En coopération avec d’autres membres de l’Industrial Internet Consortium (IIC), les experts de Kaspersky Lab ont rédigé le Guide professionnel consacré au modèle de maturité en matière de sécurité (SMM), à destination des acteurs de l’Internet des objets (IoT)
Le SMM s’appuie sur les concepts identifiés dans le Cadre sécuritaire Internet de l’IIC publié en 2016. Premier du genre, le SMM aborde la toute nouvelle approche de maturité de sécurité en matière d’IoT. Ce modèle définit un cadre sécuritaire destiné aux acteurs de l’IoT basé sur leurs niveaux de sécurité. Par ailleurs, il évalue la maturité des systèmes IoT d’une entreprise en s’intéressant à la gestion de la gouvernance, de la technologie et des systèmes. D’autres modèles peuvent cibler un domaine en particulier, par exemple l’IoT sans la sécurité, ou bien la sécurité sans l’IoT. Le SMM couvre tous ces aspects et met en avant les éléments issus des modèles existants afin de répertorier les travaux réalisés et d’éviter les doublons.
De nombreuses parties prenantes impliquées dans la sécurisation de l’Internet des Objets
Le guide a été rédigé afin de répondre aux besoins d’une grande variété d’acteurs de l’IoT. Les experts de la sécurité ne sont pas les seuls à s’intéresser de près à la sécurisation de l’infrastructure qui relie les systèmes d’information aux objets physiques : c’est également le cas des opérateurs d’installations industrielles, des développeurs de logiciels spécialisés, des entrepreneurs ou encore des autorités de réglementation. C’est pourquoi le SMM de l’IoT, contrairement aux normes et exigences habituelles imposées par les autorités, tient compte des intérêts et des besoins en matière de sécurité de toutes les entreprises et de toutes les personnes impliquées dans des activités liées à l’Internet des objets.
En outre, le Guide professionnel comporte trois études de cas de nature à faciliter l’application, par les acteurs de l’IoT, du modèle de maturité en matière de sécurité. Il s’agit en l’occurrence d’une chaîne d’embouteillage intelligente guidée par les données, d’une passerelle automobile prenant en charge les mises à jour OTA ainsi que de caméras de sécurité à usage résidentiel.
Le Guide permet aux professionnels de l’IoT de mieux maîtriser l’état des lieux, leur objectif, ainsi que les démarches à entreprendre pour y parvenir. À l’issue de cette évaluation, les entreprises peuvent progressivement renforcer leur sécurité en poursuivant les travaux d’évaluation de leur système IoT et en apportant des améliorations à partir des 36 paramètres énumérés, et ce jusqu’au niveau requis.
« La hiérarchisation des mesures de sécurité, la définition des objectifs et le développement d’une stratégie de « sécurisation suffisante » des systèmes constituent un objectif qui influe sur la planification économique de long terme d’une entreprise, au même titre que l’investissement, le choix d’un régime d’assurance ou toute autre tâche aux motivations contradictoires. L’approche moderne à l’égard de ces tâches consiste à employer ce qu’on appelle un « nudge », autrement dit une architecture du choix qui favorise l’efficacité de la prise de décision dans un domaine donné. Le SMM de l’IoT constitue le cadre idéal de cette architecture du choix (nudge) en matière de sécurité des informations de l’IoT. Il permet aux divers acteurs de faire le premier pas (puis le deuxième, le troisième, etc.) vers la sécurisation des systèmes, aussi bien pour une unité de production à grande échelle que pour un simple bracelet de sport », explique Ekaterina Rudina, analyste systèmes senior auprès de l’ICS CERT de Kaspersky Lab.
Le groupe d’experts travaille sur ce projet depuis près de deux ans : début 2017, l’équipe Security Applicability, qui s’intéresse à la mise en œuvre des pratiques de sécurité dans les applications IoT en situation réelle au sein de l’IIC, a commencé à étudier un modèle de maturité. Le Guide professionnel SMM vient en complément du document intitulé IoT SMM: Description and Intended Use White Paper, publié en 2018.
Le Guide professionnel consacré au modèle de maturité en matière de sécurité (SMM) est consultable en intégralité via ce lien.
Pour en savoir plus au sujet de l’expertise de Kaspersky Lab en matière de cybersécurité professionnelle, rendez-vous sur le site ics-cert.kaspersky.com