Opinions
Sécuriser les systèmes et logiciels embarqués dans l’Internet des objets
Par La rédaction, publié le 18 novembre 2014
L’Internet des objets utilise les formats des systèmes et logiciels embarqués pour fournir les technologies nécessaires à l’économie numérique. À mesure que des millions d’appareils commenceront à pénétrer sur les réseaux d’entreprise, les pratiques de sécurité devront être adaptées. Des facteurs majeurs transforment le marché des semi-conducteurs pour les systèmes et logiciels embarqués, notamment des impératifs fonctionnels accrus sur les puces nécessitant une conception moderne des systèmes sur puce (SOC, System on chip).
La sécurité des systèmes et logiciels embarqués présente des implications de grande ampleur pour la croissance future de l’Internet des objets, ainsi que pour l’automatisation et le contrôle industriels. Bien que les facteurs de croissance conduisent les systèmes et logiciels embarqués à être plus flexibles et à fournir plus de fonctions, leurs formats limitent leurs possibilités en termes de puissance de traitement, de capacité, de communications et de sécurité. Les mises à jour correctives et l’obtention d’alertes de sécurité de la part des acteurs de l’embarqué ne sont aujourd’hui pas standard. De nombreux systèmes d’exploitation intégrés dans ces appareils employés aux domiciles des consommateurs ou dans leurs véhicules s’appuient sur des versions trop anciennes. Les failles présentes dans ces pilotes, dont le code source est le plus souvent ouvert, sont d’ores et déjà exploitées. Les responsables de la sécurité dans la nouvelle ère de l’économie numérique doivent donc prendre rapidement des mesures pour inclure dans leurs plans des considérations relatives à la sécurité des systèmes et logiciels embarqués.
ANALYSER LA SÉCURITÉ DES SYSTÈMES ET LOGICIELS EMBARQUÉS POUR LIMITER LES RISQUES
Les responsables de la sécurité numérique dans les entreprises reconnaissent que la plupart des développeurs de systèmes et logiciels embarqués ne considèrent pas la sécurité comme une préoccupation relevant de la conception initiale. Ce manque obligera les responsables à acquérir directement des connaissances des systèmes et logiciels embarqués et des puces informatiques afin de comprendre comment fonctionnent ces appareils et comment se passe la communication des données. Lorsqu’ils imaginent des scénarios liés à l’économie numérique, les responsables doivent évaluer et hiérarchiser par priorités les nouveaux risques qui sont introduits dans l’infrastructure technologique existante, par exemple les postes de travail, le réseau, les applications et le stockage des données. En utilisant les spécifications fonctionnelles des systèmes et logiciels embarqués, il sera nécessaire d’apporter des modifications à l’authentification et à la sécurité physique. En comprenant leurs spécifications, les entreprises seront en mesure d’évaluer et d’acheter des technologies numériques embarquées en ayant conscience des risques.
Les préoccupations quant à la sécurité des systèmes et logiciels embarqués induiront également des changements dans les achats de services de sécurité. À mesure que les réseaux des technologies numériques se développent, des services à valeur ajoutée interagiront avec la plate-forme des systèmes et logiciels embarqués et fourniront différentes formes d’accès et de protection des données. Le processus d’achat pour de tels services doit être modifié de sorte à inclure la façon dont les prestataires de services incorporent les principes de la sécurité dans la conception, la gestion et les opérations de leurs services.
RESTRUCTURER LES EFFORTS DE DÉVELOPPEMENT DES SYSTÈMES ET DES LOGICIELS
Dans cette première phase de l’Internet des objets, bon nombre d’entreprises développeront leurs propres technologies pour des scénarios spécifiques, en choisissant leurs environnements d’exploitation et en développant leurs logiciels. Ce développement personnalisé n’est pas identique au développement logiciel traditionnel. L’étroite interaction entre le matériel, le système d’exploitation et les logiciels aura un impact significatif sur le flux d’informations, l’isolement des données et d’autres préoccupations relatives au système. Dans de nombreux cas, les développeurs adoptent une architecture spécifique des systèmes et logiciels embarqués comme base de leur développement. Par exemple, l’architecture MILS (multiples niveaux indépendants de sécurité) est utilisée depuis de nombreuses années dans des industries présentant une sécurité et un risque élevés, comme l’aérospatiale et la Défense, afin de s’assurer que les considérations de sécurité sont intégrées à la conception.
Les responsables de la sécurité numérique doivent collaborer avec les développeurs pour s’assurer que la sécurité est intrinsèque de l’architecture. Ils doivent également intégrer les impératifs opérationnels et de gestion relatifs à la conception de la sécurité des systèmes et logiciels embarqués, notamment la mise en vigueur des politiques de contrôle d’accès, les techniques de virtualisation, les tests de la sécurité des applications et l’assurance qualité.
METTRE L’ACCENT SUR LE COEUR DES SYSTÈMES ET LOGICIELS EMBARQUÉS
Les efforts visant à sécuriser la conception et le développement des systèmes et logiciels embarqués constituent en fait un sous-ensemble d’une structure de sécurité numérique. Les centaines de fournisseurs de systèmes embarqués ne savent pas toujours prendre en compte les multiples variantes des secteurs verticaux dans leurs logiciels. Cependant, de nombreux fabricants adoptent des modèles de segmentation qui simplifient le processus de sélection et ciblent les besoins spécifiques des industries.
Les responsables de la sécurité numérique qui achètent auprès de ces fabricants doivent avoir conscience de ces structures et s’en servir pour développer une surcouche de sécurité. Dans le modèle de Gartner, le contrôle, les communications et le calcul sont des éléments possibles du modèle, basés sur la segmentation du marché pour prendre en compte les impératifs de l’industrie. Les responsables peuvent utiliser ce modèle pour évaluer les sous-fonctions de contrôle telles que les contrôles des déclencheurs ou des capteurs afin de déterminer les impératifs d’accès, ainsi que les sous-fonctions de communication de la couche physique pour définir les impératifs de segmentation du réseau. Ils peuvent aussi s’en servir pour les sous-fonctions de calcul afin de désigner les impératifs de cryptage ou de surveillance des menaces.
S’ENGAGER AUPRÈS DE CONSORTIUMS ET DES GROUPES D’UTILISATEURS PERTINENTS
L’Internet des objets représente l’opportunité la plus visible sur le marché des technologies numériques. Les projections concernant ce marché pour cette décennie sont alléchantes. Pour les responsables de la sécurité numérique, cela signifie que les cas d’utilisation de l’Internet des objets représentent une précieuse source de données pour modéliser les menaces potentielles des nouvelles technologies sur les entreprises, avant que ces dernières ne déploient elles-mêmes de telles solutions. La modélisation des menaces permet de documenter formellement les risques exposés des ressources clés des systèmes et logiciels embarqués. Ces données peuvent ensuite être utilisées dans le cadre de la planification de la gestion des risques.
Une erreur qui est couramment faite dans la sécurité informatique traditionnelle consiste à fonder la conception de la sécurité sur les vulnérabilités. Or, comme le rappellent de nombreux acteurs de l’industrie, les vulnérabilités peuvent être corrigées, alors que les menaces continuent à exister indéfiniment. Pour qu’une entreprise réussisse à sécuriser efficacement les technologies embarquées, elle ne peut tout simplement plus faire l’impasse sur la compréhension des menaces dans cette économie numérique qui évolue rapidement. Les entreprises qui sont impliquées dans une utilisation intensive des appareils embarqués doivent donc rejoindre et participer activement à des consortiums de l’industrie qui développent des standards techniques et des meilleures pratiques en termes de développement sécurisé. S’engager activement auprès des groupes d’utilisateurs pertinents dans les domaines de la sécurité, des systèmes et logiciels embarqués est indispensable.