ICON LABS: Standards Cyber Sécurité
Standards Cyber Sécurité : S’assurer de la conformité.
De nos jours les problèmes de cyber sécurité des systèmes embarqués connectés sont bien une réalité quotidienne. Cela devient même une intérrogation pour le grand public : Quelle confiance puis-je avoir dans le produit que j’utilise ? Cela peut avoir également un impact direct sur la sécurité des personnes ou des installations et services. Dès lors, comment développer un système protégé ?
En 2014, une étude du HP Labs(1) sur 10 produits IoT grands publics a montré que 70% de ces produits avaient des failles majeures de sécurité, notamment sur la confidentialité des données personnelles, les mécanismes d’authentification ou encore les protections des communications. Environ 250 failles ont été dénombrées et ce rapport a démontré que la sécurité, pour les produits où cette reflexion avait été menée, ne l’avait été qu’à la fin de la conception.
Même de nos jours, si la cyber sécurité des systèmes embarqués est devenue une préoccupation majeure pour les états et les industriels, il est encore impossible pour un citoyen de connaitre le niveau de sécurité d’un équipement connecté, alors qu’il peut très simplement comparer la classe énergétique entre deux équipements électriques ou s’assurer de la conformité CE de son produit.
En 2014, une étude du HP Labs(1) sur 10 produits IoT grands publics a montré que 70% de ces produits avaient des failles majeures de sécurité, notamment sur la confidentialité des données personnelles, les mécanismes d’authentification ou encore les protections des communications. Environ 250 failles ont été dénombrées et ce rapport a démontré que la sécurité, pour les produits où cette reflexion avait été menée, ne l’avait été qu’à la fin de la conception.
Même de nos jours, si la cyber sécurité des systèmes embarqués est devenue une préoccupation majeure pour les états et les industriels, il est encore impossible pour un citoyen de connaitre le niveau de sécurité d’un équipement connecté, alors qu’il peut très simplement comparer la classe énergétique entre deux équipements électriques ou s’assurer de la conformité CE de son produit.
Rôle des standards de Cyber Sécurité :
Depuis plusieurs années différents standards ou bonnes pratiques sont apparus, provenant soit des agences nationales de sécurité informatique (ANSSI pour la France), soit de comités normatifs dans lesquels interviennent grands nombres d’industriels tels que, entre autres, l’ISO2700x ou l’IEC62443.
Le rôle de tous ces standards est de définir les règles de sécurité que tout système connecté devrait embarquer en fonction de son utilisation et de sa criticité. Ils ont également pour but de donner des moyens de mesure de robustesse face aux attaques et risques cyber du produit.
Cette notion de « mesure » du niveau de sécurité d’un équipement est importante, et pourrait un jour être utilisée pour évaluer la sécurité d’un produit ou servir pour les assurances dans l’indemnisation liée aux dommages cyber. Certains secteurs industriels ont déjà pris cette voie notamment dans l’energie (NERC-CIP) ou dans l’automation/industrie 4.0 (IEC62443) : Si un produit répond à ces exigences, l’utilisateur peut alors être assuré que l’appareil sera conforme au niveau de sécurité attendu.
Quels standards choisir ?
ISO2700X, IEC62443, ISO15408 (Common Criterea), etc …, devant ces différents standards ou « normes » les industriels eux-mêmes sont confrontés à la problématique du choix : Quel standard ou quelle norme Cyber Sécurité dois je appliquer ou à minima en suivre les recommendations ?
Ce choix est d’autant plus difficile qu’aujourd’hui aucune réelle législation (hormis pour les équipements intervenant sur des systèmes d’intérêts vitaux pour la nation et certains domaines spécifiques) n’impose telle ou telle norme. De plus, chaque marché a ses propres impératifs, notamment en termes de prix de revient, d’architectures processeurs ou de ressources disponibles sur l’équipement, ce qui rend l’utilisation d’un standard « générique » quasi impossible.
Si certains secteurs industriels sont en avance sur ces sujets, il n’en reste pas moins vrai que la définition de ces standards et l’évolution de la législation vont prendre du temps. Cependant, les industriels doivent produire des équipements de plus en plus sûrs, et ce, dès aujourd’hui.
Si cette équation n’est pas des plus simple à résoudre, et même si les standards actuels ne sont pas normatifs ni imposés, la bonne nouvelle est qu’ils définissent tous un « framework sécuritaire » de bonnes pratiques.
A titre d’exemple, l’IEC62443 regroupe par exemple ces fonctionnalités en fonction de la classe de sécurité de l’équipement concerné (Fig1).
Depuis plusieurs années différents standards ou bonnes pratiques sont apparus, provenant soit des agences nationales de sécurité informatique (ANSSI pour la France), soit de comités normatifs dans lesquels interviennent grands nombres d’industriels tels que, entre autres, l’ISO2700x ou l’IEC62443.
Le rôle de tous ces standards est de définir les règles de sécurité que tout système connecté devrait embarquer en fonction de son utilisation et de sa criticité. Ils ont également pour but de donner des moyens de mesure de robustesse face aux attaques et risques cyber du produit.
Cette notion de « mesure » du niveau de sécurité d’un équipement est importante, et pourrait un jour être utilisée pour évaluer la sécurité d’un produit ou servir pour les assurances dans l’indemnisation liée aux dommages cyber. Certains secteurs industriels ont déjà pris cette voie notamment dans l’energie (NERC-CIP) ou dans l’automation/industrie 4.0 (IEC62443) : Si un produit répond à ces exigences, l’utilisateur peut alors être assuré que l’appareil sera conforme au niveau de sécurité attendu.
Quels standards choisir ?
ISO2700X, IEC62443, ISO15408 (Common Criterea), etc …, devant ces différents standards ou « normes » les industriels eux-mêmes sont confrontés à la problématique du choix : Quel standard ou quelle norme Cyber Sécurité dois je appliquer ou à minima en suivre les recommendations ?
Ce choix est d’autant plus difficile qu’aujourd’hui aucune réelle législation (hormis pour les équipements intervenant sur des systèmes d’intérêts vitaux pour la nation et certains domaines spécifiques) n’impose telle ou telle norme. De plus, chaque marché a ses propres impératifs, notamment en termes de prix de revient, d’architectures processeurs ou de ressources disponibles sur l’équipement, ce qui rend l’utilisation d’un standard « générique » quasi impossible.
Si certains secteurs industriels sont en avance sur ces sujets, il n’en reste pas moins vrai que la définition de ces standards et l’évolution de la législation vont prendre du temps. Cependant, les industriels doivent produire des équipements de plus en plus sûrs, et ce, dès aujourd’hui.
Si cette équation n’est pas des plus simple à résoudre, et même si les standards actuels ne sont pas normatifs ni imposés, la bonne nouvelle est qu’ils définissent tous un « framework sécuritaire » de bonnes pratiques.
A titre d’exemple, l’IEC62443 regroupe par exemple ces fonctionnalités en fonction de la classe de sécurité de l’équipement concerné (Fig1).
L’ensemble des standards de Cyber Sécurité existants à ce jour définissent que la sécurité doit être globale et doit porter sur :
Pour un système embarqué connecté, on peut regrouper ces recommandations ou exigences de ces différents standards dans un « framework » de sécurité tel que défini en figure 2.
- Protection de l’appareil : S’assurer que seul un code authentifié provenant d’une source reconnue puisse sexécuter sur l’appareil.
- Protection des données : Par la protection des communications, des données stockées (DAR – Data-At-Rest), mise au rebus sécurisée de l’équipement en fin de vie.
- Détection des attaques : Par l’utilisation de mécanismes de surveillance (Monitoring) et de détection avec intégration dans des systèmes de gestion de politiques de sécurité de plus haut niveau.
- Système de gestion des politiques de sécurité : Permettant de mettre à jour les règles de sécurité vis-à-vis de menaces émergentes.
On retrouve ce même schéma dans les évolutions des normes de sécurité fonctionnelle. Par exemple l’autorité américaine FDA, traitant entre autres des dispositifis médicaux, a défini, dans l’évolution de la norme FDA510(K) en 2014, cinq fonctions centrales en termes de Cyber Sécurité : Identifier, Protéger, Détecter, Répondre et Récuperer.
S’il est donc clair que choisir un standard n’est pas facile, adopter un tel type de « framework sécuritaire » est primodial car il est le socle de toutes les fonctions de sécurité principales et minimales qui seront exigées dans un avenir proche.
S’il est donc clair que choisir un standard n’est pas facile, adopter un tel type de « framework sécuritaire » est primodial car il est le socle de toutes les fonctions de sécurité principales et minimales qui seront exigées dans un avenir proche.
Floodgate Security Framework : Se péparer à la conformité
Dés lors la question suivante est « Comment implémenter cela dans mon produit aujourd’hui, tout en m’assurerant d’avoir le maximum de chance d’être conforme demain ? »
C’est le but de Floodgate Security Framework (FSF) qui permet, par le biais de librairies logicielles, l’impléméntation de toutes ou parties des fonctions de sécurité requises pour la conception d’un système embarqué sécurisé, authentifié et fiable (fig3.).
Dés lors la question suivante est « Comment implémenter cela dans mon produit aujourd’hui, tout en m’assurerant d’avoir le maximum de chance d’être conforme demain ? »
C’est le but de Floodgate Security Framework (FSF) qui permet, par le biais de librairies logicielles, l’impléméntation de toutes ou parties des fonctions de sécurité requises pour la conception d’un système embarqué sécurisé, authentifié et fiable (fig3.).
La convergence des mondes IT & OT ainsi que les exigences des normes & Standards de Cyber Sécurité imposent ou vont imposer que tous les équipements connectés puissent être approuvés, authentifiés et sécurisés avant de pouvoir opérer sur le réseau. Le framewaork Floodgate amène l’ensemble des fonctionnalités permettant de :
- Gérer le système afin de pouvoir l’intégrer sur une réseau (IT/OT)
- Sécuriser le device lui-même contre les attaques
- Fournir les blocs de sécurité ou permettre la construction de ces blocs de sécurité nécessaires à la conformité aux standards tels que EDSA, ISA/IEC 62443, FDA510(K), NERC-CIP, etc…
Les principaux modules de FSF sont :
Conclusion :
L’utilisation des systèmes embarqués connectés est devenue massive, et face aux attaques, il n’est plus acceptable qu’ils présentent des failles de Cyber Sécurité. Alors que les standards et normes de Cyber Sécurité sont toujours en cours de rédaction, il est obligatoire d’intégrer la sécurité dès à présent sur les produits en développement. Même si aucune directive n’est imposée pour un grand nombre de secteurs industriels, il est primordial pour les industriels de suivre les canevas (même préliminaires) de Cyber Sécurité définis dans les standards actuels afin de garantir la robustesse de leurs équipements d’une part, mais également de les préparer a être conformes aux futures législations nationales et internationales.
Pour un marché qui representera entre 50 et 80 milliards d’objets et systèmes conectés en 2020(2), c’est à cette unique condition que le grand public gardera confiance.
Sources :
(1) : http://www8.hp.com/us/en/hp-news/press-release.html?id=1744676#.We2gS1u0Npg
(2) : https://www.objetconnecte.net/objets-connectes-chiffres-etudes-2401/
- Gérer le système afin de pouvoir l’intégrer sur une réseau (IT/OT)
- Sécuriser le device lui-même contre les attaques
- Fournir les blocs de sécurité ou permettre la construction de ces blocs de sécurité nécessaires à la conformité aux standards tels que EDSA, ISA/IEC 62443, FDA510(K), NERC-CIP, etc…
Les principaux modules de FSF sont :
- Floodgate™ Firewall : Pare-feu embarqué avec inspection avancée des paquets
- Floodgate™ Intrusion Detection Software (IDS) : Détection de tout changement malicieux du firmware, de la configuration du système ou de données statiques
- Floodgate™ Secure Boot : Assure qu’uniquement le firmware (et les mises à jour) authentiques puissent s’exécuter sur le produit
- Floodgate™ Agent : Agent de monirtoring, de gestion d’évènements et des règles de sécurité (intégration dans les SIEM)
- Floodgate™ PKI Client : Compatible PKI Publics ou avec Floodgate CA (Certificate Manager) permet l’authentification, la distribution, la révocation des clés et certificats
Conclusion :
L’utilisation des systèmes embarqués connectés est devenue massive, et face aux attaques, il n’est plus acceptable qu’ils présentent des failles de Cyber Sécurité. Alors que les standards et normes de Cyber Sécurité sont toujours en cours de rédaction, il est obligatoire d’intégrer la sécurité dès à présent sur les produits en développement. Même si aucune directive n’est imposée pour un grand nombre de secteurs industriels, il est primordial pour les industriels de suivre les canevas (même préliminaires) de Cyber Sécurité définis dans les standards actuels afin de garantir la robustesse de leurs équipements d’une part, mais également de les préparer a être conformes aux futures législations nationales et internationales.
Pour un marché qui representera entre 50 et 80 milliards d’objets et systèmes conectés en 2020(2), c’est à cette unique condition que le grand public gardera confiance.
Sources :
(1) : http://www8.hp.com/us/en/hp-news/press-release.html?id=1744676#.We2gS1u0Npg
(2) : https://www.objetconnecte.net/objets-connectes-chiffres-etudes-2401/
Contactez-nous pour plus d'informations.