d'une formation sur l'utilisation sécurisée des appareils et la sécurité physique.
Développer des politiques et des procédures complètes qui répondent aux défis de sécurité de l'IIoT
Communiquez efficacement ces politiques aux employés et assurez-vous qu’ils comprennent leurs rôles et responsabilités dans le maintien de la sécurité. Examinez et mettez régulièrement à jour ces politiques à mesure que la technologie et les menaces évoluent.
Promouvoir une culture de sensibilisation et de responsabilité à la sécurité IIoT dans toute votre organisation
Encouragez les employés à signaler rapidement tout incident de sécurité ou activité suspecte. Insistez sur le fait que la cybersécurité est la responsabilité de tous, de la haute direction au personnel de première ligne, et récompensez les employés qui font preuve de bonnes pratiques de sécurité.
Envisagez de vous associer à des experts ou consultants IIoT externes pour mener des évaluations de sécurité
Les experts externes peuvent apporter des informations précieuses, les meilleures pratiques du secteur et les dernières informations sur les menaces pour améliorer les programmes de formation des employés. De plus, ils peuvent vous aider à intégrer les pratiques dites de « sécurité dès la conception » dans le processus de développement de logiciels IIoT et à déterminer les exigences fonctionnelles et non fonctionnelles pour les déploiements IIoT.
Sur une note finale
Les taux d’adoption de l’IIoT ont grimpé en flèche ces dernières années, tout comme les attaques très médiatisées ciblant les infrastructures IIoT critiques.
Selon une enquête récente de Check Point, au cours des deux premiers mois de 2023, 54 % des entreprises ont subi des attaques liées à l'IoT, avec environ 60 attaques par semaine et par organisation (41 % de plus que l'année dernière). Parmi les appareils les plus vulnérables aux attaques de pirates informatiques figuraient les routeurs, les enregistreurs vidéo sur réseau et les caméras IP – en bref, le matériel qui constitue l'épine dorsale de l'infrastructure informatique de chaque entreprise.
Même si votre équipe informatique suit les meilleures pratiques de sécurité IIoT tout au long du processus de développement et de mise en œuvre, rien ne garantit que les pirates informatiques n'exerceront pas de contrôle sur votre équipement et vos données en exploitant les vulnérabilités des applications et des appareils en dehors de l'écosystème IIoT. C'est pourquoi votre entreprise a besoin d'une stratégie de sécurité globale — et c'est ce qu'ITREx peut faire pour vous !
Que vous envisagiez de lancer un projet pilote IIoT ou que vous ayez besoin d'aide pour étendre une preuve de concept (PoC) IIoT à d'autres cas d'utilisation, envoyez-nous un message ! Nous maîtrisons parfaitement l'analyse commerciale, l'ingénierie des systèmes embarqués, le cloud computing et le DevOps, ainsi que le développement d'applications pour les utilisateurs finaux.
Cet article a été initialement publié sur le site Web itrex.