Internet Industriel des Objets IIOT : «Et la cybersécurité?» Meilleures pratiques pour le déploiement sécurisé des capteurs sans fil IIoT

La cybersécurité est une préoccupation constante pour à peu près toutes les organisations, et il peut être difficile de suivre l'évolution des menaces et des meilleures pratiques. Les réseaux de capteurs sans fil pour la surveillance des équipements et le contrôle d'accès peuvent aider les fabricants industriels, les fournisseurs de services alimentaires et d'autres entreprises à travailler de manière plus efficace et plus sûre, mais ces appareils IoT doivent également se conformer aux meilleures pratiques de sécurité.

Voici quelques-unes des questions les plus courantes que j'entends sur la sécurisation des systèmes de capteurs IIoT et les pratiques de sécurité recommandées par mon organisation, en plus des étapes de sécurité de base telles que l'exigence de mots de passe utilisateur forts et uniques et la mise en place de garanties sur les modifications des informations de contact des utilisateurs.

Qu'en est-il de la sécurité matérielle?

Chaque système de capteur sans fil comporte des éléments matériels qui doivent être sécurisés. Les capteurs eux-mêmes et la passerelle sur site qui reçoit leurs données doivent être liés de manière sécurisée et exclusive pour éviter les interférences d'autres systèmes à proximité et pour empêcher les écoutes délibérées ou l'accès au réseau par des personnes sans autorisation. La plupart d'entre nous connaissent ce concept depuis nos réseaux de données sans fil à la maison.

Le principe ici est le même. Par exemple, un ensemble de capteurs de vibrations sans fil attachés à un équipement de ligne de production ne devrait pouvoir communiquer qu'avec la passerelle à laquelle ils sont connectés numériquement, et non avec la passerelle de l'usine de l'autre côté de la rue. De plus, la passerelle doit refuser de se connecter à des capteurs connectés à une autre passerelle, même si les capteurs sont à portée.

Qu'en est-il de l'interception de données?

Au fur et à mesure que les données transitent des capteurs vers la passerelle, la passerelle les transmet périodiquement au cloud. Cette transmission pourrait être vulnérable aux attaques si:
Une passerelle sécurisée sera configurée pour refuser les demandes de connexion entrantes provenant d'appareils extérieurs à son réseau de capteurs. La passerelle doit également être conçue pour fonctionner au sein du réseau pare-feu du client, avec la possibilité d'atteindre via un port spécifique l'adresse IP externe à laquelle il enverra ses données.

Pour éviter les écoutes clandestines et les attaques d'intermédiaire, chaque transmission de données du réseau de capteurs de la passerelle vers le cloud doit être chiffrée et envoyée via une connexion sécurisée. Par exemple, la norme de chiffrement avancé (AES) utilisée par le gouvernement et l'industrie est efficace pour protéger les transmissions de données IIoT envoyées via Secure Sockets Layer (SSL).

D'autres appareils peuvent-ils contacter le nuage de données du capteur?

Idéalement, non. L'accès au cloud pour les données des capteurs IoT sans fil ne doit être accordé qu'aux passerelles enregistrées du client. Le cloud devrait rejeter les demandes de connexion de tout le reste. Ces mesures peuvent empêcher d'autres appareils de communiquer avec le cloud et potentiellement d'extraire des données sensibles ou propriétaires ou de les corrompre.

Qu'en est-il de l'accès via des applications tierces?

Un système de capteurs IIoT bien conçu aura un tableau de bord sécurisé qui connecte les utilisateurs à leurs données dans le cloud. Cependant, les API sont indispensables pour les clients qui ont besoin de créer des applications personnalisées pour travailler avec les données cloud de leurs réseaux de capteurs.

Le fournisseur de réseau doit disposer d'une API approuvée que les clients peuvent utiliser pour la personnalisation, et cette API doit suivre la norme REST pour la gestion de la sécurité des points de terminaison. Les clients utilisant l'API doivent également recevoir une clé API unique et sécurisée à utiliser conjointement avec un nom d'utilisateur et un mot de passe valides pour accéder aux données du compte.

La protection de la sécurité ne doit pas s'arrêter là: le serveur cloud doit alors envoyer à l'utilisateur un jeton d'autorisation à durée limitée à utiliser dans les demandes de données. Cela peut empêcher l'accès continu aux données du réseau dans le cas peu probable où les informations d'identification de l'utilisateur et la clé API seraient ultérieurement compromises.

Qu'en est-il du contrôle d'accès?

La protection de l'accès aux données dans le cloud est devenue un problème majeur cette année, car de nombreuses entreprises sont passées au travail à distance et ont dû étendre considérablement l'accès à distance pour leurs employés. Dans le même temps, le pourcentage de violations de données impliquant des initiés (intentionnelles ou accidentelles) augmente depuis 2015 et représente désormais environ 1/3 de toutes les violations.

Alors que les employés ont besoin d'accéder à certaines des données clients, produits, juridiques ou financières de leur entreprise pour faire leur travail, peu de gens ont besoin d'y accéder. La limitation de l'accès par rôle d'employé ou par hiérarchie d'informations peut protéger les organisations contre une exposition accidentelle et intentionnelle de données.

Le même principe s'applique aux données du réseau de capteurs IoT d'une entreprise. Par exemple, les directeurs de quart peuvent avoir besoin d'accéder aux données d'exploitation, d'efficacité et de sécurité de l'équipement que leurs employés utilisent pendant leur quart de travail, pour voir comment leur équipe fonctionne et où ils peuvent s'améliorer. Cependant, ces responsables n’ont probablement pas besoin d’accéder à l’ensemble des données de l’usine, ni aux analyses qui montrent comment la productivité et l’efficacité évoluent dans l’ensemble de l’entreprise.

Un système IoT bien planifié permettra aux clients de contrôler l'accès aux données en fonction des rôles. En règle générale, ces rôles accordent différents niveaux d'accès, notamment:

L'accès peut également être accordé par hiérarchie s'il existe des sous-comptes configurés pour les données dans différents départements, filiales ou divisions. Dans ce cas, seuls les utilisateurs ayant accès à plusieurs comptes peuvent afficher les sous-comptes, et uniquement au niveau autorisé par leur rôle d'accès. Le client peut accorder, modifier ou retirer les privilèges d'accès des utilisateurs à tout moment.

Ce ne sont pas les seuls éléments qui entrent dans un système de capteurs IoT sécurisé, bien sûr. La maintenance du serveur cloud et les mises à jour de sécurité, le salage et le hachage des mots de passe utilisateur stockés dans le cloud, ainsi que la mise sur liste noire et la désactivation des passerelles qui ne sont plus utilisées sont également essentiels pour assurer la sécurité des réseaux de capteurs sans fil.

Les pratiques couvertes ici sont une bonne liste de contrôle de base pour les organisations qui souhaitent les gains d'efficacité, de productivité et de sécurité qu'un système de capteurs IIoT peut offrir, ainsi que la tranquillité d'esprit qui découle d'une sécurité complète.

Laisser un commentaire