Meilleures pratiques de sécurité pour l’Internet des objets (IoT)Security best practices for Internet of Things (IoT)

Sécuriser une infrastructure IoT implique la mise en œuvre d’une stratégie complète et rigoureuse.Securing an Internet of Things (IoT) infrastructure requires a rigorous security-in-depth strategy. Dans le cadre de cette stratégie, vous devez sécuriser les données dans le cloud, protéger l’intégrité des données transitant sur le réseau Internet public et configurer des appareils en toute sécurité.This strategy requires you to secure data in the cloud, protect data integrity while in transit over the public internet, and securely provision devices. Chaque couche contribue à garantir la sécurité de l’infrastructure globale.Each layer builds greater security assurance in the overall infrastructure.

Sécuriser une infrastructure IoTSecure an IoT infrastructure

Cette stratégie de sécurité complète peut être développée et appliquée avec la participation active des différents acteurs impliqués dans la fabrication, le développement et le déploiement de l’infrastructure et des appareils IoT.This security-in-depth strategy can be developed and executed with active participation of various players involved with the manufacturing, development, and deployment of IoT devices and infrastructure. Voici une description générale de ces acteurs.Following is a high-level description of these players.

  • Fabricant/intégrateur de matériel IoT : il s’agit généralement de fabricants de matériels IoT déployés, d’intégrateurs qui assemblent le matériel de différents fabricants ou de fournisseurs de matériels dédiés à un déploiement IoT réalisé ou intégré par d’autres fournisseurs.IoT hardware manufacturer/integrator: Typically, these players are the manufacturers of IoT hardware being deployed, integrators assembling hardware from various manufacturers, or suppliers providing hardware for an IoT deployment manufactured or integrated by other suppliers.

  • Développeur de solutions IoT : le développement d’une solution IoT est généralement assuré par un développeur de solutions.IoT solution developer: The development of an IoT solution is typically done by a solution developer. Ce développeur peut faire partie d’une équipe interne ou être un intégrateur système spécialisé dans cette activité.This developer may part of an in-house team or a system integrator (SI) specializing in this activity. Le développeur de solutions IoT peut développer plusieurs composants de la solution IoT en partant de zéro, intégrer de nombreux composants du commerce ou open source ou encore adopter des accélérateurs de solution moyennant une légère adaptation.The IoT solution developer can develop various components of the IoT solution from scratch, integrate various off-the-shelf or open-source components, or adopt solution accelerators with minor adaptation.

  • Responsable du déploiement de solutions IoT : une fois développée, une solution IoT doit être déployée sur le terrain.IoT solution deployer: After an IoT solution is developed, it needs to be deployed in the field. Ce processus implique le déploiement du matériel, l’interconnexion des appareils et le déploiement des solutions sur les appareils ou dans le cloud.This process involves deployment of hardware, interconnection of devices, and deployment of solutions in hardware devices or the cloud.

  • Opérateur de solutions IoT : une fois déployée, la solution IoT requiert une exploitation, une surveillance, des mises à niveau et une maintenance sur la durée.IoT solution operator: After the IoT solution is deployed, it requires long-term operations, monitoring, upgrades, and maintenance. Ces tâches peuvent être assurées par une équipe interne comprenant des spécialistes en technologies de l’information, des équipes d’exploitation et de maintenance du matériel et des spécialistes du domaine qui contrôlent le comportement de l’infrastructure IoT globale.These tasks can be done by an in-house team that comprises information technology specialists, hardware operations and maintenance teams, and domain specialists who monitor the correct behavior of overall IoT infrastructure.

Les sections qui suivent décrivent les bonnes pratiques associées à chacun de ces acteurs et facilitant le développement, le déploiement et l’exploitation d’une infrastructure IoT sécurisée.The sections that follow provide best practices for each of these players to help develop, deploy, and operate a secure IoT infrastructure.

Fabricant/intégrateur de matériel IoTIoT hardware manufacturer/integrator

Voici les bonnes pratiques pour les intégrateurs de matériel et les fabricants de matériel IoT.The following are the best practices for IoT hardware manufacturers and hardware integrators.

  • Concevoir le matériel selon les exigences minimales : la conception du matériel doit répondre aux fonctionnalités minimales requises pour son fonctionnement, et rien de plus.Scope hardware to minimum requirements: The hardware design should include the minimum features required for operation of the hardware, and nothing more. Par exemple, des ports USB sont inclus uniquement s’ils sont nécessaires au fonctionnement de l’appareil.An example is to include USB ports only if necessary for the operation of the device. Les fonctionnalités supplémentaires exposent l’appareil à des vecteurs d’attaque indésirables qui doivent être évités.These additional features open the device for unwanted attack vectors that should be avoided.

  • Protéger l’appareil contre les falsifications : intégrez un mécanisme permettant de détecter toute altération physique telle que l’ouverture du capot ou la suppression d’une partie de l’appareil.Make hardware tamper proof: Build in mechanisms to detect physical tampering, such as opening of the device cover or removing a part of the device. Les signaux de falsification peuvent être inclus dans le flux de données chargé sur le cloud, permettant d’informer les opérateurs de ces événements.These tamper signals may be part of the data stream uploaded to the cloud, which could alert operators of these events.

  • Intégrer la sécurité au matériel : Si le coût des marchandises vendues le permet, intégrez des fonctionnalités de sécurité, telles qu’un stockage sécurisé et chiffré, ou une fonctionnalité de démarrage basée sur un Module de plateforme sécurisée (TPM).Build around secure hardware: If COGS permits, build security features such as secure and encrypted storage, or boot functionality based on Trusted Platform Module (TPM). Ces fonctionnalités renforcent la sécurité des appareils et facilitent la protection de l’infrastructure IoT globale.These features make devices more secure and help protect the overall IoT infrastructure.

  • Sécuriser les mises à jour : le microprogramme doit faire l’objet de mises à jour durant toute la durée de vie de l’appareil.Make upgrades secure: Firmware upgrades during the lifetime of the device are inevitable. Prévoyez des chemins d’accès sécurisés pour les mises à jour et un chiffrement garanti des versions du microprogramme. L’appareil sera ainsi sécurisé pendant et après les mises à jour.Building devices with secure paths for upgrades and cryptographic assurance of firmware versions will allow the device to be secure during and after upgrades.

Développeur de solutions IoTIoT solution developer

Voici les bonnes pratiques pour les développeurs de solutions IoT :The following are the best practices for IoT solution developers:

  • Respecter la méthodologie de développement de logiciels sécurisés : le développement de logiciels sécurisés requiert une réflexion de bout en bout sur la sécurité, depuis le lancement du projet jusqu’à son implémentation, aux tests et au déploiement.Follow secure software development methodology: Development of secure software requires ground-up thinking about security, from the inception of the project all the way to its implementation, testing, and deployment. Les choix des plateformes, des langages et des outils sont influencés par cette méthodologie.The choices of platforms, languages, and tools are all influenced with this methodology. Microsoft Security Development Lifecycle offre une approche pas à pas de la création de logiciels sécurisés.The Microsoft Security Development Lifecycle provides a step-by-step approach to building secure software.

  • Choisir des logiciels open source avec précaution : les logiciels open source permettent de développer des solutions rapidement.Choose open-source software with care: Open-source software provides an opportunity to quickly develop solutions. Quand vous choisissez des logiciels open source, tenez compte du niveau d’activité de la communauté vis-à-vis de chaque composant open source.When you're choosing open-source software, consider the activity level of the community for each open-source component. Avec une communauté active, les logiciels bénéficient d’un vaste soutien, et les problèmes sont identifiés et traités.An active community ensures that software is supported and that issues are discovered and addressed. Ce n’est nécessairement pas le cas d’un projet logiciel open source obscur et inactif : les problèmes ne sont probablement pas identifiés.Alternatively, an obscure and inactive open-source software project might not be supported and issues are not likely be discovered.

  • Intégrer les composants avec précaution : les failles de sécurité logicielle se situent, pour nombre d’entre elles, à la limite des bibliothèques et des API.Integrate with care: Many software security flaws exist at the boundary of libraries and APIs. Des fonctionnalités qui ne sont pas requises pour le déploiement concerné peuvent rester disponibles par le biais d’une couche API.Functionality that may not be required for the current deployment might still be available via an API layer. Pour garantir la sécurité globale, vérifiez que toutes les interfaces des composants intégrés sont exemptes de failles de sécurité.To ensure overall security, make sure to check all interfaces of components being integrated for security flaws.

Responsable du déploiement de solutions IoTIoT solution deployer

Voici les bonnes pratiques pour les responsables du déploiement de solutions IoT :The following are best practices for IoT solution deployers:

  • Déployer le matériel de façon sécurisée: les déploiements IoT peuvent nécessiter un déploiement du matériel dans des lieux non sécurisés, par exemple dans des espaces publics ou des régions non supervisées.Deploy hardware securely: IoT deployments may require hardware to be deployed in unsecure locations, such as in public spaces or unsupervised locales. Dans ce cas, assurez-vous que le déploiement matériel est protégé contre les falsifications, autant que faire se peut.In such situations, ensure that hardware deployment is tamper-proof to the maximum extent. Si le matériel est doté de ports, notamment de ports USB, vérifiez qu’ils sont correctement protégés.If USB or other ports are available on the hardware, ensure that they are covered securely. De nombreux vecteurs d’attaque peuvent les utiliser comme point d’entrée.Many attack vectors can use these as entry points.

  • Protéger les clés d’authentification : lors du déploiement, chaque appareil requiert des ID et les clés d’authentification associées générées par le service cloud.Keep authentication keys safe: During deployment, each device requires device IDs and associated authentication keys generated by the cloud service. Protégez physiquement ces clés, même après le déploiement.Keep these keys physically safe even after the deployment. Une clé compromise pourrait être utilisée par un appareil malveillant pour usurper l’identité d’un appareil existant.Any compromised key can be used by a malicious device to masquerade as an existing device.

Opérateur de solutions IoTIoT solution operator

Voici les bonnes pratiques pour les opérateurs de solutions IoT :The following are the best practices for IoT solution operators:

  • Garder le système à jour : vérifiez que les systèmes d’exploitation et tous les pilotes des appareils sont au niveau des dernières versions.Keep the system up-to-date: Ensure that device operating systems and all device drivers are upgraded to the latest versions. Si vous activez les mises à jour automatiques dans Windows 10 (IoT ou autres références), Microsoft le met constamment à jour. Les appareils IoT bénéficient ainsi d’un système d’exploitation sécurisé.If you turn on automatic updates in Windows 10 (IoT or other SKUs), Microsoft keeps it up-to-date, providing a secure operating system for IoT devices. Mettre régulièrement à jour les autres systèmes d’exploitation (tels que Linux) permet également de les protéger contre les attaques malveillantes.Keeping other operating systems (such as Linux) up-to-date helps ensure that they are also protected against malicious attacks.

  • Protéger le système contre les activités malveillantes : installez les dernières fonctionnalités de protection antivirus et anti-programme malveillant sur le système d’exploitation de chaque appareil, quand celui-ci le permet.Protect against malicious activity: If the operating system permits, install the latest antivirus and antimalware capabilities on each device operating system. Cette pratique peut contribuer à atténuer la plupart des menaces externes.This practice can help mitigate most external threats. Vous pouvez protéger la plupart des systèmes d’exploitation contre les menaces en prenant les mesures appropriées.You can protect most modern operating systems against threats by taking appropriate steps.

  • Effectuer des audits fréquemment : il est essentiel de rechercher les problèmes de sécurité au sein de l’infrastructure IoT pour traiter les incidents de sécurité.Audit frequently: Auditing IoT infrastructure for security-related issues is key when responding to security incidents. La plupart des systèmes d’exploitation offrent une journalisation des événements intégrée. Examinez les journaux fréquemment pour vous assurer qu’aucune violation de sécurité n’a été détectée.Most operating systems provide built-in event logging that should be reviewed frequently to make sure no security breach has occurred. Les informations d’audit peuvent être envoyées sous la forme d’un flux de télémétrie au service cloud, où elles peuvent être analysées.Audit information can be sent as a separate telemetry stream to the cloud service where it can be analyzed.

  • Protéger physiquement l’infrastructure IoT : les attaques de sécurité les plus menaçantes pour l’infrastructure IoT sont lancées par le biais d’un accès physique aux appareils.Physically protect the IoT infrastructure: The worst security attacks against IoT infrastructure are launched using physical access to devices. Une pratique de sécurité essentielle consiste à protéger les appareils contre l’utilisation malveillante des ports USB et d’autres modes d’accès physiques.One important safety practice is to protect against malicious use of USB ports and other physical access. Pour détecter toute violation, vous devez notamment journaliser l’accès physique, comme l’utilisation des ports USB.One key to uncovering breaches that might have occurred is logging of physical access, such as USB port use. Là encore, Windows 10 (IoT et autres références) peut assurer une journalisation détaillée de ces événements.Again, Windows 10 (IoT and other SKUs) enables detailed logging of these events.

  • Protéger les informations d’identification cloud : les informations d’identification cloud utilisées pour configurer et exploiter un déploiement IoT constituent peut-être le moyen le plus simple d’accéder à un système IoT et de le compromettre.Protect cloud credentials: Cloud authentication credentials used for configuring and operating an IoT deployment are possibly the easiest way to gain access and compromise an IoT system. Protégez les informations d’identification en modifiant fréquemment le mot de passe et en évitant de les utiliser sur des machines publiques.Protect the credentials by changing the password frequently, and refrain from using these credentials on public machines.

Les fonctionnalités des différents appareils IoT peuvent varier.Capabilities of different IoT devices vary. Certains appareils peuvent être des ordinateurs exécutant des systèmes d’exploitation courants, tandis que d’autres peuvent exécuter des systèmes d’exploitation très légers.Some devices might be computers running common desktop operating systems, and some devices might be running very light-weight operating systems. Les bonnes pratiques en matière de sécurité décrites précédemment peuvent s’appliquer à ces appareils selon différents degrés.The security best practices described previously might be applicable to these devices in varying degrees. Il se peut que les fabricants de ces appareils établissent leurs propres bonnes pratiques en matière de sécurité et de déploiement. Le cas échéant, elles doivent être observées également.If provided, additional security and deployment best practices from the manufacturers of these devices should be followed.

Certains appareils existants et limités n’ont peut-être pas été conçus spécifiquement pour un déploiement IoT.Some legacy and constrained devices might not have been designed specifically for IoT deployment. Il se peut qu’ils ne soient pas en mesure de chiffrer les données, de se connecter à Internet ou d’assurer un audit avancé.These devices might lack the capability to encrypt data, connect with the Internet, or provide advanced auditing. Dans ce cas, une passerelle de champ moderne et sécurisée peut agréger les données des appareils existants et offrir la sécurité requise pour connecter ces appareils à Internet.In these cases, a modern and secure field gateway can aggregate data from legacy devices and provide the security required for connecting these devices over the Internet. Les passerelles de champ peuvent assurer l’authentification sécurisée, la négociation de sessions chiffrées, la réception des commandes du cloud et beaucoup d’autres fonctionnalités de sécurité.Field gateways can provide secure authentication, negotiation of encrypted sessions, receipt of commands from the cloud, and many other security features.

Voir aussiSee also

Pour en savoir plus sur la sécurisation d’une solution créée par un accélérateur de solution IoT, consultez Sécuriser votre déploiement IoT.To learn more about securing a solution created by an IoT solution accelerator, see Secure your IoT deployment.

En savoir plus sur la sécurité d’IoT Hub dans la rubrique Contrôler l’accès à IoT Hub du guide du développeur IoT Hub.Read about IoT Hub security in Control access to IoT Hub in the IoT Hub developer guide.