Fonctionnalités de sécurité de l'IoT - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnalités de sécurité de l'IoT

Cette section décrit les recommandations relatives à l'accès sécurisé, à l'utilisation et à la mise en œuvre des fonctionnalités de sécurité de l'IoT décrites dans la section précédente.

Important

Utilisez un cadre commun tel que MITRE ATT&CK ou ISA/IEC 62443 pour effectuer une évaluation des risques de cybersécurité et utilisez les résultats pour éclairer l'adoption des capacités pertinentes. Votre choix dépend de la familiarité de votre organisation avec ces cadres et des attentes de vos auditeurs réglementaires ou de conformité.

Guide d'évaluation des risques

Que vous déployiez des appareils IoT grand public, des charges de travail IoT industrielles ou des technologies opérationnelles, vous devez d'abord évaluer les risques et les menaces associés à votre déploiement. Par exemple, le déni de service réseau (T1498) est une menace courante pour les appareils IoT répertoriés dans le framework MITRE ATT&CK. La définition d'une attaque denial-of-service (DoS) contre un appareil IoT consiste à interdire les communications d'état ou de commande et de contrôle à destination et en provenance d'un appareil IoT et de ses contrôleurs. Dans le cas d'un appareil IoT grand public, tel qu'une ampoule intelligente, l'incapacité de communiquer l'état ou de recevoir des mises à jour depuis un point de contrôle central peut créer des problèmes mais n'aura probablement pas de conséquences graves. Cependant, dans un système OT et IIo T qui gère une installation de traitement d'eau, un service public ou une usine intelligente, la perte de la capacité de recevoir des commandes pour ouvrir ou fermer des vannes à clé pourrait avoir un impact plus important sur les opérations, la sécurité et l'environnement. Pour cette raison, considérez l'impact des différentes menaces courantes, comprenez comment elles s'appliquent à vos cas d'utilisation et déterminez les moyens de les atténuer. Les principales recommandations sont les suivantes :

  • Identifiez, gérez et suivez les lacunes et les vulnérabilités. Créez et gérez un modèle de up-to-date menace contre lequel vous pouvez surveiller vos systèmes.

  • Tenez à jour un inventaire de tous les actifs connectés et d'une architecture up-to-date réseau.

  • Segmentez vos systèmes en fonction de leur évaluation des risques. Certains systèmes IoT et informatiques peuvent présenter les mêmes risques. Dans ce scénario, utilisez un modèle de zonage prédéfini avec des contrôles appropriés entre les deux.

  • Suivez une approche de microsegmentation pour isoler l'impact d'un événement.

  • Utilisez les mécanismes de sécurité appropriés pour contrôler le flux d'informations entre les segments du réseau.

  • Comprenez les effets potentiels de l'impact indirect sur les canaux de communication. Par exemple, si un canal de communication est partagé avec une autre charge de travail, un événement DoS sur cette autre charge de travail peut affecter les communications réseau de la charge de travail IIo T ou OT.

  • Identifiez et examinez régulièrement les opportunités de minimisation des événements de sécurité au fur et à mesure de l'évolution de votre solution.

Dans les environnements OT ou IIo T, envisagez de partitionner le système considéré (SuC) en zones et conduits séparés conformément à la norme ISA/IEC 62443-3-2, Évaluation des risques de sécurité pour la conception du système. L'objectif est d'identifier les actifs qui partagent des caractéristiques de sécurité communes afin d'établir un ensemble d'exigences de sécurité communes qui réduisent les risques de cybersécurité. Le partitionnement du SUC en zones et en conduits peut également contribuer à réduire le risque global en limitant l'impact d'un cyberincident. Les diagrammes de zones et de conduits peuvent faciliter l'évaluation détaillée des risques liés à la cybersécurité OT ou IIo T et aider à identifier les menaces et les vulnérabilités, à déterminer les conséquences et les risques, et à fournir des mesures correctives ou de contrôle pour protéger les actifs contre les cyberévénements.

Recommandé Services AWS

Lorsque vous créez votre environnement dans le AWS Cloud, utilisez des services de base tels qu'Amazon Virtual Private Cloud (Amazon VPC), les groupes de sécurité VPC et les listes de contrôle d'accès réseau ( ACLsréseau) pour implémenter la microsegmentation. Nous vous recommandons d'en utiliser plusieurs Comptes AWS pour isoler les applications, les données et les processus métier IoT, IIo T et OT dans votre environnement, et de les utiliser AWS Organizations pour une meilleure gérabilité et des informations centralisées.

Pour plus d'informations, consultez le pilier de sécurité du AWS Well-Architected Framework et AWS le livre blanc AWS Organizing Your Environment Using Multiple Accounts.