Dans l’Internet des Objets (IoT), la sécurité commence tout juste à être envisagée de manière globale en termes d’architecture et de frameworks. Pour nourrir sa réflexion sur les approches globales de l’écosystème IoT, GlobalSign s’informe, discute et suit de près le point de vue des acteurs sectoriels. L’Alliance pour la sécurité dans le Cloud (CSA, Cloud Security Alliance) a récemment publié dans un rapport ses préconisations de sécurité à l’attention des adopteurs précoces de l’Internet des Objets. Intitulé « Security Guidance for Early Adopters of the Internet of Things », ce rapport marque une nouvelle étape vers la définition d’un cadre de contrôle spécifique pour la création de vos solutions IoT.
Si le guide de la CSA encourage les adopteurs précoces de l’Internet des Objets à envisager la sécurité de manière globale, j’ai néanmoins l’impression que l’Alliance privilégie les conseils concrets et précis, par rapport aux principes de sécurité généralistes. C’est un formidable pas en avant. Outre les points intéressants qu’il soulève, ce rapport fait également ressortir les atouts de GlobalSign pour vous aider à renforcer les contrôles de sécurité de votre écosystème ou de votre application IoT. L’article met en exergue sept contrôles de sécurité dédiés aux environnements IoT qui sont conçus pour limiter les risques associés à ces nouvelles technologies et ces nouveaux environnements. J’ai souhaité commenter ici quelques grands points de cet article et j’ai donc retenu quelques thèmes communs en rapport avec les infrastructures à clés publiques (PKI), la gestion des accès et des identités (IAM) et le Cloud.
Réflexions sur les infrastructures PKI et la cryptographie
Tout d’abord, je tiens à faire observer que ce guide ne se contente pas de survoler les infrastructures PKI. Ses auteurs ont manifestement d’excellentes connaissances et une bonne compréhension des fonctions PKI et de leur usage. Le rapport aborde des concepts tels que le choix des algorithmes cryptographiques, la question des clés prépartagées par rapport aux certificats, et la gestion des clés.
Cycle de vie des objets et des systèmes
La cartographie et la conception du cycle de vie des objets et des systèmes constituent l’un des thèmes centraux. L’objectif : identifier les zones de risques et les fonctions de gestion du cycle de vie pour mieux limiter les risques. Le conseil est avisé, car une fois cette étape terminée, le propriétaire du système peut profiter au mieux des avantages du provisionnement automatique et du suivi des certificats. Ces fonctions sont proposées par des fournisseurs comme GlobalSign qui affichent une expertise spécifique dans ce domaine. Si nous reconnaissons l’existence de plusieurs options pour créer sa propre infrastructure d’autorité de certification, nous sommes également bien placés pour connaître les coûts et les niveaux de complexité d’une telle démarche.
Protocoles centrés sur l’IoT
Toujours dans le domaine des infrastructures PKI, ce rapport apporte un éclairage sur l’utilisation d’identifiants cryptographiques dans le contexte de protocoles centrés sur l’IoT, comme CoAP (Constrained Application Protocol), et sur le choix des fonctions d’authentification cryptographique pour un écosystème IoT. Le protocole CoAP propose ainsi plusieurs modes de fonctionnement (No security, preSharedKey, rawPublicKey et Certificate). Le premier mode ne présente aucun intérêt pour notre sujet. Le second, preSharedKey, offre une authentification de base, mais comme l’indique l’équipe CSA, il n’est pas du tout adapté à un système de la taille de l’IoT. Les deux dernières options, rawPublicKey et Certificate, correspondent aux approches recommandées par le groupe. Dans la mesure du possible, on privilégiera le mode « Certificat » par rapport aux clés publiques. L’avantage ? On bénéficie ainsi des fonctions supplémentaires des certificats avec, à la clé, une granularité supérieure des contrôles de confiance qui s’appuient sur les attributs du certificat (Émetteur, Noms, Utilisations des clés), sans oublier la possibilité d’exploiter les services de révocation.
Au sujet de la gestion IAM
Dans ce rapport, la gestion des accès et des identités (IAM, Identity and Access Management) n’est pas aussi approfondie que la cryptographie. Parmi les observations et les arguments proposés, certains font néanmoins avancer le débat. D’ailleurs, on retrouve, dans une certaine mesure, l’une des remarques que nous avions formulées sur l’intégration de systèmes d’entreprise cloisonnés, comme les systèmes de gestion des ressources. Il existe à l’heure actuelle un vide quant au processus d’insertion de ce type de systèmes dans des scénarios intégrant des équipements fonctionnellement avancés auxquels l’on peut accéder, ou qui peuvent être contrôlés, à partir de plusieurs services, de plusieurs utilisateurs ou d’autres équipements.
La complexité de l’IoT du fait des questions de volumétrie impacte également la gestion IAM. Avec son produit CustomerID, GlobalSign a, à cet égard, traité d’une situation similaire. En facilitant l’intégration directe de référentiels d’identités existants avec de nouveaux services en ligne ou des e-services secondaires, GlobalSign entendait offrir un système de gestion des relations entre les identités à la fois plus simple et plus fiable, ainsi que des fonctionnalités d’autorisation. Nous travaillons activement à l’intégration de cette fonctionnalité à des cas d’utilisation IoT pour fournir aux écosystèmes IoT une proposition de valeur à la fois utile et sécurisée.
Services Cloud
Si les services Cloud ne sont qu’indirectement abordés dans le rapport CSA, ils s’y dessinent en filigrane. Dans un rapport de préconisations publié par l’Alliance pour la sécurité dans le Cloud, le sujet constitue probablement une évidence si criante qu’il semble inutile de l’aborder. Je suppose donc que la plupart des recommandations encouragent les organisations à mettre en place ces services une fois le travail de fond et d’analyse de la sécurité effectué.
Les services Cloud peuvent être intéressants pour votre infrastructure, pour plusieurs raisons. Au-delà du traditionnel arbitrage entre développement et achat, lorsque vous créez un écosystème, un produit ou un service IoT, vous devez pouvoir vous concentrer sur la proposition de valeur de cette offre. Or, si la sécurité n’est que rarement le premier argument mis en avant dans cette offre, elle constitue une exigence, ou une attente, du client. La stratégie gagnante ? Vous affectez d’un côté des ressources à la création du cœur de votre plate-forme, et choisissez en parallèle les services appropriés à acheter et à intégrer. En s’inspirant de saines recommandations de sécurité et d’une bonne planification, cette stratégie offre non seulement un modèle de coûts compétitif, mais elle permet également d’utiliser la meilleure solution de gestion des identités et de la sécurité.
Je suis dans l’ensemble impressionné par les recommandations de la CSA et par la clarté des détails techniques sur les sujets relatifs à la cryptographie et aux infrastructures PKI. Jusqu’à récemment, une grande partie du débat autour de la sécurité de l’Internet des Objets se situait sur un plan abstrait ou générique. Je trouve formidable que les leaders éclairés du secteur prodiguent des conseils aussi concrets. Je suis également impatient(e) de découvrir comment ces recommandations vont évoluer avec les changements sectoriels, et j’espère bien retrouver quelques exemples de réalisations concrètes.