Nous avons tous entendu ces anecdotes sur les conséquences perturbantes de piratages d’objets connectés. Mais lorsqu’il s’agit de violations de matériel et de systèmes IoT connectés dans un environnement industriel, l’impact est démultiplié. Les conséquences d’un piratage peuvent rejaillir sur plus d’une personne, d’une famille ou d’un domicile. Pour les entreprises et organismes qui s’adressent à une vaste clientèle, voire à des communautés tout entières, les effets peuvent être persistants et retentissants — notamment dans les cas de piratage des fournisseurs d’eau, de gaz ou d’électricité.
Pour garantir la continuité de la sécurité des dispositifs connectés, qu’ils soient industriels ou grand public, il faut absolument sécuriser l’identité, l’intégrité et la confidentialité de tous les dispositifs/points de terminaison, données et communications de l’IoT. Dès les premiers échanges entre GlobalSign et Carnegie Technologies sur la meilleure stratégie à adopter pour sécuriser les développements en cours sur leur plateforme IoT de gestion d’actifs industriels (Longview IoT Platform pour la gestion des actifs industriels), nous sentions que notre collaboration était destinée à évoluer.
Société du groupe Carnegie Technologies, Longview partage le point de vue de GlobalSign sur la nécessité de sécuriser les actifs IIoT. C’est là tout l’enjeu de leur nouvelle solution de gestion des actifs de l’IoT industriel. Longview IoT a assemblé les bonnes briques technologiques IoT au sein d’une solution unique, sécurisée et optimisée pour permettre à ses clients de surveiller et de gérer leurs actifs industriels. L’entreprise fournit des solutions IoT de bout en bout, préconfigurées selon les secteurs et conçues pour être immédiatement fonctionnelles.
L’équipe de développement de leur plateforme IoT avait mûri et bâti sa stratégie autour de quatre points clés : la sécurité dès la conception (security by design), plusieurs niveaux de sécurité, la sécurisation de la chaîne d’approvisionnement et des partenariats gagnants.
Security by Design
Conscients de l’importance du security by design, les développeurs de logiciels IoT ont compris qu’il était nécessaire d’intégrer la sécurité en amont des projets, comme une composante fonctionnelle centrale.
Sur le front de la « sécurité dès la conception », le développement de la plateforme Longview IoT est un cas d’école. Utilisatrice de l’architecture réseau LoRaWAN (Long Range Wide Area Network) sur les services cloud AWS (Amazon Web Services), la start-up Longview était particulièrement bien placée pour appliquer les bonnes pratiques lors de l’intégration de la sécurité à ses processus de développement logiciel. Longview a abordé d’emblée les questions de sécurité de sa nouvelle plateforme pour les intégrer à sa solution pendant la phase de développement, et pas a posteriori. Dès le début, le framework de sécurité a été construit autour de la sécurité comme composante intégrale et intégrée.
Plusieurs niveaux de sécurité
S’il est bon de commencer avec une seule couche de sécurité, plus il y en a, mieux c’est. Argument de vente majeur de Longview, son framework de sécurité triple-couche comprend un chiffrement 128 bits inclus nativement au réseau LoRaWAN, une fonction physique inclonable (PUF, Physical Unclonable Function) dans une mémoire vive statique à accès aléatoire (SRAM, Static Random Access Memory) permettant de générer une clé spécifique à un appareil donné, et une fonction de provisionnement des certificats de l’Autorité de certification GlobalSign (AC) - l’ensemble permettant de protéger chaque identité matérielle dans la chaîne d’approvisionnement et les données transmises sur le réseau.
La technologie LoRa sécurise le réseau étendu basse consommation (LPWAN) et fournit la première couche de chiffrement au système, en protégeant les communications entre les capteurs sur leur réseau maillé.
Chaque capteur avait besoin d’une identité unique. La collaboration avec notre partenaire Intrinsic ID nous a permis, chez GlobalSign, d’identifier chaque capteur contraint sur la plateforme IoT Longview grâce à la technologie SRAM PUF. La technologie PUF d’Intrinsic ID permet de générer des clés spécifiques en fonction d’appareils donnés. Basée sur les minuscules anomalies de chaque semi-conducteur, telle une empreinte digitale humaine, cette clé permet d’identifier de manière unique chaque capteur et passerelle Longview. Avec cette deuxième couche de protection, chaque capteur peut être identifié de manière unique et produire une paire de clés distincte utilisable pour générer un certificat numérique.
Pour sa troisième couche de protection, Longview a intégré la plateforme d’identité IoT de GlobalSign. Ainsi, grâce à une Autorité d’enregistrement complète (GlobalSign IoT Edge Enroll), la solution offre des fonctionnalités d’Autorité de Certification publique et d’AC privée sur mesure. Bâtie sur une infrastructure de clés publiques sécurisée, la plateforme d’identité IoT de GlobalSign protège les identités de chaque appareil, ainsi que l’intégrité, la confidentialité (et la transmission) des données à l’aide de mécanismes de chiffrement, d’authentification et d’autorisation.
Découvrez la plateforme d’identité IoT de GlobalSign
La solution IoT de GlobalSign a unifié les trois couches de l’architecture de sécurité de Longview au sein d’une seule et même plateforme de sécurité.
Sécuriser la chaîne d’approvisionnement
Conscient du rôle critique de la sécurité sur sa plateforme IoT IIoT Asset Platform, Longview souhaitait pouvoir sécuriser chaque passerelle physique de sa chaîne d’approvisionnement – mais pas qu’à un moment précis du cycle de vie. L’entreprise voulait sécuriser la chaîne d’approvisionnement de ses passerelles physiques pendant la fabrication, jusqu’au déploiement et pendant toute leur durée de vie. Et pour cela, elle avait besoin de certificats numériques.
Avec la gestion complète du cycle de vie des identités matérielles, IoT Edge Enroll permettait à Longview de :
- fournir les premières identités matérielles pendant la fabrication des passerelles physiques (certificats IDevID) ;
- fournir les identités matérielles locales lors du déploiement de la passerelle (certificats LDevID) ;
- gérer les identités matérielles tout au long de leur cycle de vie (gestion du cycle de vie des certificats).
Les passerelles Longview sont fabriquées par un sous-traitant électronique (EMS, Electronic Manufacturing Service). L’AC privée de Longview mise en place par GlobalSign permet à Longview IoT d’émettre les premiers certificats (certificats de naissance/IDevIDs) pour chaque passerelle IoT physique dans les usines du sous-traitant électronique.
Longview utilise également IoT Edge Enroll pour provisionner des identités matérielles locales opérationnelles (LDevID) lors du déploiement des appareils. Le provisionnement des certificats opérationnels peut être automatisé à ce moment. En leur permettant également de gérer/renouveler les identités matérielles (alias « certificats numériques »), IoT Edge Enroll leur offre des fonctions de gestion complète du cycle de vie des identités matérielles.
Longview s’appuie sur l’intégration IoT Edge Enroll de GlobalSign à notre plateforme d’identités IoT pour assigner des certificats numériques, gérer leur AC privée et sécuriser la connectivité à leur cloud Amazon Web Services (AWS).
Des partenariats gagnants
Pour Carnegie/Longview, toute la difficulté était de trouver le bon partenaire — un partenaire avec une plateforme de sécurité IoT qui leur permettrait d’établir un framework de sécurité à trois couches et de sécuriser leur chaîne logistique matérielle. Ce qu’ils cherchaient ? Une plateforme évolutive et automatisée pour limiter les opérations manuelles de gestion des services d’AC et d’AE. Une API facile à utiliser afin de décharger leurs équipes de développement des tâches d’intégration. Une solution agile pour identifier les capteurs sur le terrain. Et une entreprise suffisamment flexible pour collaborer à la mise en œuvre d’une solution complète. Notre solution IoT de GlobalSign et nos partenaires cochaient toutes les cases.
Le respect des bonnes pratiques de développement a permis à Carnegie et sa filiale Longview de réussir. Aujourd’hui, leur sécurité est optimale, ils assurent la protection d’une plateforme de gestion d’actifs IIoT et travaillent avec des entreprises et des secteurs clés sur les façons de connecter en toute sécurité des actifs industriels à l’Internet des objets.
Pour en savoir plus,