Pour les applications industrielles, l'Internet des objets risque de devenir l'Internet des voleurs. Peut-être que les industries utilisant des solutions connectées devraient apprendre du livre d'Apple et verrouiller leur infrastructure.
Ce que disent les hackers éthiques
Alors que les processus numériques s'intègrent profondément dans les industries, il est logique que les systèmes de contrôle industriels soient mis à l'épreuve lors du concours Pwn2Own de cette année. Les pirates ont été invités à rechercher des vulnérabilités dans les logiciels et les systèmes industriels.
Les gagnants du concours, Daan Keuper et Thijs Alkemade, ont découvert qu'une fois qu'ils s'étaient introduits dans les réseaux informatiques utilisés dans ces entreprises, il était "relativement facile" de faire des ravages dans les systèmes et les équipements.
Cela s'explique en partie par le fait qu'à ce stade de la transformation, une grande partie de l'équipement utilisé dans la fabrication n'a pas été conçu à l'origine pour être connecté à Internet ou a une sécurité médiocre ou est obsolète.
Le service informatique comprend cela, bien sûr, car les déploiements de l'IdO industriel ont tendance à protéger les réseaux informatiques qu'ils utilisent, mais cela signifie également que si ces réseaux sont violés, une grande partie de l'équipement déployé manque de protection supplémentaire. Et cela signifie qu'il y a beaucoup de surfaces d'attaque potentielles.
Ce n'est jamais bon, mais en ce moment, la menace pour les infrastructures critiques augmente.
Quand les choses vont mal
En cas de faille de sécurité, les attaquants peuvent prendre le contrôle des machines, modifier les processus ou simplement choisir d'arrêter la production. Cela peut avoir d'énormes conséquences - sur l'entreprise, ses clients et partenaires, et sur les chaînes d'approvisionnement qui grincent déjà.
Louis Priem, consultant ICT Group, a déclaré : « Les systèmes dans les environnements d'usine fonctionnent généralement 24 heures sur 7, XNUMX jours sur XNUMX, il y a donc très peu de possibilités de corriger les vulnérabilités. De plus, il y a beaucoup d'héritage car les machines sont achetées pour le long terme et il n'y a généralement pas de possibilité d'installer des applications antivirus. Tout cela rend le secteur industriel vulnérable aux parties malveillantes.
S'adressant à MIT Technology Review, les gagnants de Pwn2Own ont averti que la sécurité des systèmes de contrôle industriels était à la traîne. Considérez comment une attaque réussie contre Target il y a quelques années a utilisé un système CVC non sécurisé pour pénétrer le réseau de l'entreprise, démontrant ainsi la nécessité de protéger tous les terminaux disponibles.
De nos jours plus que jamais, la sécurité vit à la périphérie.
L'écriture était sur le mur
Ce n'est pas que nous ne pouvons pas voir des problèmes comme celui-ci venir.
L'évolution de l'IoT industriel a vu la création d'une myriade de normes différentes avec différents niveaux de sécurité. Cela a conduit de nombreuses personnes dans le domaine (dont Apple) à développer des standards communs pour les objets connectés.
Matter, le standard IoT grand public qui est le premier fruit de cet effort, devrait arriver cette année, tandis que le standard Thread, plus industriel, voit déjà son déploiement. (J'attends plus de nouvelles sur Matter très bientôt, peut-être à la WWDC).
« Thread est basé sur la norme Internet Protocol version 6 (IPv6) universellement mise en œuvre, ce qui le rend extrêmement robuste. Un réseau de threads ne repose pas sur un concentrateur central, comme un pont, il n'y a donc pas de point de défaillance unique. Et Thread a la capacité de s'auto-réparer : si un nœud (ou un accessoire sur son réseau Thread) devient indisponible, les paquets de données sélectionneront automatiquement un autre chemin et le réseau continuera simplement à fonctionner », a expliqué Eve Systems.
La méthode d'Apple
Dans une certaine mesure, une façon de protéger n'importe quel appareil est de suivre la mission principale d'Apple, qui est de s'assurer que les systèmes font le maximum avec le moins d'informations.
Bien que cet effort ait sans doute ralenti les progrès de l'entreprise dans le développement de l'IA par rapport à des concurrents davantage basés sur le cloud, l'accent mis par Apple sur la mise en place de l'intelligence à la périphérie est considéré comme de plus en plus approprié.
Mimic Technology et Business & Decision, par exemple, semblent développer des systèmes IoT industriels qui suivent un modèle où l'intelligence est à la périphérie.
Lorsqu'elle est combinée à d'autres technologies de mise en réseau émergentes telles que les réseaux privés SD-WAN ou 5G, la mise en place de l'intelligence à la périphérie aide à protéger les réseaux industriels en aidant à isoler les terminaux individuels.
Le problème, bien sûr, est que tous les systèmes connectés ne sont pas assez intelligents pour être ainsi protégés, tandis que des priorités différentes pour l'informatique et l'intelligence opérationnelle signifient que les attaquants ont le luxe de vulnérabilités potentielles à attaquer.
Et c'est avant même que des gouvernements stupides et myopes n'imposent des portes dérobées de sécurité des appareils non sécurisées et intrinsèquement non sécurisées sur les systèmes et plates-formes mobiles sur lesquels nous comptons de plus en plus pour assurer la sécurité des personnes.
Peut-être que l'IdO d'entreprise a besoin d'emprunter une page du livre d'Apple et de concevoir des systèmes qui sont intrinsèquement plus sûrs que quiconque ne pense qu'ils doivent l'être ? Parce que ce n'est qu'une question de temps avant qu'ils ne découvrent que rien de moins ne suffira.
Suivez-moi sur Twitter ou rejoignez-moi au bar & grill d'AppleHolic et aux groupes de discussion Apple sur MeWe.
Copyright © 2022 IDG Communications, Inc.