skip to Main Content
IoT Security
Stratégies de sécurisation d’appareils non gérés

Avec des initiatives telles que l’Industrie 4.0 et le renforcement de la numérisation dans tous les domaines, notamment dans le secteur de la santé, nous sommes confrontés à un flot d’appareils qui ne peuvent pas être intégrés dans le processus normal de gestion des mises à jour. Ils représentent ainsi un risque important. Quelles sont les stratégies pour faire face à cette évolution?

Auteur: Martin Buck, Head of Competence Center Security chez BNC

La sécurité de l’IoT nécessite un plan

De nombreux fabricants sont en train de lancer de nouveaux produits qui promettent d’assurer la sécurité dans le vaste champ de l’IoT (Internet of Things). On y trouve de très bons outils pour prévenir le risque d’infection et de propagation de logiciels malveillants dans l’entreprise. Mais ce qui fait souvent défaut aujourd’hui, c’est la compréhension de l’usage de ces outils, non seulement pour protéger les technologies de l’information, mais aussi pour préserver l’exploitation et la valeur ajoutée de l’entreprise. L’objectif de productivité doit être une priorité si l’on veut qu’un projet de sécurité IoT réussisse.

De l’IoT, mot à la mode, à une valeur ajoutée concrète

Le terme IoT recouvre des équipements très divers qui, à première vue, n’ont rien à voir entre eux, comme un système de contrôle d’accès, un capteur de mesure, un appareil de radiographie, une imprimante ou une fraiseuse CNC. Ce qui est commun à tous ces appareils, c’est qu’ils sont équipés par le fabricant d’un système d’exploitation auquel l’usager final n’a pas ou peu d’accès et qui ne peut pas faire l’objet de mises à jour régulières (mensuelles) dans le processus normal de gestion des correctifs. Il peut y avoir différentes raisons à cela: des exigences rigides en matière de certification, l’expiration des périodes de support ou simplement la négligence du fabricant. En conséquence, il y a généralement d’importantes failles de sécurité dans ces appareils IoT. Pour que toute exploitation soit impossible, ces appareils sont souvent isolés dans leurs propres zones réseau et protégés par un firewall moderne avec Threat Prevention intégrée. L’objectif est de réduire le risque d’infection et de détecter et prévenir toute propagation par des contre-mesures appropriées. Mais c’est là une démarche à courte vue, car la chaîne de valeur ajoutée n’est pas prise en compte.

La route vers la planification

Il est pertinent de maintenir le fonctionnement de l’exploitation lors d’une attaque ou d’une infection de ces appareils IoT, peut-être de façon réduite, jusqu’à ce que le problème soit résolu. D’un point de vue informatique, les appareils similaires sont souvent placés dans la même zone, ce qui facilite l’application de la réglementation à ces groupes d’appareils. Par exemple, toutes les imprimantes sont regroupées dans une même zone et tous les appareils de radiographie le sont dans une autre. Mais quel impact cela aura-t-il sur votre exploitation si toutes les imprimantes sont arrêtées ou que toutes les fraiseuses CNC aient été infectées en même temps ?

Il est alors important d’utiliser les processus d’exploitation comme base de la segmentation et de ne pas se restreindre aux critères informatiques. Voici deux exemples pour illustrer un résultat possible :

Dans une entreprise industrielle, il est souvent plus logique de placer chaque ligne de production dans une zone à part afin de pouvoir continuer à produire sur les trois autres si l’on perd temporairement une ligne en cas d’incident.

Dans un hôpital, par exemple, ce sont les appareils de radiographie et IRM qui sont divisés en plusieurs groupes pour garantir un service de base de radiologie.

La compréhension des processus commerciaux et de leurs exigences en matière de disponibilité est donc déterminante pour le succès. Ceux-ci peuvent être intégrés dans un concept de zone approprié. Les règles de ces zones sont ensuite définies sur cette base. Les bonnes solutions IoT fournissent une aide active pour bien les établir.

La mise en œuvre avec les bons outils

Souvent, nous rencontrons chez nos clients un réseau où des équipements très divers sont utilisés de manière mixte. Et au fur et à mesure que la numérisation progresse, il y en a de plus en plus. Il est donc impossible, avec des moyens raisonnables, d’établir toutes les règles manuellement et de gérer chaque modification.

C’est là que se trouve la véritable valeur ajoutée des outils IoT, qui permettent de reconnaître automatiquement les types et les modèles d’appareils et d’assister l’administrateur grâce à des informations supplémentaires. Cela inclut :

  • Comportement de communication normal
  • Vulnérabilités connues
  • Propositions de groupement
  • Propositions automatisées pour l’établissement des règles
  • Alerte en cas de communication inhabituelle (comme indication d’intrusion)

Si les appareils sont encore correctement dotés par les spécialistes de balises sur l’emplacement et le groupe de disponibilité, il est possible de gérer de vastes règlements avec peu d’efforts manuels de la part de l’IT, et de réduire fortement le risque d’un arrêt de la production ou d’une fuite de données.

Ce qui est particulièrement important dans le choix d’un produit :

  • la bonne intégration de la solution IoT avec le firewall de zonage,
  • une pré-classification automatique des appareils encore inconnus du fournisseur, qui peut être complétée de façon autonome et
  • la détection proactive d’un comportement de communication inhabituel.

Grâce à cette approche, le service informatique de votre organisation peut contribuer de manière décisive à garantir la sécurité et la disponibilité de votre entreprise.

Martin Buck évolue sur le marché suisse depuis plus de 20 ans comme expert confirmé en sécurité informatique et travaille chez BNC Business Network Communications SA[1] en tant que head of Competence Center Security. Il conseille régulièrement les moyennes et grandes entreprises sur les questions d’architecture de sécurité informatique.

[1] https://www.bnc.ch/fr/security/

Back To Top
Rechercher