L'Internet des objets perturbe les politiques de sécurité
Annoncé et célébré de toutes parts comme un nouvel eldorado, l'Internet des objets inquiète les responsables sécurité des entreprises. Sont en cause : la gestion des identités et des accès (IAM), les méthodes de transfert de données et les différences d'utilisation de la mémoire.
Le cabinet Gartner prévoit que les exigences en matière de sécurité de l'Internet des objets (l'IdO) vont remodeler et élargir plus de la moitié de tous les programmes de sécurité informatique des entreprises dans le monde d'ici à 2020. Ces dispositifs IdO sont des dispositifs intelligents et programmables qui peuvent être contrôlés à distance et reliés à d'autres appareils, allant des services publics comme les compteurs intelligents aux réfrigérateurs de cuisine ou à la télématique automobile.
"L'IdO redessine les lignes des responsabilités informatiques pour les entreprises », a déclaré Earl Perkins, analyste au Gartner. "Les objets de type IdO possèdent la capacité de modifier l'état de l'environnement autour d'eux, ou même leur propre Etat. Dès lors, sécuriser l'IdO élargit la responsabilité traditionnelle prise en matière de sécurité informatique, car chaque dispositif d'identification, de détection et de communication ajoute de nouvelles informations."
Sur le même sujetSécurité du stockage cloud : nul n'est à l'abriSécurité traditionnelle et IdO
Le Gartner affirme que, bien que l'infrastructure informatique traditionnelle soit capable de traiter beaucoup de tâches de sécurité dans le cadre de l'Internet des objets, des fonctions qui sont livrées comme des plates-formes spécialement construites à l'aide de la technologie embarquée, comme les capteurs et les communications de machine à machine (M2M) pour un usage professionnel spécifique, opèrent un changement dans le concept traditionnel de l'informatique et dans celui de la sécurité informatique.
Earl Perkins ajoute : "exercées en temps réel, des applications pilotées par les événements et les protocoles non standards nécessiteront des changements lors des tests d'application, dans l'évaluation de la vulnérabilité, la gestion des identités et des accès (IAM) et d'autres domaines. Les méthodes de transfert de données et les différences d'utilisation de la mémoire devront également exiger des changements. La gouvernance, la gestion et les opérations des fonctions de sécurité devront changer pour s'adapter à des responsabilités accrues ».
Remplacer ou faire évoluer ?
Pour lui, c'est assez semblable à la façon dont le Bring your own device (BYOD ), la mobilité et le cloud computing ont nécessité des changements, mais sur une échelle beaucoup plus grande et beaucoup plus étendue. Toutefois, le Gartner explique encore que les RSSI ne devraient pas supposer que les technologies et les services de sécurité existants doivent être remplacés quand il s'agit de l'IdO. Ils devraient au contraire évaluer le potentiel de l'intégration de nouvelles solutions de sécurité avec les anciennes.
Beaucoup de fournisseurs de produits de sécurité traditionnels étendent leurs portefeuilles existants et intègrent le soutien de base pour les systèmes embarqués et les communications M2M, y compris le soutien pour les protocoles de communication, la sécurité des applications et des exigences IAM qui sont spécifiques à l'IdO. Selon le Gartner, les RSSI devraient " commencer petit " et développer des projets de sécurité basés sur les interactions spécifiques IdO dans des cas d'utilisation précis. Les RSSI peuvent ensuite s'appuyer sur ces cas d'utilisation d'expériences pour élaborer des scénarios communs de sécurité de déploiement, des fondations architecturales fondamentales et des centres de compétences pour l'avenir.
(photo de UNE : OVH)
