The necessity of ‘Secure-by-Design’ in today’s fast-changing world

Global

Global - English

Asia

Europe

Oceania

ANZ - English

Latin America

North America

Middle East and Africa

Cancel

Réinitialiser

Soumettre

Le nouveau monde « Internet des objets » est caractérisé par des millions et des millions d’appareils connectés. Avec plus d'appareils et de points d'accès réseau non sécurisés que jamais auparavant, les principes de « Sécurité dès la Conception » sont essentiels pour se protéger contre les menaces croissantes de cybersécurité.

Au cours des dernières années, les technologies numériques ont transformé le monde, touchant tous les secteurs d'activité des entreprises et de la vie quotidienne. Le résultat est un monde de l'Internet des objets (IoT), où tout est instrumenté et interconnecté.

À la fin de 2018, environ 22 milliards d'appareils connectés à l'IoT étaient utilisés dans le monde. Les prévisions suggèrent que ce chiffre passera à 50 milliards d'ici 2030 - créant un réseau massif d'appareils interconnectés. ^[1]

Pour soutenir cet avenir hautement connecté, des milliers d'appareils Internet des objets (IoT) sont connectés aux réseaux chaque jour. En outre, l'appétit pour de nouvelles fonctionnalités a créé un « besoin de vitesse » en termes de développement et de déploiement de nouveaux types d'appareils.

La croissance rapide des appareils connectés complexes

De nombreux appareils connectés à l'IoT sont désormais très complexes, intégrant des algorithmes d'intelligence artificielle avancés et d'autres fonctionnalités de nouvelle génération.

Les caméras de sécurité vidéo IP en sont un bon exemple. Au cours des 15 dernières années, elles sont passés de simples caméras vidéo analogiques à des dispositifs IoT complexes et entièrement numérisés, pilotés par l'apprentissage automatique (ML) et l'intelligence artificielle.

Comme d'autres types d'appareils, l'évolution a été motivée par les demandes des clients pour une fonctionnalité et une connectivité améliorées. Cette demande a également créé une urgence dans le processus de développement, les fournisseurs se faisant concurrence pour offrir les fonctionnalités les plus avancées le plus rapidement possible afin de gagner des clients et des parts de marché.

Équilibrer la vitesse de développement avec les considérations de sécurité

La course au développement d'appareils IoT plus riches en fonctionnalités et plus connectés a répondu aux besoins opérationnels des clients, mais il y a souvent eu des compromis en termes de sécurité.

Après tout, intégrer la sécurité dans tous les aspects du processus de production prend du temps - une ressource précieuse qui n'est pas toujours disponible. En raison des contraintes de temps, plusieurs fabricants d'appareils ont opté pour la vitesse de développement et de production plutôt que pour la sécurité.

Les conséquences : un pic mondial d'incidents de cybersécurité

Les conséquences de la vitesse de production sur la sécurité ont augmenté les incidents de cybersécurité IoT gravement. Les cybercriminels ont pu accéder relativement facilement à des millions d'appareils, simplement parce que ces appareils n'ont pas été développés et produits avec la sécurité à l'esprit.

À la fin de 2016, par exemple, le Mirai Botnet était devenu une nouvelle mondiale et la sécurité de l'IoT a commencé à attirer une attention particulière. Ceci est un exemple clair de ce qui peut mal tourner lorsque des appareils non sécurisés tels que des moniteurs pour bébé, des routeurs réseau, des appareils agricoles, des appareils médicaux, des appareils électroménagers, des DVR, des caméras ou des détecteurs de fumée sont connectés à Internet sans sécurité appropriée.

Dans le cas de Mirai, les attaquants ont pu pirater des millions d'appareils non sécurisés - dans ce cas, des caméras. Ils ont ensuite utilisé la puissance informatique combinée des appareils pour lancer des attaques Internet DDoS (Distributed Denial of Service) ciblées.

Et la leçon n'a toujours pas été apprise.

Malheureusement, de nombreux autres cyber-incidents avec des appareils IoT se sont produits depuis 2016 - et continuent de se produire chaque jour. Les chercheurs en sécurité de F-Secure ont émis un avertissement en 2019, indiquant que les cyberattaques sur les appareils IoT se développent à un rythme sans précédent. Ils ont mesuré « une multiplication par trois du trafic d'attaques, avec plus de 2,9 milliards d'incidents ».

Dans la recherche, cette menace croissante a été attribuée, en partie, à «un manque fondamental de défenses dans les micrologiciels ou architectures vieillissants, et en partie à un manque de gestion de la sécurité des informations. Souvent, les services informatiques ne sont même pas conscients de tous ces appareils sur leurs réseaux. » ^[2]

L’importance critique de la production «Sécurisée dès la Conception»

Un moyen essentiel de prévenir les attaques dommageables sur les appareils IoT consiste à améliorer les défenses de ces appareils. Malheureusement, il est extrêmement difficile d'ajouter une sécurité efficace après la production et / ou l'installation de l'appareil IoT. A la place, le moyen le plus efficace de prévenir les violations est de mettre en œuvre la sécurité pendant la production de l'appareil - souvent appelée production « sécurisée dès la conception ».

La Sécurité dès la Conception consiste à intégrer la sécurité à chaque étape du processus de production, de la phase conceptuelle à la phase de livraison finale, comme le montre le graphique ci-dessous :

Au cours de la phase conceptuelle, les exigences de sécurité sont définies ; au cours de la phase de conception, une architecture de sécurité est élaborée pour la conception du produit ; au cours de la phase de développement, une révision du code et un balayage du code auront lieu ; au cours de la phase de vérification, des tests de pénétration sont effectués et au cours de la phase de livraison, une formation à la sécurité et un support technique sont fournis. Toutes ces mesures de sécurité dans le processus de production améliorent la cyber-résilience d'une caméra de sécurité vidéo et rendent inutiles les améliorations coûteuses de la cybersécurité par la suite.

Comment faire de la Sécurité dès la Conception une priorité organisationnelle

Il existe plusieurs conditions préalables pour les fabricants qui souhaitent intégrer les principes de Sécurité dès la Conception dans tous les aspects de leur processus de production. Premièrement, il faut un engagement au niveau organisationnel pour investir dans la sécurité de chaque produit. Cela peut avoir un impact sur les coûts de production, mais cela améliorera également considérablement la sécurité et la crédibilité - et donc la valeur - des produits en fournissant certaines garanties de sécurité aux clients.

En tant qu'exigence supplémentaire, la Sécurité dès la Conception exige que les fabricants soient ouverts aux tests de pénétration par des tiers une fois que les appareils sont conçus, fabriqués et opérationnels. Cela garantit que les produits sont capables de résister aux menaces de cybersécurité nouvelles et émergentes, ainsi qu'aux menaces existantes.

En fin de compte, les principes de la Sécurité dès la Conception exigent que les fabricants prennent vraiment au sérieux le renforcement de leur cybersécurité et la protection de leurs clients contre les failles de sécurité. C'est le cas chez Hikvision, où nous utilisons les principes de la « Sécurité dès la Conception » pour minimiser le risque d'attaques de cybersécurité dommageables sur l'ensemble de notre gamme de produits. Pour plus de détails sur la façon dont nous procédons, veuillez lire notre livre blanc sur la sécurité.

Vous pouvez également en savoir plus sur notre stratégie et nos capacités de cybersécurité, et sur la manière dont nous garantissons que nos caméras connectées et autres produits résistent aux attaques, Cliquez ici.

[1]Source : https://statista.com – H.Tankovska, 26 Oct 2020

[2]Source : Forbes.com – 14 Sept 2019

Cybersecurity