Avec des milliards d'appareils connectés, le site IoT commence vraiment à prendre de l'ampleur et à faire partie non seulement de notre vie quotidienne, mais aussi de nos entreprises. Mais alors que nous profitons des avantages du monde connecté, il est important de prendre en compte les conséquences d'éventuelles failles de sécurité.
Les exigences et les budgets varient selon les cas d'utilisation, ce qui signifie que certains déploiements sur IoT n'utilisent peut-être pas le matériel le plus performant - et le dispositif que vous utilisez peut avoir de réelles implications sur votre déploiement en termes de sécurité. Passons donc en revue quelques-uns des éléments auxquels vous devez penser lors de la conception de votre déploiement afin d'en assurer la sécurité.
Menaces de sécurité typiques pour les dispositifs déployés sur le site IoT
De nombreux déploiements sur le site IoT impliquent la distribution d'un grand nombre d'appareils bon marché en raison de contraintes budgétaires, ce qui signifie généralement des appareils dont la sécurité et le renforcement sont immatures ou insuffisants, ce qui entraîne à son tour des surfaces d'attaque associées.
Voici quelques exemples de menaces auxquelles vous pouvez être confronté avec ces types d'appareils:
- Une faille dans la sécurité d'un appareil déployé qui pourrait être utilisée par un attaquant pour accéder à l'appareil, au réseau d'appareils ou même au serveur d'application. Cet accès pourrait alors être exploité pour insérer des données erronées, extraire des données ou injecter des logiciels malveillants dans le système.
- Un appareil qui n'est pas physiquement sécurisé peut être volé par un pirate et transporté dans un endroit plus propice à l'organisation d'autres attaques.
- En utilisant la connectivité d'un appareil compromis, un attaquant pourrait émuler un appareil légitime pour accéder au réseau d'appareils ou au serveur d'application.
- Un dispositif ou un abonnement mal configuré qui pourrait être utilisé par un pirate pour accéder à des services qui ne devraient pas être disponibles dans l'application conçue.
Tous les cas d'utilisation ne disposent pas du budget nécessaire pour prendre en charge des appareils IoT dotés d'une sécurité renforcée, ou des appareils qui ont été testés et validés de manière approfondie par des organisations fiables. Et de nombreux déploiements s'appuient avec succès sur du matériel simple. Mais il est important de comprendre les conséquences qu'un manque de sécurité forte pourrait avoir sur le reste de votre solution pendant sa durée de vie.
Par exemple, un appareil simple et peu coûteux peut ne pas avoir de capacité de mise à jour du micrologiciel, et même si l'appareil a la capacité de mettre à jour le micrologiciel, vous devez vous demander si vous pouvez vous permettre de dépenser l'énergie de la batterie nécessaire pour effectuer les actions associées. Si une faille critique est découverte dans quelques années, comment les effets seront-ils gérés et atténués ? Il existe des solutions, mais la conception pour gérer de tels problèmes peut devoir être mise en œuvre dès le départ.
En outre, il est important de garder une trace des dispositifs déployés, notamment de leur emplacement et de leur état. Avec potentiellement des milliers de dispositifs déployés, il est difficile de suivre manuellement la disparition ou la réapparition d'un seul dispositif - et vous pouvez vous retrouver à chercher des réponses aux questions suivantes :
- Qu'est-ce qui a fait qu'un appareil a quitté le réseau ?
- S'est-il reconnecté à un autre endroit ?
- Y a-t-il eu d'autres changements pendant son absence ?
Tous ces éléments sont des signes d'altération qui pourraient être le point de départ d'une tentative d'intrusion dans le réseau et il existe des moyens d'atténuer ces types de menaces.
Nous recommandons d'utiliser une fonction quelconque pour authentifier l'appareil, qu'il s'agisse de certificats d'appareil ou d'une fonctionnalité intégrée dans votre plate-forme de gestion de la connectivité (CMP) utilisant les capacités d'authentification déjà présentes sur la carte SIM, de préférence encombinaison avec le suivi de la localisation de l'appareil et les déclencheurs de changement d'appareil (notification de changement d'IMEI).
Un pirate qui a un accès physique à un appareil peut accéder à la carte SIM. En utilisant la connectivité fournie par la carte SIM dans un autre appareil, le pirate peut avoir plus de possibilités de pénétrer dans le réseau. Le pirate peut également accéder à des services qui n'étaient pas destinés à être utilisés, mais qui sont restés activés dans l'abonnement.
Par exemple, lors du déploiement de plusieurs cas d'utilisation différents, les services vocaux et de données sont fournis sur tous les abonnements, mais en réalité la voix n'est utilisée que par quelques appareils dans un cas d'utilisation spécifique. Un pirate ayant accès à n'importe quelle carte SIM dans un tel déploiement pourrait potentiellement générer des appels vocaux coûteux ou causer d'autres préjudices financiers.
La principale mesure d'atténuation que nous proposons pour contrer ces menaces est le déclenchement du changement d'appareil et les règles d'automatisation associées dans le centre de contrôle Cisco IoT (notification de changement d'IMEI), qui peuvent automatiquement verrouiller l'abonnement et la carte SIM s'ils sont insérés dans un autre appareil. D'autres capacités d'atténuation comprennent le provisionnement de l'ensemble de services correct par API une fois qu'un appareil est déployé, et la surveillance continue de l'utilisation des services.
Autres menaces pour votre service IoT
En dehors des menaces liées aux appareils, l'une des menaces les plus inquiétantes pour un service IoT est l'attaque par déni de service. Si des éléments clés de l'infrastructure sont identifiés par un attaquant, une attaque par saturation peut être lancée, ce qui peut mettre l'ensemble de votre solution IoT complètement hors ligne. Cela devient possible lorsqu'une solution repose sur l'internet pour le transport des données. Même si les données sont acheminées et cryptées, les passerelles ont des interfaces avec l'internet et sont donc exposées à des attaques si elles sont identifiées.
L'atténuation de ces risques consiste à retirer le chemin de transmission de l'internet et à le placer dans un domaine privé. En utilisant une interconnexion privée, une interconnexion en nuage privée ou même une interconnexion privée virtuelle, un chemin séparé est fourni depuis l'appareil jusqu'au centre de données du client, où il ne transite jamais par un support partagé, ce qui rend de plus en plus difficile pour un attaquant de trouver des surfaces d'attaque pour des attaques par déni de service.
Il y a aussi la question de la segmentation des données et du réseau. L'utilisation d'une interconnexion privée vous permet d'inclure les appareils IoT sur le terrain dans leur propre intranet, en appliquant les mêmes principes de sécurité que les autres services informatiques du client, bien que ce ne soit pas toujours la configuration préférée.
Il existe peut-être des sous-ensembles d'appareils qu'il est préférable de garder à l'extérieur, et c'est là que la segmentation entre en jeu. En utilisant des APN privés, le client peut segmenter ses appareils en catégories de réseau ou même séparer les données en catégories de classification des données, chacune avec un adressage distinct et des points d'extrémité côté serveur .Lors de l'installation d'un nouveau client, nos gestionnaires de services examinent généralement la conception en détail, choisissant une configuration qui convient bien aux besoins et aux exigences du client en matière decas d'utilisation .
Systèmes en interaction
Tele2 IoT utilise Cisco IoT Control Center comme plateforme de gestion de la connectivité. IoT Control Center est très performant en termes de contrôle des abonnements, de surveillance et d'automatisation, et il est accompagné d'un vaste ensemble d'API pour le contrôle externe du côté des clients. Un client doit exiger que les autres systèmes qu'il achète prennent également en charge les API pour permettre aux systèmes de contrôle d'interagir les uns avec les autres.
Un exemple où ce type d'interactions entre en jeu est celui d'un appareil (appareil A) installé et activé sur le terrain, l'installateur sélectionnant le cas d'utilisation B en tant qu'activité désignée. La plateforme de gestion des appareils appellerait alors le CMP via une API pour demander que le profil de service associé au cas d'utilisation B soit fourni à l'appareil A. Le CMP pourrait alors informer l'application du client qu'elle peut s'attendre à ce que les données associées au cas d'utilisation B arrivent de l'abonnement C qu'elle a associé à l'appareil A via le lien associé à l'APN D.
Si la carte SIM est déplacée vers un autre appareil, la relation entre l'appareil A et l'abonnement C est rompue et le CMP peut prendre des mesures, en informant à la fois la gestion de l'appareil et l'application du client. Ces deux applications pourraient contenir une logique permettant de demander au CMP d'agir ou, si elles sont configurées localement dans le CMP, elles agiraient d'abord et informeraient ensuite les systèmes externes afin d'éviter d'autres implications en matière de sécurité.
Correctement planifié, conçu et configuré, un déploiement IoT est très sûr, même lorsque des contraintes d'utilisation, telles que le budget, imposent des choix de conception où la sécurité n'est pas au niveau qu'elle devrait être selon la politique.
Meilleures pratiques
- Gardez vos appareils sous contrôle :
- Où sont-ils, quand ont-ils été placés, seront-ils immobiles ou se déplaceront-ils, et comment sont-ils censés communiquer ?
- Pensez au cycle de vie de l'appareil, y compris à la maintenance du micrologiciel.
- Accès physique, mots de passe et disponibilité des services
- Contrôle automatisé de l'utilisation des services, changement de l'emplacement de l'appareil et changement de l'appareil, notifications d'identité.
- Segmentation des réseaux et des données, connexions privées pour une exposition réduite
- Permettre l'intégration des API entre les composants afin d'accroître les capacités de mise en œuvre de la politique de sécurité et d'action en cas de violation.
Si vous souhaitez en savoir plus sur la sécurité et la confidentialité des données et sur la manière de protéger au mieux votre solution IoT , n'hésitez pas à nous contacter.
Jonas Hallman
IoT Architecte
Tele2 IoT