BeLux Blog
Share

Une nouvelle segmentation, premier pas vers un internet des objets sûr

- June 27, 2017 9:32 am

Je me suis récemment entretenu avec un CEO d’une startup médicale qui développe des schémas médicamenteux sur mesure pour les patients cancéreux sur la base des informations génomiques, des données de santé en temps réel et de l’historique des prescriptions médicamenteuses. Le schéma indique les combinaisons et les posologies adaptées pour éviter les effets indésirables. Absolument fantastique ! C’est précisément la raison pour laquelle nous investissons autant d’énergie dans la cybersécurité.

Approfondissons le scénario de l’impact potentiel sur cette startup d’une attaque avec rançongiciel ou avec des logiciels malveillants classiques qui adaptent des données ou prennent commande d’appareils médicaux. L’internet des objets ou IoT détient un potentiel considérable pour le secteur des soins de santé. Dans d’autres secteurs, ce potentiel est même devenu réalité avec l’automatisation dans des environnements de production et le secteur des entreprises d’utilité publique. L’internet des objets s’accompagne toutefois de cyberrisques importants, puisque la plupart des appareils ne peuvent pas se protéger et leur périmètre est tellement étendu que l’échelle représente une difficulté supplémentaire.

Segmenter l’IoT autrement

C’est la raison pour laquelle nous avons annoncé à la mi-mai Cisco IoT Threat Defense au Forum mondial de l’IoT à Londres. Cette architecture de sécurisation pour l’internet des objets segmente tous les appareils IoT en groupes distincts de telle sorte qu’un éventuel appareil piraté ne serve pas de tête de pont pour une attaque sur le restant du réseau.

S’il est vrai que la segmentation réseau n’est pas une nouveauté, force est toutefois de reconnaître que la virtualisation classique en réseaux locaux virtuels (VLAN) et listes de contrôle d’accès (ACL) serait chronophage et difficile à réaliser en pratique en raison de la très grande portée de l’internet des objets. Forts de Cisco IoT Threat Defense, nous avons donc développé une solution évolutive et automatisée pour assurer une segmentation sûre et pratique de l’internet des objets.

Classification selon les Manufacturer Usage Descriptions

En réalité, nous n’allons pas segmenter le réseau, mais classifier les appareils comme Cisco TrustSec le fait également dans les réseaux classiques. TrustSec donne une étiquette de sécurisation virtuelle (Security Group Tag) aux utilisateurs et appareils du réseau, assortie de droits d’accès spécifiques qui sont contrôlés partout par notre logiciel de contrôle d’accès Identity Services Engine (ISE). Les malwares potentiels sont immédiatement mis en quarantaine. Nous avons désormais élargi cette solution à l’IT industrielle.

L’année dernière, Cisco a présenté une norme ouverte pour les appareils IoT à l’IETF (task-force Ingénierie d’internet). Chaque fabricant dispose pour chaque appareil d’un fichier XML avec la description de l’appareil et de sa manière de communiquer (Manufacturer Usage Descriptions ou MUD). Si un appareil piraté tente de faire autre chose, le contrôleur du réseau sait que cela ne correspond pas aux MUD et une nouvelle diffusion est arrêtée. À l’aide des MUD, Cisco TrustSec, un des composants d’IoT Threat Defense, place automatiquement l’appareil IoT dans une zone TrustSec sûre et isolée en dehors de la portée des cybercriminels.

Sécurité contextuelle

Selon le chercheur Zeus Kerravala, le progiciel intégré IoT Threat Defense ne prend sa réelle dimension que pour les appareils sans MUD, grâce, entre autres, aux applications d’analyse de réseau Stealthwatch et Cognitive Threat Analytics. Prenons l’exemple d’un distributeur automatique de boissons intelligent. Il envoie tous les jours des informations au fabricant. Si le frigo intelligent tente de joindre un système de caisse ou un serveur de comptabilité, cela peut être considéré comme une tentative de piratage et IoT Threat Defense place l’appareil – sans MUD – en quarantaine. C’est ce qu’on appelle la sécurisation contextuelle.

IoT Threat Defense comprend, entre autres, notre pare-feu de prochaine génération (de nombreux appareils IoT ne se trouvent eux-mêmes pas derrière un pare-feu) et nos applications du cadre de sécurité en ligne et de protection contre les malwares AMP. Grâce à l’intégration, nous entendons automatiser le plus possible de tâches de sécurité pour les gestionnaires, quoique vous choisissiez vous-même le degré d’automatisation souhaité. En effet, la dernière chose que veulent les gestionnaires IoT est la cybersécurité automatique. Si cela fonctionne peut-être pour la plupart des réseaux IT, ce n’est certainement pas le cas pour les réseaux de contrôle industriels.

Erreurs humaines

Si nous prenons les rênes, une analyse permanente du trafic réseau revêt une importance décisive. Une architecture de sécurité intégrée détecte plus rapidement les irrégularités, bloque les nouvelles menaces en temps utile, identifie les hôtes touchés et prévient les erreurs des utilisateurs. Car, en dépit des progrès technologiques à porter à l’actif de l’IoT, le facteur humain reste décisif. Avec IoT Threat Defense, vous conservez un contrôle suffisant et vous prenez en permanence le pouls de votre sécurité.

Tags:
Laisser un commentaire

Share