Barracuda full logo

La place de l'IoT dans le SASE

Thèmes:
8 juin 2023
|
Stefan Schachinger

Dans notre récente série d'articles sur le SASE, nous avons déjà abordé les principaux cas d'utilisation : le SD-WAN sécurisé, le Firewall-as-a-Service et la passerelle web sécurisée, ainsi que la protection des terminaux associée à un accès distant sécurisé. Dans l'article d'aujourd'hui, nous allons voir comment les appareils connectés (IoT) s'intègrent au SASE.

Rappelons tout d'abord que le SASE ou Secure Access Service Edge est la convergence de la connectivité et de la sécurité. Ce système aide les entreprises à obtenir une posture de sécurité cohérente en implémentant un concept décentralisé, dans lequel la sécurité est fournie directement à la périphérie (quel que soit l'emplacement), mais la gestion de tous les composants se fait sur une seule interface cloud. L'idée de base est de créer une nouvelle architecture de sécurité distribuée qui remplacerait les concepts traditionnels de défense, tout en unifiant et simplifiant la gestion et la configuration de ses composants.

Dans le domaine de l'IoT, les entreprises ont souvent des centaines, voire des milliers d'appareils à gérer : des petits capteurs qui mesurent les conditions ambiantes aux appareils médicaux, en passant par les équipements de vente au détail et les machines lourdes dans les secteurs de l'industrie, de l'énergie ou des hydrocarbures. Les appareils peuvent avoir des tailles, facteurs de forme et prix différents, mais les environnements dispersés et les défis de sécurité sont sensiblement les mêmes. C'est là que le SASE peut vraiment changer la donne pour résoudre des problèmes bien connus.

En quoi les projets IoT sont-ils différents ?

Pour faire simple, le défi des projets IoT est que la sécurité n'est pas leur but ultime. Ils sont toujours créés dans un but différent. Personne ne connecte des appareils juste pour le principe. Pour un administrateur informatique, l'implémentation de solutions de sécurité fait partie de la fiche de poste, et beaucoup d'entre eux veulent connaître tous les détails sur chaque appareil afin de pouvoir configurer et optimiser chaque paramètre. Malheureusement, les professionnels de l'informatique ont de moins en moins de temps, et beaucoup d'entre eux ne veulent pas s'encombrer de tâches répétitives qui pourraient être automatisées.

En ce qui concerne les déploiements et le support de l'IoT, la sécurité n'est qu'une chose parmi tant d'autres. Les professionnels qualifiés en cybersécurité sont difficiles à trouver, et il est rare qu'une entreprise ait du personnel dédié à la sécurité de l'IoT. Les personnes responsables de la réussite d'un projet IoT ont différentes tâches à mener, comme par exemple, la surveillance à distance des appareils, la collecte de données analytiques pour l'optimisation des coûts et de l'efficacité ou la maintenance prédictive. Cela signifie que les solutions de sécurité pour l'IoT doivent être faciles à déployer et à entretenir, encore plus faciles que les solutions de connectivité pure. La sécurité ne sera efficace que si l'expérience utilisateur et administrateur est fluide. Les fournisseurs de solutions de sécurité ne veulent pas complexifier davantage un monde qui repose sur la qualité, l'efficacité et l'optimisation des coûts.

Le défi propre à l'IoT

Les vulnérabilités des logiciels sur les appareils IoT ne datent pas d'hier. Ces appareils sont globalement vulnérables car ils ne sont pas conçus dans un souci de sécurité. Les fournisseurs d'appareils sont souvent des spécialistes dans leur secteur d'activité et se concentrent sur les différents usages de l'appareil.

Au cours de la durée de vie d'un appareil IoT, il est difficile, voire impossible, de maintenir un niveau de sécurité élevé. Les fournisseurs d'appareils ne peuvent généralement pas suivre les cycles de correctifs logiciels qui seraient nécessaires pour corriger les vulnérabilités connues en temps et en heure. Chaque correctif logiciel doit être testé minutieusement pour éviter tout type de dysfonctionnement, et l'installation de mises à jour logicielles sur un grand nombre d'appareils, souvent situés à distance, peut constituer un défi en soi.

Mais en fin de compte, cela n'a pas vraiment d'importance. Les appareils IoT devraient toujours être considérés comme « à risque » et ne devraient jamais être approuvés par défaut.

Le Zero Trust pour l'IoT

Le moyen le plus sûr de gérer des appareils non sécurisés qui ne peuvent être corrigés est de les envelopper dans quelque chose de sécurisé. Dans un environnement dispersé où de nombreux appareils sont répartis géographiquement, le premier défi qui émerge est généralement la connectivité. Il existe des dizaines de solutions de connecteurs matériels sur le marché qui vont résoudre la question de la connectivité, mais négligent complètement la sécurité et l'évolutivité. Aucune entreprise ne devrait déployer ce type d’appareil s’il existe une alternative plus sécurisée et évolutive.

Les éléments suivants doivent être pris en compte lorsque vous recherchez une solution IoT :

  • Tenez compte du nombre d'appareils que vous prévoyez de déployer. Dans les petits laboratoires, presque tout fonctionne, même les projets bricolés sur des appareils grand public, mais les déploiements en production posent de nombreux problèmes d'évolutivité. Gardez cela à l'esprit lorsque vous réfléchissez au futur développement de votre réseau et à la durée de vie de vos appareils.
  • La connectivité via LAN, Wi-Fi, 5G/4G/LTE ou une autre technologie nécessitera un périphérique matériel. Idéalement, ce périphérique matériel sera capable de plus qu'une simple connectivité.
  • Les appareils IoT ne sont, par défaut, pas fiables (le Zero Trust est notre mot d'ordre). Ils doivent donc être isolés des autres appareils et ne doivent jamais être exposés à Internet. Utilisez un firewall IoT pour assurer la connectivité et la sécurité. N’attribuez jamais d’adresse IP publique à un appareil IoT. Si vous ne savez pas pourquoi, faites un tour sur https://www.shodan.io/.
  • Protéger l'appareil contre les menaces transmises par Internet représente la moitié du travail, mais vous devez également sécuriser les communications sur les réseaux publics et prendre en compte les éventuelles failles des protocoles industriels. Le chiffrement supplémentaire empêche l'exploitation et masque la communication en texte clair. Cela nécessite une technologie VPN pour protéger la communication elle-même et une sécurité nouvelle génération comme IPS et la protection contre les menaces avancées pour bloquer toutes sortes de contenus malveillants.
  • La communication réseau autorisée depuis et vers l'appareil doit être limitée au strict minimum. Les ensembles de règles de firewall basés sur les adresses IP et les ports étaient populaires auparavant, mais ces restrictions sont désormais basées sur des applications avec un routage basé sur l'intention.
  • S'il n'y a pas d'expert informatique sur chaque site, le déploiement et le remplacement du matériel doivent être les plus simples possible. Cela nécessite une véritable technologie de déploiement sans contact. Les personnes disponibles sur place doivent pouvoir brancher l'appareil et avoir terminé l'installation. L'installation physique peut être effectuée par un électricien ou un vendeur, mais la configuration et l'attribution des licences doivent être gérées à distance. Ce système de déploiement devrait également fonctionner en dehors des heures normales de bureau.
  • La gestion centralisée est essentielle pour appliquer des correctifs de sécurité et des mises à jour du micrologiciel, et pour maintenir la configuration des appareils dans une telle infrastructure. Bien que les appareils IoT aient souvent l'air identiques, chacun d'entre eux est unique et de nombreuses entreprises ont besoin d'un ensemble de règles et de configurations de sécurité précises pour proposer une sécurité avec un niveau de confiance élevé. Cela n'est possible qu'avec un portail de gestion centralisé simple mais puissant avec lequel travailler.
  • Les approches infaillibles en matière de sécurité IoT n'existent pas. Quels que soient les appareils que vous déployez, partez toujours du principe que l'adoption d'une autre solution ou une optimisation supplémentaires seront nécessaires. Le point principal à garder en tête ici est comment ces futurs changements pourront être mis en place dans votre déploiement. Serez-vous en mesure de modifier des centaines d'appareils qui se trouvent à des endroits différents ? Si vous pensez que cela ne sera pas nécessaire, il se peut que votre politique de sécurité ne soit pas assez solide.

Alors pourquoi le SASE ?

La convergence de la sécurité et du réseau semble être exactement ce qu'il faut pour permettre aux appareils IoT de participer en toute sécurité à l'infrastructure de l'entreprise.  Les environnements hybrides d'aujourd'hui nécessitent une connectivité sécurisée pour les personnes travaillant à distance ou à domicile, pour accéder à des workloads dans le cloud public, sur site, ou utiliser des offres SaaS. Le SASE est le concept de pointe pour une posture de sécurité cohérente sur toutes les périphéries, peu importe le lieu. L'ajout d'appareils IoT semble être la prochaine étape évidente dans l'élaboration d'une solution qui connecte de manière sécurisée et efficace les sites, les objets, les personnes et le cloud. Le tout regroupé sous un même toit et géré par une seule interface.

La solution de Barracuda pour l'Internet des Objets

Chez Barracuda, nous recommandons d'utiliser notre solution Secure Connector sur mesure, dans des infrastructures IoT dispersées. Le Secure Connector utilise le protocole VPN TINA (Traffic Independent Network Architecture) exclusif de Barracuda sur Ethernet, Wi-Fi ou 4G/LTE et est disponible sous forme de matériel standard ou robuste. Les appliances compactes fonctionnent avec Barracuda CloudGen Firewall ou la nouvelle plateforme SASE SecureEdge de Barracuda pour connecter les appareils distants et les micro-réseaux aux ressources de l'entreprise, offrant une sécurité complète de nouvelle génération et servant de hub de connectivité pour toutes les connexions entre les appareils IoT et Internet.

 

 

Stefan Schachinger

Stefan Schachinger est chef de produit, sécurité réseau, dans les domaines de l'IoT/OT/ICS. Il travaille avec l'équipe de Barracuda à Innsbruck, en Autriche, depuis 2013. Retrouvez-le sur LinkedIn ici.

Billets associés :
Sécurisez durablement votre accès Internet grâce à la nouvelle génération d’appareils de sécurité Web
Sécurisez durablement votre accès Internet grâce à la nouvelle génération d’appareils de sécurité Web
Défense des infrastructures : réseaux d'approvisionnement en eau et traitement des eaux usées
Défense des infrastructures : réseaux d'approvisionnement en eau et traitement des eaux usées
 Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Les appareils de nouvelle génération offrent une sécurité réseau et un accès au cloud public plus efficaces
Appareils, informatique, sécurité. Tout est une question de périphérie.
Appareils, informatique, sécurité. Tout est une question de périphérie.
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.