Internet des objets de sécurité : 4 Problèmes et 4 solutions

Sur le site de SOGETILABS, Michael Pumper, senior consultant à SogetiLabs, présente quatre problèmes avec leur solution dans le domaine de l’Internet des Objets. « Si il y a un enseignement à tirer de tous ces exemples de piratage, c’est que la sécurité ne peut pas être conçue après coup ». Et l’expert se propose de présenter ce que l’on doit savoir avant de lancer un projet d’IdO.

Problème 1: L’IdO peut augmenter la surface d’attaque. Tout dispositif que vous ajoutez est un autre point d’entrée potentiel pour un pirate. Un pirate pourrait potentiellement compromettre / prendre le contrôle d’un de vos appareils, et pourrait tenter de l’utiliser pour accéder à vos systèmes.

La solution : utiliser une stratégie pessimiste de sécurité. Tous les appareils et les comptes de service doivent être configuré pour avoir le minimum d’autorisations possibles pour accomplir leurs tâches. N’autoriser les accès que pour ce qui est nécessaire.

Problème 2 : les dispositifs ne peuvent pas toujours être entreposés dans des installations sécurisées. Dans certains cas, vous devrez peut-être disposer d’un dispositif IdO pour surveiller quelque chose en dehors de vos bâtiments sécurisés. Comment prévenir l’altération physique ? Comment pouvez-vous empêcher quelqu’un de faire fonctionner vos appareils et brancher une clé USB pour installer des logiciels malveillants?

La solution : la surveillance, la traçabilité et la sécurité au niveau système d’exploitation. Toutes les actions que le dispositif prend peuvent être enregistrés. Disponibilité des dispositif, les temps d’arrêt, et le bon état généra devraient être surveillés. Les systèmes d’exploitation de l’appareil doivent être configurés pour un démarrage sécurisé, ce qui exigera de tous les logiciels qu’ils soient signé et validé lors du démarrage pour en assurer l’authenticité. Tout logiciel qui ne peut pas être validé ne doit pas être autorisé à fonctionner, ce qui empêchera les programmes malveillants d’agir.

Problème 3 : les dispositifs IdO sont autonomes – personne n’est là pour saisir les informations d’identification. Les dispositifs IdO pourraient être appelés à exécuter des commandes sur demande. Comme ils sont conçus pour être autonome et ne nécessite pas d’interaction de l’utilisateur, les appareils doivent décider si une commande doit effectivement être exécutée ou non.

La Solution : Traiter ces dispositifs comme s’il s’agissait d’utilisateurs externes. Tous les appareils devraient être tenus de se connecter à votre réseau, comme tout utilisateur externe – avec une méthode d’authentification qui peut prouver que le dispositif est qui / quoi il prétend être. Veillez à ne pas partager un seul compte pour tous vos appareils ; l’objectif est d’établir la responsabilité ou la traçabilité. Couplez cela avec une stratégie de sécurité pessimiste comme traitée ci-dessus.

Problème 4 : peu de normes existent dans l’IdO. Comme toute technologie émergente, de nombreux appareils et leur logiciel intégré utilisent leurs propres ports et protocoles. Comment traitez-vous avec toutes ces différentes approches dans votre mise en œuvre IdO de manière sécurisée ?

La solution : Utiliser les normes de fait, si possible, et ajouter de la sécurité au niveau de l’appareil. L’envoi de données d’un périphérique à votre infrastructure peut être fait en utilisant les normes qui ont émergé de l’orientation des services REST (par exemple). Pour les protocoles non standard ou des ports non standard, le logiciel lui-même est la seule chose qui sait vraiment comment détecter les paquets / données suspectes. Les dispositifs IdO ont besoin d’avoir leur propre couche de sécurité pour identifier et rejeter les demandes suspectes ou anormales. Le Pare-feu serveur-à-serveur seront nécessaires, mais un pare-feu sur l’appareil seront également un must.https://twitter.com/mike_pumper

La sécurité ne peut être une réflexion après coup. IdO est une technologie émergente, ce qui signifie la sécurité ne sera pas garantie avec les implémentations d’entreprise out-of-the-box. Rappelez-vous de considérer la sécurité dès le début du processus de lancement d’une mise en œuvre IdO, et toujours tenir compte de vos «What if? » Scénarios. Une technologie émergente n’a pas à vous effrayer, mais elle ne doit pas être stratégique.

Michael Pumper (@Mike_Pumper https://twitter.com/mike_pumper) est consultant senior chez SogetiLabs http://labs.sogeti.com/. Sogeti est une filiale en propriété exclusive de Capgemini.

Poster un commentaire

Classé dans International, Internet des Objets, Sécurité

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s