« Zero Trust » : Des identités de confiance pour l’IoT et l’IIoT
Le 06/11/2023
Cet article est proposé par IN Groupe, exposant 2023
La connectivité constitue l’élément central dans le monde de l’IoT (Internet of Things), de l’IIoT (Industrial Internet of Things) et de l’automatisation industrielle. Ces technologies ont pour but de connecter divers appareils, comme par exemple, des capteurs ou des actionneurs, à internet ou à des réseaux industriels, facilitant les cas d’usage, allant de la gestion de flotte à la maintenance prédictive en passant par l’automatisation dans le cas de la production. Toutefois, cette connectivité doit s’accompagner d’une vigilance sur la cybersécurité.
À mesure que ces dispositifs se connectent à des réseaux, ils peuvent devenir vulnérables aux cybermenaces. Même les réseaux de technologie d’exploitation (OT), initialement conçus à des fins industrielles, ne sont pas intrinsèquement sécurisés lorsqu’ils sont connectés à des environnements informatiques ouverts ou à des réseaux sans fil. Cette vulnérabilité ouvre la porte à toute une série d’attaques potentielles, notamment l’écoute des communications réseau, l’usurpation d’identité dans le cas des capteurs ou des contrôleurs et le détournement d’appareils réseau.
Pourquoi il est important d’adopter une politique Zero Trust ?
L’origine de ce problème de sécurité réside dans la difficulté de distinguer les appareils autorisés, de ceux non autorisés ou des logiciels malveillants. Les mesures traditionnelles de sécurité des réseaux ne parviennent pas à garantir l’authenticité et l’intégrité des données dans cet écosystème interconnecté.
C’est là qu’intervient le « Zero trust », une politique qui gagne en popularité dans les milieux industriels. En substance, la politique « Zero Trust », implique que les données reçues soient considérées comme sûre qu’après vérification de l’identité du demandeur, des autorisations accordées et de l’intégrité des données.
À lire également : La stratégie de confiance zéro est-elle la réponse aux préoccupations croissantes en matière de sécurité ?
Ce processus d’identification implique la vérification de l’identité prétendue du terminal en question à l’aide de techniques cryptographiques : soit à partir de tokens à utiliser avec un système de clés symétriques, soit à partir de certificats numériques générés par une infrastructure à clé publique (PKI).
Fournir des identités sécurisées pour les appareils
La question est donc de savoir comment délivrer des identités vérifiables et infalsifiables aux appareils IoT. L’attribution d’identités à des appareils sur un réseau non fiable après leur déploiement est un exercice qui va à l’encontre du but recherché, car la sécurité de leur attribution ne peut pas être garantie dans ce cas. Au lieu de cela, un opérateur peut attribuer des identités manuellement via une méthode de « gestion hors bande ». Mais dans un environnement comprenant des milliards d’appareils connectés, l’extensibilité de cette méthode peut être remise en question.
Compte tenu de ces scénarios, ces identités doivent être déployés lors de leur fabrication, lorsque l’appareil se trouve dans un environnement fiable et sécurisé ou lorsqu’il dispose d’une connexion câblée directe (et donc sécurisée) à l’équipement de programmation. Cet identifiant initial, ou certificat d’usine, peut ensuite être utilisé durant toute la vie de l’appareil afin d’authentifier en toute sécurité les transactions.
À lire également : Securing the manufacturing process of IoT devices
PKI – le meilleur moyen de créer un réseau de confiance
La PKI élimine la nécessité d’échanger ou de distribuer des clés secrètes à l’aide de paires de clés privées-publiques et simplifie considérablement la gestion de la sécurité. Le certificat initial de l’appareil est généré et attribué durant la fabrication, via un identifiant d’usine. Cet identifiant (ou certificat d’usine) garantit que l’appareil peut s’identifier et s’authentifier et ainsi faire partie de l’environnement réseau opérationnel.
Par la suite, l’opérateur peut ajouter un identifiant d’exploitation afin que l’appareil soit reconnu et dispose de droits d’accès et autorisations. L’identifiant d’usine facilite le déploiement à distance de l’identifiant d’exploitation, même sur des réseaux non fiables.
Téléchargez notre livre blanc pour comprendre comment la PKI peut vous aider à établir une politique Zero Trust.
Le livre blanc est rédigé par Nexus, filiale de IN Groupe, pionnier et leader en PKI et en cryptographie.
Nexus propose des solutions PKI permettant le déploiement des autorités de certification d’usine et d’exploitation, facilitant le déploiement et la gestion des identités sécurisées pour assurer le cycle de vie complet des objets fabriqués. Que vous ayez besoin d’une AC d’usine gérée localement ou d’une AC d’exploitation déployée en mode Cloud, Nexus propose des produits et des solutions adaptées à vos besoins spécifiques.