Article du chercheur principal en sécurité de Rapid7 IoT, Deral Heiland.
De plus en plus, les organisations adoptent des technologies intelligentes pour étayer les innovations susceptibles d’améliorer la sécurité et la productivité dans tous les aspects de notre vie, des systèmes industriels, des services publics et de la gestion des bâtiments à diverses formes d’habilitation des entreprises.
Mais si ces technologies offrent d’énormes avantages, comme pour toute nouvelle technologie, elles introduisent également le potentiel de conséquences imprévues dues à des problèmes techniques ou à des manipulations qui n’ont peut-être pas encore été découvertes et atténuées.
Le but même des technologies de l’Internet des objets (IoT) est de combler le fossé entre nos mondes virtuel et physique, et en tant que tel, la manipulation ou l’échec technique peut entraîner une perte de confidentialité, la disponibilité des systèmes et, dans certains cas, même blessure physique.
Récemment, j’ai eu l’opportunité de travailler avec Domino’s Pizza pour évaluer une solution commerciale basée sur l’IdO conçue en interne qu’ils avaient conçue et déployée dans tous leurs magasins. La pizzeria multinationale est l’exemple parfait d’une grande entreprise qui exploite régulièrement la technologie IoT pour l’activation des affaires.
La solution d’écosystème basée sur l’IoT de Domino est appelée Flex, une solution basée sur une plate-forme qui se compose de divers petits services. Cela permet aux magasins de tirer parti de diverses expériences Web et de produits numériques sur une variété d’écrans de kiosque dans leurs magasins. Ce sont des produits spécialement conçus pour Domino’s que les membres de l’équipe du magasin exploitent à volonté. La plate-forme alimente toutes les technologies d’écran en magasin, permettant aux magasins et aux membres de l’équipe d’être plus efficaces et conscients de la situation, afin qu’ils puissent gérer efficacement leurs magasins respectifs. La plate-forme fournit également une plate-forme centralisée gérée dans le cloud avec les expériences hébergées de Domino, qui offre aux magasins et aux membres de l’équipe la flexibilité technologique dont ils ont besoin pour rendre les magasins efficaces et performants.
L’objectif de ce projet de recherche était de comprendre les implications en matière de sécurité autour d’un projet IoT d’entreprise à grande échelle et les processus liés à l’acquisition, à la mise en œuvre et au déploiement ; technologie et fonctionnalité; et la gestion et le soutien.
Phase initiale
Le projet a commencé avec chacune des équipes internes impliquées dans le projet discutant de ces domaines clés et de la manière dont la sécurité était définie et appliquée au sein de chacun. Cela a fourni de nouvelles informations précieuses sur la manière dont la sécurité devrait jouer dans la conception et la construction d’une grande solution d’entreprise IoT, en particulier dans les phases de planification et d’acquisition, et de voir comment une organisation axée sur la sécurité comme Domino’s aborde un projet à grande échelle comme celui-ci. Deux plats à emporter ont émergé. Tout d’abord, tenez toujours compte de la sécurité des fournisseurs dans votre planification et votre modélisation des risques. Deuxièmement, les « incontournables » de la sécurité doivent correspondre aux politiques de sécurité internes de votre organisation.
Évaluation de sécurité
Il était également nécessaire, au cours de cette phase initiale, de procéder à une évaluation complète de la sécurité de l’écosystème, en examinant tous les composants matériels critiques, les logiciels d’exploitation et les communications réseau associées.
Comme pour toute implémentation d’entreprise à grande échelle, nous avons trouvé quelques problèmes de sécurité, c’est pourquoi tous les projets, même ceux avec une sécurité intégrée dès le départ, doivent passer par une évaluation de sécurité à grande échelle pour éliminer toute lacune. Cela a permis aux équipes de sécurité et aux développeurs de projets de créer rapidement des solutions pour résoudre les problèmes identifiés. De plus, en observant et en discutant des processus et des méthodologies utilisés pour créer et déployer des correctifs en production, l’évaluation a permis de s’assurer que Domino’s l’a fait de manière sûre pour éviter d’avoir un impact sur la production.
Au cours d’une évaluation de sécurité typique d’une solution d’entreprise à l’échelle de l’entreprise comme celle-ci, on nous rappelle quelques éléments clés des meilleures pratiques qui doivent toujours être pris en compte. Tout d’abord, lorsque vous testez la sécurité d’une nouvelle technologie, utilisez une approche holistique qui cible l’ensemble de l’écosystème de solutions. Deuxièmement, effectuez des tests réguliers des procédures de sécurité documentées – la sécurité est une cible mouvante, et tester ces procédures régulièrement peut aider à identifier les lacunes.
En direct
Une fois qu’une idée est conçue, construite et déployée en production, nous devons nous assurer que la solution déployée reste entièrement fonctionnelle et sécurisée. Pour ce faire, chez Domino’s, ils ont déplacé la solution IoT d’entreprise déployée dans le cadre d’un plan de gestion et de support structuré. Cette structure de support a été conçue comme prévu pour aider à éviter ou à prévenir les pannes et les incidents de sécurité qui pourraient avoir un impact sur la production, la perte de services ou la perte de données, en se concentrant sur la gestion des correctifs, la gestion des risques et des vulnérabilités, ainsi que la surveillance et la journalisation.
Encore une fois, il était important de s’asseoir et de parler de la sécurité avec les différentes équipes impliquées dans l’infrastructure de support et de voir comment elle était non seulement appliquée à ce projet spécifique, mais comment Domino’s appliquait ces mêmes méthodologies de sécurité à toute l’entreprise.
Au cours de cette phase d’évaluation finale du projet, on nous a rappelé l’un des points les plus critiques que de nombreuses organisations ne parviennent pas à appliquer (mais pas Domino’s). Autrement dit, lors du déploiement d’une nouvelle technologie intégrée dans votre environnement d’entreprise, assurez-vous que la technologie est correctement intégrée dans la gestion des correctifs de votre organisation.
À la fin de ce projet de recherche, j’ai une compréhension considérablement améliorée de la complexité, des difficultés et des défis des meilleures pratiques de sécurité qu’un grand projet IoT d’entreprise pourrait exiger. Cependant, je suis heureux de dire qu’à cette occasion, Domino’s a été à la hauteur de ce défi et a livré avec succès ce projet à son entreprise.