Piloté par des représentants de AT&T, Bosch SI, Cisco, EMC, Fujitsu, GE, Huawei, IBM, Intel, Mitre, RTI, SAP et Schneider Electric, l’Industrial Internet Consortium (IIC) vient de publier un framework de sécurité commun ...qui vise à répondre aux problèmes de sûreté, de fiabilité, de résilience, de sécurité et de confidentialité des équipements de l’Internet des objets industriel (IIoT). Le framework IISF (Industrial Internet Security Framework) a également pour ambition de définir les risques, la manière de les évaluer, les menaces, les métriques et les indicateurs de performances qui pourront aider les entreprises à protéger leurs installations.
« A l’heure actuelle, de nombreux équipements industriels n’ont tout simplement pas de sécurité adéquate mise en place, indique Richard Soley, directeur exécutif de l’IIC. Or le niveau de sécurité que l’on trouve au sein de l’Internet grand public ne convient pas à l’Internet industriel. Lorsqu’on injecte des mécanismes de sécurité au sein d'un système industriel, il faut s'assurer qu'ils n'interfèrent pas avec les exigences de sécurité et de fiabilité. Dans ce cadre, le framework IISF explore les solutions aux problèmes qui infectent le secteur industriel depuis des années. Le consortium IIC compte aussi mettre la vision de l’IISF au sein de notre banc d’essai. » L’organisme industriel met en effet en place depuis début 2016 un banc d’essai destiné à évaluer les fonctions de sécurité et de cybersécurité des points d’extrémité, des passerelles et autres équipements industriels en réseau. (Lire notre article ici.)
Dans le détail, le framework IISF a vocation à proposer des mécanismes de sécurité à plusieurs niveaux (business, fonctionnel et implémentation). D’un point de vue fonctionnel par exemple, l’IISF répartit l’évaluation de la sécurité sur les blocs constitutifs que sont les points d’extrémité, les communications, la surveillance et la configuration (avec des sous-divisions par chacun de ces blocs), et recommande des bonnes pratiques d’implémentation. Plus globalement, le framework scinde l’espace industriel en trois grandes classes d’intervenants : les fabricants de composants matériels ou logiciels, les fabricants de systèmes qui combinent matériels et logiciels pour créer des équipements, et les utilisateurs opérationnels qui possèdent ou opèrent ces systèmes et qui doivent gérer les risques que font peser ces systèmes sur leurs processus industriels.
Pour assurer une sécurité de bout en bout, ce sont les utilisateurs industriels qui doivent concrètement évaluer le niveau de confiance de la solution complète. « Chaque projet IIoT doit intégrer de la sécurité un peu partout, mais cela doit être fait correctement dans un cadre industriel, ce qui signifie avoir à traiter de nombreux niveaux et de multiples dimensions de complexité, soutient Greg Gorbach, vice-président de la société d’études et de conseil ARC Advisory Group. Le framework IISF fournit une approche globale de sécurité qui permet de s’assurer que rien n’a été oublié et que les risques sont minimisés. » Le framework IISF est téléchargeable gratuitement ici (au format PDF).