dormakaba
Actualités & Medias
Actualités & Medias

Contrôle d'accès sur le cloud - est-ce que c'est sûr ?

Bien qu’il existe chez nous sous une forme ou une autre et sous des noms différents depuis de nombreuses années, l’Internet des objets (IdO) est devenu tout à coup incontournable. La possibilité de se connecter, de communiquer avec et de gérer à distance un nombre incalculable d'appareils automatisés en réseau via Internet devient omniprésente, de l’usine à la salle d’opération, de l’hôpital au sous-sol résidentiel.

La transition de réseaux fermés aux réseaux informatiques d'entreprise en passant par l'Internet public s'accélère à une vitesse vertigineuse et suscite à juste titre des alarmes sur la sécurité. Alors que nous dépendons de plus en plus d'appareils intelligents et interconnectés dans tous les aspects de notre vie, comment pouvons-nous nous protéger potentiellement des milliards d'intrusions et d'interférences susceptibles de compromettre la vie privée ou de menacer la sécurité publique ?"

À la recherche de la solution miracle

Comme tous les acteurs concernés par l'IdO le savent bien, la sécurité est primordiale pour un fonctionnement sûr et fiable des appareils connectés à l'IdO et d'une plate-forme Web. C'est, en fait, le catalyseur fondamental de la solution.   

Là où il y a moins de consensus, c'est quelle est la meilleure façon d'implémenter la sécurité dans IdO au niveau de l'appareil, du réseau et du système. Les pare-feu et les protocoles réseau peuvent gérer le trafic de haut niveau sur Internet, mais comment protéger les appareils profondément intégrés qui ont généralement une mission très spécifique et définie, avec des ressources limitées pour l'effectuer ? Compte tenu de la nouveauté de l'IdO et du rythme des innovations, il semble exister un espoir général de voir émerger une solution de sécurité entièrement nouvelle et révolutionnaire, spécialement adaptée à l'IdO—que l'on puisse, d'une manière ou d'une autre, comprimer 25 années d'évolution de la sécurité dans le court délai dans lequel les appareils de la prochaine génération seront livrés sur le marché.

Malheureusement, il n'y a pas de solution miracle pour atténuer efficacement toutes les cybermenaces possibles. La bonne nouvelle, cependant, est que les contrôles de sécurité informatique éprouvés qui ont évolué au cours des 25 dernières années peuvent être tout aussi efficaces pour l'IdO, à condition que nous puissions les adapter aux contraintes uniques des appareils intégrés, qui comprendront de plus en plus de réseaux du futur.

Nouveaux défis, menaces et contraintes

Les appareils alimentés par batterie, sans ressources énergétiques locales, imposent de nombreuses restrictions au matériel et à la puissance de traitement de l'électronique basse consommation. Néanmoins, les composants déployés doivent pouvoir effectuer des calculs complexes pour atteindre le haut niveau de sécurité requis pour les appareils IdO traités via Internet public.

Le grand nombre d'applications actuelles de l'Internet des objets crée une grande diversité de défis en matière de sécurité. Par exemple, dans le domaine de dormakaba, un système de contrôle d'accès physique utilisant des appareils IdO doit être capable d'empêcher un cambrioleur d'accéder au journal de l'utilisateur, car cela permet d'analyser facilement les habitudes et le comportement de l'habitant, afin de connaître le "meilleur" moment pour s'introduire chez lui. Ou, dans un scénario encore pire, un malfaiteur qui prend le contrôle d'une porte physique peut être en mesure de l'ouvrir à distance. Cela signifie que la sécurité est encore plus importante lorsque ces appareils assurent la sécurité des éléments sensibles comme l'accès aux portes.

Renforcer la sécurité à partir de la base

Sécuriser les appareils IdO signifie bien plus que simplement s'assurer que la communication des données est établie et exécutée de manière sécurisée, en mettant en œuvre des mécanismes de pointe en matière de confidentialité, d'intégrité et de disponibilité des données. Cela commence par les directives et les procédures à mettre en place pour garantir les meilleures pratiques en matière de développement, de révision du code et de mécanisme de déploiement. Ensuite, l'ensemble du processus de production doit être revu et amélioré afin de réduire ou d'éliminer les vecteurs d'attaque potentiels susceptibles de porter atteinte à la sécurité de l'ensemble des infrastructures sur le site de production ; pendant la configuration et le processus de mise en service. De nombreux mécanismes et procédures sur la manière de mettre en œuvre un traitement sécurisé des informations relatives à la sécurité comme les certificats et les clés privées sont bien connus, mais le défi est de pouvoir suivre ces règles dans le processus de production réel, car elles ont un prix et augmentent la complexité.

Securité dans la conception

La sécurité commence dès la phase de conception et doit être traitée tout au long du cycle de vie d'une solution :

  • La sécurité n'est pas un ajout pour un appareil IdO. La sécurité doit faire partie intégrante de la conception et de l'architecture de base d'un appareil et de son point de connexion IdO.
  • Une révision constante du code, une expertise en matière de sécurité, des tests d'intrusion et d'autres procédures doivent être mis en place pour pouvoir faire face à la menace constante de mécanismes d'attaque en évolution et pour s'assurer qu'aucun nouveau développement ou modification du code existant ne crée des failles.
  • Mise à jour des appareils IdO à distance : la possibilité de résoudre les fuites de sécurité potentielles dans un code déployé nécessite des temps de réaction rapides en cas de violation détectée. Avec un nombre d'appareils de plusieurs milliers, la seule option viable est de pouvoir appliquer activement les mises à jour à distance vers le matériel final dans les plus brefs délais.
  • Processus de démarrage critique : Chaque fois qu'un appareil démarre après une coupure d'électricité, il est potentiellement exposé à des risques d'attaque qui ne seraient pas possibles pour les modes de fonctionnement normaux. Des mécanismes sécurisés doivent empêcher la détection de tout type de manipulation pouvant survenir lorsque l'appareil n'était pas sous tension ou hors ligne.
  • Tout accès aux ressources d'un appareil IdO doit passer par une couche de contrôle d'accès. Lors de la mise en œuvre, il est important de suivre des principes tels que la règle de moindre privilège. L'objectif doit être de limiter autant que possible les dommages éventuels causés par un appareil distant compromis aux ressources locales uniquement.
  • Lors de la configuration d'un canal de communication via l'IdO, la première étape consiste à transmettre une procédure d'authentification. Les appareils doivent donc conserver secrètement leurs identifiants d'utilisateur individuels pour pouvoir s'identifier auprès du partenaire de communication dans le cloud. En fait, l'authentification doit être mutuelle pour garantir la fiabilité des identités des deux partenaires de communication.
  • Toutes les informations d'identification de système d'exploitation de bas niveau utilisées par l'application sont automatiquement générées et fournies aux applications pendant le déploiement via un coffre-fort logiciel sécurisé. Aucune configuration pertinente pour le système d'exploitation local n'est nécessaire étant donné que le déploiement est effectué via un PaaS.
  • L'enregistrement des événements IdO a été limité à un stockage local minimal d'événements pertinents pour le système et l'entreprise. Les journaux système ne peuvent être consultés que par un administrateur via le cloud.
  • De plus, il est possible d'obtenir un accès local à des journaux système partiels. Cet accès est également sécurisé par un commutateur anti-sabotage situé sur le boîtier de l'appareil et par des identifiants de connexion.
  • Le processus d'approvisionnement de l'appareil est effectué dans un environnement de production sécurisé où les appareils sont configurés et les métadonnées de configuration, comme l'identificateur de l'appareil, sont téléchargées dans le cloud pour un appariement ultérieur des appareils. La clé de cryptage privée de l'appareil ne quitte jamais l'appareil ! 

Vous recherchez une solution qui combine tous ces aspects ?  https://dk.world/2IlBdoU