Comment gérer l’authentification des objets connectés et protéger les identités des machines
L’adoption des objets connectés industriels progresse rapidement. Mais elle ne va pas sans amener de nouveaux défis.
La demande mondiale d’objets connectés industriels (IIoT) augmente rapidement. L'importance de l'IIoT se reflète notamment dans les ressources que les grandes entreprises technologiques telles que Microsoft, Amazon et IBM consacrent au développement de plateformes IoT d'entreprise. Les analystes estiment que le marché des capteurs industriels pour la télésurveillance et le contrôle à distance – des systèmes d'usine au suivi des marchandises en passant par le chauffage et l'éclairage des bureaux – atteindra 21,6 milliards de dollars d'ici 2023.
L'année dernière, un jalon a été franchi, le nombre de systèmes connectés ayant dépassé celui des appareils mobiles pour la première fois. D'ici peu, la base installée de machines industrielles intelligentes dépassera le nombre de travailleurs à distance. Mais l’adoption de l’IIoT se fait plus vite que celle de normes de sécurité par conception, ou Security by design. Alors que les entreprises dépensent des milliards de dollars pour donner des noms d'utilisateur et des mots de passe à leurs employés afin de protéger leurs réseaux, elles ne font pas assez pour protéger l'identité des machines.
Protection de l'identité
Actuellement, il n'existe aucune norme industrielle reconnue que les fabricants de dispositifs IIoT doivent suivre – l’Etsi vient en fait tout juste de publier un standard en la matière, le TS 103 645… pour les objets connectés destinés au grand public.
En fait, de nombreux fabricants d'appareils ne voient pas l’intérêt d'intégrer un niveau élevé de sécurité. Un sondage McKinsey & Co./GSA montre ainsi que seuls 15 % des fabricants d'équipements intelligents pensent que les clients sont prêts à payer des prix plus élevés pour plus de sécurité intégrée.
Cela signifie que les clients doivent assumer la responsabilité de protéger leurs propres systèmes connectés. Et pour cela, la première priorité consiste à sécuriser l'identité de chaque machine. L'établissement d'une identité assurée est essentiel à la fiabilité des échanges de données entre les dispositifs IIoT, les applications cloud et mobiles, ou encore les points d’administration centralisés.
Dans une étude réalisée en 2018 par Forrester et Venafi, 80 % des décideurs IT ont avoué peiner avec la protection de l'identité des machines. Le marché mondial de la gestion des identités et des accès (IAM) représente plus de 8 Md$, mais l’essentiel de ce marché se concentre sur l'identité d’utilisateurs humains. Et, les entreprises ne dépensent pratiquement rien pour protéger les clés et les certificats que les machines utilisent pour s'identifier et s'authentifier.
Les cyber-délinquants le savent. Et ils peuvent même acheter une identité numérique au marché noir pour environ 1 200 $. De quoi leur permettre de se faire passer pour un autre appareil. En d'autres termes, les cybercriminels peuvent se cacher à la vue de tous.
Authentification par certificats
Pour gérer et protéger efficacement des identités de machines, les entreprises ont besoin d'avoir une vision détaillée de toutes celles-ci sur leurs réseaux. La plupart des entreprises disposent déjà de processus d'authentification solides et détaillés, au sein de leurs réseaux, tels que les Active Directory Certificate Services.
Les certificats sont utilisés à la place des mots de passe pour authentifier les appareils et assurer des échanges fiables, qu'il s'agisse de systèmes sur site, de travailleurs mobiles ou de serveurs cloud. Il est logique d'élargir la portée de ces services pour y intégrer l'authentification des systèmes IIoT.
En termes simples, un certificat est une assurance d'identité et d'autorisation utilisant une clé privée secrète validée par une clé publique connue. Contrairement aux mots de passe ou à d'autres méthodes basées sur des secrets partagés, les certificats ne peuvent être volés ou détournés par un imposteur.
Processus industriels sécurisés
Pour surveiller et gérer en toute sécurité les communications des systèmes IIoT distants authentifiés, il est essentiel de mettre en œuvre des réseaux privés virtuels (VPN). Un VPN moderne permet d’administrer à distance les éléments de sécurité IIoT tels que la confidentialité et l'authentification en temps réel et à grande échelle.
Un VPN peut aider à protéger la connexion IP de chaque machine IIoT en chiffrant toutes les communications transitant par Internet. Les connexions chiffrées permettent aux systèmes intelligents d'envoyer des données sur le Web tout en étant à l'abri de toute tierce partie extérieure qui pourrait vouloir surveiller ces activités en ligne – ou les altérer.
Les analystes prévoient des taux de croissance annuels moyens de plus de 15 % d'ici 2022. Les entreprises ont donc la responsabilité de mettre en place des mesures appropriées pour authentifier suffisamment les systèmes IIoT distants. Associés à des contrôles d'accès et à des mesures d'authentification certifiées, les VPN offrent une protection robuste contre les cybermenaces et les activités malicieuses.