Remplir les conditions de la loi sur l'amélioration de la cybersécurité de l'IdO avec KernelCare

La semaine dernière, le Congrès américain a officiellement signé une loi bipartisane, Loi de 2020 sur l'amélioration de la cybersécurité de l'internet des objetsou IoT Cybersecurity Improvement Act of 2020 (loi de 2020 sur l'amélioration de la cybersécurité de l'IdO). Parrainée par les Reps. Will Hurd (R-Tex) et Robin Kelly (D-Ill), la loi a été faite pour établir que le gouvernement n'achète que des appareils sécurisés et ferme les vulnérabilités existantes. Cette loi concerne principalement les applications du gouvernement fédéral américain, les partenaires fournisseurs, les fabricants d'équipements et les parties prenantes qui traitent avec le gouvernement fédéral. Toutefois, cette loi peut avoir des effets d'entraînement qui vont au-delà des garanties de sécurité pour les entités gouvernementales, les acteurs de l'industrie privée et les consommateurs étant plus que susceptibles de bénéficier des nouvelles normes en matière d'appareils connectés.

Contenu :

1. Menaces de cybersécurité et violations de données par les gouvernements
2. Nouvelles exigences légales en matière de correctifs pour l'industrie de l'information et de la communication (IoT)
3. Qu'est-ce que cela signifie pour le gouvernement ?
4. Comment KernelCare for IoT peut-il contribuer à la sécurité des entreprises en matière d'IdO ?
5. L'application des correctifs en temps voulu est la clé de la conformité
6. Conclusion

Menaces de cybersécurité et violations de données par les gouvernements

Selon un récent rapport d'Accenture, les attaquants ne cherchent pas seulement à voler des données, mais aussi à les détruire. La destruction des données par des logiciels malveillants tels que les ransomwares pourrait avoir un impact plus important sur la fiabilité, la productivité et l'intégrité des données. L'enquête a révélé que les attaques ont augmenté de 72 % au cours des cinq dernières années et que le coût d'une violation est passé de 11,7 millions de dollars à 13 millions de dollars. L'étude Ponemon sur le coût d'une violation de données montre qu'il faut en moyenne 280 jours pour identifier et contenir une violation - ce qui signifie que les attaquants ont accès aux données pendant près d'un an avant que l'organisation ne réagisse et ne remédie à la compromission.

ABI Research prévoit que les connexions IoT dépasseront les 23 milliards sur l'ensemble des principaux marchés IoT d'ici 2026 et qu'elles seront confrontées à des cybermenaces incessantes et en constante évolution. Ces menaces obligent les responsables de la mise en œuvre et les fournisseurs de l'IdO à adopter de nouvelles options de sécurité numérique et à investir dans des services d'authentification des appareils sécurisés, dont le marché devrait atteindre 8,4 milliards de dollars de revenus d'ici 2026. Parallèlement, le "2020 Threat Intelligence Report" de Nokia a révélé que l'IoT était responsable de 32,72 % de toutes les infections observées dans les réseaux mobiles, contre 16,17 % en 2019.

Rien qu'au cours des dix dernières années, les dix principales violations de données gouvernementales ont compromis les données personnelles de 348 millions d'Américains : numéros de sécurité sociale, dates de naissance, numéros de permis de conduire, numéros de cartes de crédit et de débit, adresses personnelles, numéros de téléphone, informations relatives à l'inscription sur les listes électorales et à l'appartenance à un parti, dossiers de patients et ordonnances, etc. Si certaines de ces violations de données sont dues à une erreur humaine, d'autres sont dues au fait que les données étaient stockées sur un serveur public, à des disques durs défectueux, à des données non cryptées et à la violation d'un site web gouvernemental sur la santé.

Ces données prouvent une fois de plus que la sécurité des dispositifs IoT devient primordiale pour garantir aux gouvernements, aux entreprises et aux utilisateurs finaux qui interagissent avec les dispositifs IoT que leurs informations personnelles et professionnelles sont entièrement protégées. À l'échelle mondiale, les organismes de réglementation exigent et vérifient de plus en plus que les appareils sont aussi sécurisés que possible avant et après leur mise sur le marché. Par exemple, aux États-Unis, la Food and Drug Administration (FDA) a publié des orientations qui décrivent les exigences relatives aux dispositifs médicaux et qui imposent de nombreux aspects du développement et de la maintenance des dispositifs.

Nouvelles exigences légales en matière de correctifs pour l'industrie de l'information et de la communication (IoT)

Le gouvernement fédéral a officiellement signé la loi sur l'amélioration de la cybersécurité de l'IdO (IoT Cybersecurity Improvement Act) le 4 décembre 2020. Cette loi vise à garantir que seuls des dispositifs sécurisés sont achetés par le gouvernement des États-Unis et à combler toutes les vulnérabilités existantes. La loi a été mise en vigueur dans le but de rendre l'infrastructure IoT du gouvernement plus sûre, mais elle pourrait avoir un impact sur les industries privées et les consommateurs avec des normes de sécurité des appareils plus élevées.

La loi sur l'amélioration de la cybersécurité ne fixe pas de normes de sécurité, mais charge l'Institut national des normes et de la technologie (NIST) de s'en occuper. Bien que les normes de sécurité n'aient pas encore été créées ou publiées, ce qui sera déterminé aura un impact profond sur le secteur privé et les consommateurs.

Le NIST dispose de 90 jours à compter de la signature de la loi pour élaborer des normes et des lignes directrices sur la sécurité des dispositifs IdO contrôlés ou détenus par une agence fédérale. Ces normes et lignes directrices doivent être cohérentes avec les autres efforts déployés pour les dispositifs IdO, notamment en matière de développement et de gestion des identités, des correctifs et de la configuration.

À la suite des normes initiales, le NIST dispose de 180 jours après la signature de la loi pour élaborer des lignes directrices concernant le signalement, la publication, la coordination et la réception de toute information relative aux failles de sécurité liées aux agences fédérales et s'appliquera à tous les contractants ou vendeurs du gouvernement fédéral.

L'Office of Management and Budget (OMB) a été chargé d'élaborer et de superviser la mise en œuvre des politiques, principes, normes ou lignes directrices nécessaires pour remédier aux faiblesses des systèmes d'information en matière de sécurité, comme le prévoit le NIST.

Le projet de loi prévoit également que le NIST examine et révise les normes et les lignes directrices tous les cinq ans, le cas échéant, et que l'OMB mette à jour ses politiques ou ses principes pour qu'ils soient compatibles avec les révisions du NIST.

Cette nouvelle loi stipule qu'"il est interdit à une agence de se procurer, d'obtenir ou d'utiliser un dispositif IdO si l'agence détermine, lors de l'examen d'un contrat, que l'utilisation d'un tel dispositif empêche le respect des normes et des lignes directrices, sous réserve d'une dérogation lorsque cela est nécessaire pour la sécurité nationale, à des fins de recherche, ou lorsque ce dispositif est sécurisé à l'aide d'autres méthodes efficaces".

Le représentant Will Hurd (R-Tex), qui a soutenu la loi de 2020 sur l'amélioration de la cybersécurité de l'Internet des objets, a déclaré dans un communiqué : "Si vous introduisez un nouveau gadget dans l'infrastructure fédérale avec des vulnérabilités connues, ces vulnérabilités doivent être corrigées."

Qu'est-ce que cela signifie pour le gouvernement ?

Le gouvernement des États-Unis s'est tenu au courant des vulnérabilités en matière de sécurité des systèmes, des partenaires fournisseurs, des fabricants d'équipements et des parties prenantes avec lesquels il travaille. Outre la loi de 2020 sur la cybersécurité de l'internet des objets (The Internet of Things Cybersecurity Act of 2020), le gouvernement a publié d'autres textes législatifs qui contribuent à lutter contre les tentatives de piratage potentielles.

L'une des façons dont ils ont travaillé dans ce monde technologique pour protéger leurs systèmes et leurs informations est d'exiger de leurs fournisseurs qu'ils se conforment au FedRAMP. FedRAMP est le programme fédéral de gestion des risques et des autorisations. Ce programme gouvernemental "fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue des produits et services en nuage". FedRAMP permet aux agences d'utiliser des technologies modernes d'informatique en nuage, en mettant l'accent sur la sécurité et la protection des informations fédérales, et contribue à accélérer l'adoption de solutions sécurisées d'informatique en nuage".

En 2018, l'administration a publié sa stratégie nationale en matière de cybernétique et a déclaré : "De nouvelles menaces et une nouvelle ère de concurrence stratégique exigent une nouvelle stratégie cybernétique qui répond aux nouvelles réalités, réduit les vulnérabilités, dissuade les adversaires et préserve les opportunités de prospérité du peuple américain. La sécurisation du cyberespace est fondamentale pour notre stratégie et nécessite des avancées techniques et une efficacité administrative dans l'ensemble du gouvernement fédéral et du secteur privé. L'administration reconnaît également qu'une approche purement technocratique du cyberespace est insuffisante pour répondre à la nature des nouveaux problèmes auxquels nous sommes confrontés. Les États-Unis doivent également faire des choix politiques pour imposer des coûts s'ils espèrent dissuader les cyberacteurs malveillants et empêcher une nouvelle escalade". La stratégie nationale sur le cyberespace du gouvernement garantit que c'est le cas :

• Sécuriser les réseaux et les informations du gouvernement fédéral
• Sécuriser les infrastructures critiques
• Lutte contre la cybercriminalité et amélioration de la notification des incidents
• Favoriser une économie numérique dynamique et résiliente
• Encourager et protéger l'ingéniosité des États-Unis
• Former une main-d'œuvre de qualité supérieure dans le domaine de la cybersécurité
• Renforcer la cyber stabilité grâce à des normes de comportement responsable des États
• Attribuer et dissuader les comportements inacceptables dans le cyberespace
• Promouvoir un internet ouvert, interopérable, fiable et sûr
• Renforcer la cybercapacité internationale

Comment KernelCare for IoT peut-il contribuer à la sécurité de l'entreprise dans le domaine de l'IdO ?

De nombreux appareils pilotant des systèmes d'automatisation industrielle doivent être en service 24x7x365, et les organisations devraient toujours mettre à jour un appareil IoT pour une meilleure cybersécurité. Mais la tâche devient difficile lorsqu'il s'agit de millions d'appareils. Les appareils IoT fonctionnant avec le noyau Linux ont besoin d'une sécurité étanche. Ils doivent tous pouvoir être mis à jour. Et, ce qui est tout aussi important, les entreprises doivent être en mesure de les corriger le plus rapidement possible.

Le redémarrage est la méthode utilisée par la plupart des entreprises pour appliquer les mises à jour de sécurité. Mais comme le redémarrage est fastidieux, l'application des correctifs du noyau est toujours retardée, de plusieurs semaines, voire de plusieurs mois. Si le gouvernement ou l'entreprise redémarre l'appareil pour combler la vulnérabilité du noyau Linux de l'appareil IoT, ils sont loin d'être aussi sûrs qu'ils pourraient l'être.

KernelCare for IoT fournit des correctifs en direct pour les noyaux Linux dans les appareils IoT sans perturber les processus et les opérations en cours.

KernelCare IoT est conçu pour les appareils à faible consommation, légers et dotés d'un chipset basé sur le bras, mais il peut également fonctionner sur les appareils basés sur Intel, comme les passerelles de périphérie. Les nouveaux correctifs sont développés, compilés et testés par l'équipe KernelCare et sont généralement publiés dans les deux jours qui suivent la publication de nouvelles vulnérabilités, ce qui permet de sécuriser vos appareils. Un minuscule module de noyau sur l'appareil IoT charge le nouveau code sécurisé dans une partition, gèle tous les processus pendant que le nouveau code est calé dans la mémoire, puis débloque tous les processus et l'appareil continue de fonctionner. Tout cela prend quelques nanosecondes, de sorte qu'aucune interruption de service ou condition de basculement n'est provoquée. Les correctifs peuvent être fournis à partir de l'infrastructure du réseau IoT selon les besoins - sur un réseau privé, par voie hertzienne (OTA) ou via l'internet public à partir d'un serveur en nuage si les appareils y ont accès.

Il est également important de noter que chaque nouveau correctif que nous construisons est un binaire atomique. Cela signifie que chaque nouveau correctif atténue toutes les vulnérabilités antérieures pour la version du noyau pour laquelle il a été conçu. Cette méthode est beaucoup plus sûre et stable que l'empilement de nouveaux correctifs sur d'anciens, et elle a permis à de nombreux clients de KernelCare de faire fonctionner des appareils pendant plus de 6 ans sans redémarrage. Plus de 2 200 jours consécutifs de fonctionnement, toutes les vulnérabilités ayant été corrigées pendant cette période, sans aucun temps d'arrêt. Aujourd'hui, ces clients continuent de fonctionner de cette manière et le feront encore pendant des années. Ceci est d'autant plus important que de nombreuses spécifications de systèmes IoT exigent un horizon de service de plus de 20 ans.

Nos ingénieurs KernelCare IoT travailleront avec chaque client pour configurer les meilleurs moyens de recevoir, de stocker et de fournir des correctifs en fonction de l'environnement individuel du client. Mieux encore, KernelCare IoT peut être déployé sur des appareils opérationnels existants sans arrêt ni redémarrage. Ainsi, l'adaptation des réseaux existants et la mise à jour des appareils qui fonctionnent depuis des années sans correctifs peuvent être réalisées très rapidement et facilement.

L'application de correctifs en temps voulu est la clé de la conformité à la loi de 2020 sur l'amélioration de la cybersécurité de l'Internet des objets et de la sécurité des gouvernements et des entreprises.

De plus en plus d'entreprises passent à l'utilisation de plateformes basées sur le cloud pour le stockage, la mise en réseau et la puissance de traitement, mais cela peut les exposer à des vulnérabilités si leurs plateformes ne sont pas entretenues. Les dispositifs et infrastructures IoT sont particulièrement vulnérables car ils existent en dehors du réseau principal et ne sont pas conçus dans un souci de sécurité, ce qui permet aux pirates d'accéder facilement à des informations sensibles. Ces vulnérabilités de l'IdO peuvent entraîner une exposition pour :

• Systèmes d'exploitation - Chaque port ouvert et protocole disponible du système d'exploitation constitue une surface d'attaque. Le code des unités de microcontrôleur (MCU) de l'IdO fonctionne sur une base "bare metal", sans système d'exploitation. Ils peuvent avoir de nombreux ports ouverts par défaut.
• Applications - Un système sur puce (SOC) IoT peut exécuter plusieurs programmes d'application, chacun présentant des vulnérabilités potentiellement exploitables.
• Dépendances - Les applications et les systèmes d'exploitation des appareils IoT peuvent avoir des dépendances et des bibliothèques externes.
• Communication - L'IdO est vulnérable aux attaques basées sur les communications, telles que les attaques de type "man-in-the-middle" et "replay".
• Hébergement en nuage - L'infrastructure en nuage de l'IdO, avec ses serveurs connectés, constitue également une surface d'attaque.
• Accès des utilisateurs - L'accès aux dispositifs est un point de vulnérabilité majeur, surtout si les attaquants peuvent se faire passer pour des utilisateurs sans avoir à passer par le réseau de l'entreprise.

Vous pouvez lutter contre ces vulnérabilités en connaissant et en mettant en œuvre les meilleures pratiques pour la conformité de l'IdO, y compris l'application de correctifs en direct. Le live patching vous permet d'appliquer des correctifs à votre noyau Linux, ce qui renforce votre sécurité et votre conformité sans temps d'arrêt ni nécessité de redémarrer votre système.

Conclusion

Bien que les appareils IoT soient encore relativement nouveaux, ils peuvent présenter un risque important s'ils ne sont pas mis à jour ou corrigés régulièrement. KernelCare for IoT a pour mission de veiller à ce que les dispositifs IoT soient toujours conformes aux exigences de la loi sur la cybersécurité de l'IoT, à ce qu'ils soient à jour et protégés contre d'éventuelles atteintes à la protection des données. Contactez-nous dès aujourd'hui ou essayez gratuitement KernelCare for IoT pour voir ce que nous pouvons faire pour vous.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare