L’identité, au cœur de l’Internet des objets
L’Internet des objets ne va pas nécessairement générer de nouvelles menaces. Mais selon David Mount, directeur conseil solutions chez NetIQ, il va amplifier celles qui existent déjà.
L’Internet des objets ne va pas nécessairement générer de nouvelles menaces. Mais selon David Mount, directeur conseil solutions chez NetIQ, il va amplifier celles qui existent déjà. Pour faire face à cette explosion des surfaces d’attaque, les entreprises vont devoir se concentrer sur l’identité estime-t-il.
Alors que l’Internet des objets devrait probablement apporter de nombreux bénéfices, comme une meilleure gestion du trafic dans les agglomérations, il a également sa face obscure : « nous devons penser à la manière dont nous pouvons contrôler nos données une fois qu’elles sont collectées afin de répondre aux inquiétudes relatives à leur stockage et à qui peut y accéder et les utiliser ».« Nous ne pouvons pas laisser cette questions aux seuls constructeurs parce qu’ils se concentrent sur la simplicité d’utilisation, la connectivité et l’échange de données. Et certains peuvent même penser à le faire au détriment de la sécurité », juge-t-il.
Selon Mount, il doit également y avoir des garanties pour empêcher que des tiers non autorisés n’accèdent aux communications des objets connectés pour voler ou manipuler des données.
« Les chercheurs ont monté qu’au moins un appareil de suivi de forme physique est vulnérable, et bien que ces données paraissent anodines, cela pourrait être utilisé pour accéder à des données bien plus sensibles par ingénierie sociale », relève-t-il.
L’identité, un point clé pour réduire le risque
Pour Mount, l’identité est essentielle afin de gérer le risque de millions d’objets connectés capables d’accéder à trop d’information : « l’identité est une chose qui reste sous le contrôle des organisations et des individus et qui peut aider à trouver un équilibre entre les besoins des utilisateurs et ceux des gestionnaires du risque ».
Les attaques sont inévitables. Dès lors, il est nécessaire de travailler à limiter leurs effets. Et la clé se trouve dans la gestion des identités et des accès, selon Mount : « nous devons limiter les droits d’accès des individus et des objets au minimum afin de s’assurer qu’ils sont appropriés. Puis, nous devons appliquer un contrôle d’accès et surveiller l’activité des utilisateurs afin de garantir qu’elle est appropriée et normale ».
Mais pour Mount, la réponse ne tient pas à plus de données car il existe déjà trop d’outils générant trop de données : « dans l’incident Target, les signes étaient là, mais il était difficile de comprendre et de pointer ce que se passait précisément en raison du seul volume de données. Lorsqu’il y a trop de bruit, il n’y a pas assez d’information ».
Le contexte, essentiel pour la sécurité
Dès lors, selon lui, la sécurité a besoin de contexte. Ce qui signifie que sécurité et identité ne peuvent plus être traités en silos dans les organisations : « la clé pour apporter un contexte est l’identité. Il s’agit de vérifier que les acteurs sont bien ceux qu’ils prétendent être, d’observer comment ils utilisent leurs droits, et d’évaluer si ces usages sont normaux et appropriés ».
Et d’ajouter qu’en construisant l’Internet des objets, il est essentiel d’adopter une réflexion centrée sur l’identité pour assurer un niveau de contrôle pertinent : « avec l’Internet du tout, nous avons besoin d’une identité du tout pour être capables de modéliser le comportement des objets, de le suivre, et enfin de décider s’il est normal ou pas ».
Ansin, pour Moint, ce n’est qu’en établissant une identité de tout qu’il sera possible de gérer la manière dont les individus et les objets interagissent : « et cela deviendra de plus en plus important à mesure que l’on passera de trois ou quatre objets chacun à 20 ou 30 objets qui veulent se connecter et échanger des données ».
Pour les professionnels de la sécurité, cela se traduit par le besoin de comprendre les identités stockées au sein de leurs organisations et d’examiner comment ces informations sont actuellement utilisées : « ils devraient chercher des moyens d’intégrer le contexte de l’identité afin de pouvoir commencer à comprendre le comportement des choses au sein de leur organisation et comment elles vont interagir ».
Pour Mount, les RSSI devraient également construire un framework capable de gérer des informations sur les identités plus sophistiquées, et surtout de supporter des échelles très importantes : « nous avons besoin d’un framework des identités extensible capable de prendre en compte les personnes, les produits, et les appareils pour accompagner l’Internet des objets ».
Adapté de l’anglais.