Quelle stratégie pour faire face aux risques de sécurité dans les déploiements IIoT ?
Gérald Urbaniak, Allied Telesis

• Print
• Twitter
• Linkedin

Comment assurer la sécurité des objets connectés déployés par milliers dans les entreprises? Quelle stratégie adopter pour rester résilient face aux risques de sécurité induits par les déploiements massifs d’IoT? Voici quelques éléments de réponse…

Au cours des dernières années, l’IoT est devenu de plus en plus omniprésent. Près de 75 milliards d’appareils en réseau seront en ligne en 2025. L’IoT Industriel (IIoT), en particulier, pourrait ajouter 14 000 milliards de dollars à l’économie mondiale d’ici 2030. De nombreux secteurs s’appuient déjà sur des dispositifs IIoT tels que des compteurs intelligents, des alarmes et des capteurs pour des tâches essentielles comme l’automatisation, la surveillance et la maintenance prédictive des machines, le suivi des stocks ou encore la transformation des processus et des flux de travail.

Mais malgré son importance croissante, les organisations qui passent à l’IIoT ne peuvent pas se permettre d’ignorer ses problèmes de sécurité. Un réseau IIoT peut s’étendre sur plusieurs kilomètres et compter des centaines de milliers de points de données. Une faiblesse dans un appareil peut rendre tous les autres appareils du réseau vulnérables aux cyberattaques, augmenter le risque d’interruption des processus, de manipulation non autorisée, voire d’espionnage industriel.

Pour protéger les appareils et les réseaux IIoT, les entreprises doivent cesser de considérer la sécurité comme une réflexion secondaire. La sécurité par dissimulation n’est pas une solution adéquate ; le besoin immédiat est la sécurité par conception. Les entreprises qui passent à l’IIoT peuvent toutefois réduire les risques par plusieurs manières.

Choisir la bonne technologie

À mesure que les réseaux IIoT se développent, les entreprises industrielles doivent implanter de solides technologies de sécurité spécifiques à l’IoT. Mais d’abord, il faut clarifier des aspects importants comme :

• Les vecteurs de menaces critiques
• Les considérations en matière de réglementation et de conformité
• Le type de données collectées, en particulier si elles sont sensibles au temps et/ou essentielles pour l’entreprise
• Les facteurs externes susceptibles d’affecter la fiabilité de la transmission et la réception des données entre différents points.
• Le compromis acceptable entre les fonctionnalités, la facilité d’utilisation et la sécurité.

Sur la base de ces réponses, un certain nombre de technologies peuvent être identifiées et implémentées pour assurer la sécurité continue des déploiements IIoT, notamment :

• Le cryptage pour empêcher la compromission des données sensibles
• La sécurité du réseau et l’authentification des appareils pour sécuriser les déploiements entre les appareils, les équipements de périphérie et les systèmes back-and
• La gestion des accès et des identifications (IAM) pour sécuriser et gérer les relations entre les appareils et les utilisateurs
• L’analyse de la sécurité pour identifier et stopper les attaques ou intrusions potentielles susceptibles de contourner les contrôles de sécurité traditionnels

La sécurité : une priorité stratégique et non un problème technologique

La sécurité de l’IIoT doit être considérée comme une question stratégique qui nécessite des solutions pérennes et solides, plutôt que comme un problème technologique à résoudre avec des solutions ponctuelles. Pour cela, il est capital d’établir des indicateurs clés de performance (ICP) et de mettre en place des procédures et des pratiques pour les respecter. Un programme officiel de sécurité IIoT et un modèle d’excellence opérationnelle peuvent contribuer à la fois à la diminution des risques de sécurité et à l’amélioration des performances. Pour appliquer ce programme à l’ensemble de l’entreprise, il faut constituer une équipe de sécurité interfonctionnelle composée de la sécurité informatique, de l’ingénierie, des opérations et d’un fournisseur de systèmes de contrôle.

Les équipes devraient bénéficier d’une plus grande visibilité sur les opérations de sécurité IIoT et les technologies opérationnelles (OT) afin d’améliorer la sensibilisation aux menaces. Les organisations ont elles besoin de ressources compétentes en matière de cybersécurité IIoT pour procéder régulièrement à l’inventaire des équipements et gérer les compromis entre sécurité, confidentialité et fiabilité sans nuire à la continuité opérationnelle. Enfin, l’entreprise et ses équipes de sécurité doivent créer et employer l’automatisation, ainsi que l’ingénierie, la livraison et l’intégration continues pour assurer une protection cohérente.

Intégrer l’IIoT dans le cadre des risques de l’entreprise

Pour un réseau IIoT en pleine expansion, les entreprises doivent passer à la vitesse supérieure en matière de gestion des risques, en les gérant à tous les niveaux de l’entreprise. Les entreprises doivent identifier et établir le profil de tous les terminaux IoT, les surveiller régulièrement pour évaluer la vulnérabilité au risque.

Le déploiement des technologies et des appareils IIoT à un rythme plus rapide que leur sécurisation rend les organisations vulnérables à de nombreux dangers de cybersécurité. Ces risques peuvent avoir un impact sur la productivité et l’efficacité opérationnelles, la stabilité financière, et même la réputation de l’entreprise. Malheureusement, la plupart des organisations n’en sont qu’au premier stade de l’adoption des pratiques et des technologies de protection pour minimiser ces risques. L’IIoT connaîtra une croissance exponentielle au cours des prochaines années, il est donc essentiel que les entreprises considèrent sa sécurité comme une priorité absolue. Alors seulement, elles pourront réellement profiter de sa nouvelle puissance pour des cas d’utilisation critiques dans le monde réel.
__________________

Par Gérald Urbaniak, Directeur des ventes en France chez Allied Telesis