L'importance des PKI dans l'IoT industriel
Chaque entreprise travaillant dans l'IoT industriel doit avoir une stratégie PKI claire et ciblé, basée sur ses besoins et ses usages, garante d'une sécurité renforcée et d'une authentification forte.
La cybersécurité doit être une priorité absolue pour toute entreprise industrielle, non seulement en raison de la menace croissante des cyberattaques, mais aussi des exigences des conformités règlementaires telles que le CRA (Cyber Resilience Act) et la directive NIS2.
Tout commence avec une infrastructure à clé publique (PKI) augmentée d’un outil gestion de certificats qui fournissent les éléments essentiels et fondamentaux à la mise en œuvre et la conformité aux réglementations.
Challenges et défis de la transformation numérique industrielle
La digitalisation de l’OT industriel est en cours. Partout, les entreprises ouvrent leurs réseaux auparavant fermés, au monde de la connectivité cloud et des services distribués.
Alors que le réseau industriel suivait traditionnellement un mode de communication ascendant très structuré, allant du terrain jusqu’à l'entreprise, ces communications sont désormais ouvertes et chaque pièce et capteur peuvent communiquer avec n'importe quels autres acteurs du maillage de services (service mesh).
Ce nouveau niveau de connexion, qui présente d'énormes avantages en raison de sa flexibilité, soulève de nombreuses questions en matière de sécurité et de confiance. Il est donc essentiel de redéfinir une nouvelle approche de la sécurité pour l'industrie 4.0 et d’intégrer cette sécurité à chaque étape du processus. Pour y parvenir, une PKI (infrastructure à clé publique) solide et robuste est nécessaire pour l’ensemble des processus et procédures.
Les normes et réglementations PKI pour l'IoT industriel
Jusqu'à récemment, il n’existait pas de réglementation formalisée régissant la sécurité PKI nécessaire à l'IoT industriel. Cela a changé au cours des dernières années et de nouvelles normes continuent d’émerger :
- La norme IEC 62443 : Cette norme internationale de référence en matière de cybersécurité industrielle s’applique à tous les règlements et directives à venir. Elle établit les lignes directrices pour assurer la sécurité des systèmes industriels d’automatisation et de contrôle. Concrètement, elle fournit un cadre de cyberdéfense complet et normalisé pour évaluer les failles des systèmes et mettre en œuvre les mesures de sécurité ad hoc. Elle vise à établir une relation de confiance et de sécurité entre le fabricant de composants, le constructeur de machines et l'opérateur de l'usine.
La norme 62443 définit plusieurs exigences, notamment l'identification et le contrôle d'accès, le contrôle de l'utilisation, l'intégrité du système, la confidentialité, le flux de données et la disponibilité. La PKI, principal élément constitutif de cette norme, peut répondre à ces exigences. Elle permet notamment une identification et un contrôle d'accès nécessaires à l’émission de certificats, une signature de code adaptée et des processus de mise à jour en temps réel pour établir l'intégrité du système, ainsi qu’une connectivité TLS pour maintenir la confidentialité des données.
La norme prévoit également des niveaux de sécurité allant de zéro à quatre, basés sur des scénarios de hacking, des ressources, des compétences et des motivations, dictant les mesures nécessaires à mettre en place. À partir du niveau 2, la PKI devient obligatoire.
- Loi sur la cyber-résilience, NIS2 et directive sur les machines : Ces règlements et directives de l'UE définissent des exigences pour les produits contenant des éléments numériques, des normes globales de cybersécurité et des moyens de renforcer la confiance dans les technologies numériques. Les entreprises doivent maintenant réfléchir à la manière de répondre à ces exigences au sein de leur infrastructure.
- Norme IEEE 802.1 AR (ou Secure Device Identity) : Il s'agit d'une norme plus ancienne, qui a pour objectif de vérifier l'authentification de tout dispositif avant sa connexion au réseau. Elle contribue à prévenir les attaques via l'usurpation d'identité ou l'accès non autorisé aux ressources du réseau. Elle est référencée dans de nombreuses autres normes telles que : OPC 10000-12, qui régit les découvertes et services globaux, notamment la nécessité d'un service de gestion des certificats intégré, et OPC 10000-21, qui contrôle l'intégration sécurisée des appareils.
- RFC 8995 (ou BRSKI) : Cette norme fournit une méthode pour sécuriser le processus d’enrôlement des dispositifs connectés à un réseau, du simple capteur industriel aux machines les plus complexes ou autres dispositifs réseau déployés en usine. Elle adopte une approche différente mais a le même objectif que la norme OPC (intégrer des appareils à un réseau de manière sécurisée), de sorte que les équipes puissent avoir confiance dans le réseau et les dispositifs qui y sont connectés.
Établir les bases de la confiance pour les identités numériques avec une PKI
Les certificats numériques (gérés par une PKI) sont la base de la confiance pour toutes les communications sécurisées. Tous les composants sont dotés d'un certificat, ainsi seuls les éléments de communication authentifiés peuvent se connecter à l'environnement OT et établir un réseau de communication fiable. Enfin, disposer d'une fonctionnalité de signature et de chiffrement basée sur des certificats X.509 protège contre l'interception des données lors des communications, notamment les mises à jour logicielles, les mises à jour en direct, etc…
Toutefois, pour bénéficier pleinement des niveaux de sécurisation liée à ces normes il faut que la technologie et la gouvernance mises en œuvre soient au niveau. Pourtant, de nombreuses entreprises se heurtent à des problèmes liés aux certificats auto-signés, qui ne sont pas gérés et peuvent provoquer des pannes et de graves vulnérabilités. Un certificat auto-signé signifie que quelqu'un ou une machine génère un certificat de son propre chef, sans autorité de confiance pour en attester l’authenticité. Un tel certificat peut permettre à un système de contourner une vérification de sécurité, mais certainement pas d’établir des liaisons sécurisées dans un périmètre de confiance.
Une PKI correctement gérée résout ce problème en créant une infrastructure de confiance nécessaire, pour d’une part délivrer des identités numériques sous la forme de certificats X.509 mais aussi relier chaque identité à une clé cryptographique et permettre à chaque machine de vérifier la fiabilité de son interlocuteur de façon automatisée et transparente. La PKI trace alors un cercle de confiance autour des composants, machines et serveurs à protéger. Une PKI centralisée émettant les certificats permet non seulement aux équipes de sécurité de les gérer, mais aussi de les suivre tout au long de leur cycle de vie et donc de les renouveler de manière plus fluide lorsqu’ils expirent ou sont compromis.
Il existe aujourd’hui plusieurs réglementations et lignes directrices qui ont créé des normes détaillées pour l'utilisation de la PKI et des certificats X.509 dans l'IoT industriel et au-delà. Et il y en aura encore plus à l'avenir. Dans ce contexte, chaque entreprise travaillant dans l'IoT industriel doit avoir une stratégie PKI claire et ciblé, basée sur ses besoins et ses usages et construite sur une infrastructure évolutive, garante d’une sécurité renforcée et d’une authentification forte.