Comment l'identité peut réparer l'IoT et mener les organisations médicales à la réussite de leur transformation numérique

L'Internet des Objets (IoT) est, du point de vue de la sécurité, défaillant. Il existe de nombreux exemples remarquables de défaillances de la sécurité de l'IoT sur les appareils médicaux. Ainsi, en août dernier, la FDA a averti qu'une pompe à injection Hospira Symbiq connectée à Internet était vulnérable aux attaques et a recommandé d'interrompre son utilisation, car un terminal compromis peut permettre à un attaquant de contrôler l'équipement pour altérer le dosage fourni.

D'autres piratages de l'IoT ont ciblé des smartphones, des téléviseurs, des thermostats, des réfrigérateurs, des routeurs à domicile et des imprimantes. Le très grand nombre d'exemples de piratage existants est préoccupant. Le cabinet d'analyse de l'industrie Gartner prévoyait la mise en service de 4,9 milliards de ces « objets » connectés, souvent non sécurisés avant la fin 2015. Et ce nombre devrait passer à 25 milliards d'ici 2020.

Les entreprises et les institutions cherchant à incorporer l'IoT à leur écosystème numérique dans le cadre de leur transformation numérique doivent se demander si leur plateforme d'identité peut relever les défis qui accompagnent l'IoT. Le seul moyen de sécuriser les milliards de terminaux connectés et de gérer les milliards de relations numériques associés à la transformation numérique, consiste à utiliser une plateforme de gestion des identités numériques adaptée à l'échelle de l'IoT. Une plateforme d'identité moderne doit :
- Sécuriser l'IoT
- Comprendre le contexte
- Évaluer les risques en continu et promouvoir la confidentialité

Sécuriser l'IoT
L'IoT a amené en ligne des milliards de nouveaux utilisateurs, services cloud et équipements connectés. Les anciens systèmes d'identité n'ont pas été conçus pour gérer les relations numériques à une telle échelle, ce qui rend les nouvelles initiatives IoT vulnérables aux attaques malveillantes.

La solution pour les organisations consiste à choisir une plateforme d'identité qui soit à la fois souple, évolutive et capable de connecter les identités des utilisateurs, des terminaux et des services cloud dans un écosystème numérique. La possibilité de gérer cette myriade de relations sur un même écosystème d'identité numérique permet aux organisations d'inscrire les utilisateurs, les services cloud et les terminaux connectés, d'autoriser leur accès aux données ou de révoquer cet accès, et d'appliquer des politiques axées sur la sécurité et la personnalisation.

Comprendre le contexte

Le piratage continu des systèmes des entreprises et institutions démontre clairement l'énorme menace que représentent les attaques numériques et les violations des données. En cas de fuite des données utilisateurs ou de leur piratage par des cybercriminels, les conséquences financières, juridiques et en termes de réputation sont considérables pour les organisations. Des relations cultivées depuis des années sont perdues en quelques secondes si la confiance du client ou du citoyen disparaît. Pour les organisations numériques, la sécurité doit dépasser la simple vérification du nom d'utilisateur et du mot de passe. L'IoT est particulièrement vulnérable dans un contexte où les normes de sécurité et d'identité sont encore en cours d'élaboration pour les terminaux connectés.

Les entreprises et les institutions doivent pouvoir étendre l'identité numérique à tous les terminaux IoT pour sécuriser leurs écosystèmes numériques. Les informations de connexion ne suffisent plus à garantir la sécurité. Le contexte est désormais nécessaire pour comprendre la véritable nature d'une interaction numérique. Le client se connecte-t-il généralement depuis un pays précis ? Possède-t-il un bracelet électronique autorisé à accéder à ses données de santé ? À quelle heure se connecte-t-il d'habitude et quel type de système utilise-t-il ? Il est nécessaire de surveiller constamment les interactions numériques des clients et des citoyens.

En plus d'utiliser des indices contextuels pour évaluer le comportement des utilisateurs, l'identité des utilisateurs et les droits d'accès doivent être vérifiés à l'aide de SMS, d'e-mails, de questions de sécurité ou de données biométriques. Si un comportement suspect est détecté, les données de l'utilisateur peuvent être sécurisées. Avec l'arrivée de milliards de terminaux IoT en ligne et la création d'innombrables relations numériques, toutes les identités de l'écosystème numérique doivent être authentifiées en continu.

Évaluer les risques en continu et promouvoir la confidentialité


Grâce à une surveillance permanente du contexte, les organisations peuvent construire des profils de risques adaptatifs pour les utilisateurs, qui leur permettent d'évaluer le risque associé à une adresse IP, un emplacement, un horaire de connexion, et autres indices contextuels concernant l'utilisateur, pour générer un score de risque. Les scores de risque les plus élevés déclenchent des mesures de sécurité renforcées et nécessitent une authentification multifactorielle. L'élaboration de scores de risques facilite également l'accès aux services numériques pour les utilisateurs vérifiés, en réduisant la sécurité en cas de risque faible. Si l'utilisateur présente un score de risque faible parce qu'il se connecte depuis un emplacement reconnu sur une adresse IP de l'entreprise, il est possible qu'il n'ait même pas besoin de saisir un mot de passe. Il est également possible d'appliquer une technologie d'apprentissage avancée axée sur la connaissance pour créer un profil d'utilisateur plus complet dans le temps, en analysant le comportement de l'utilisateur, comme sa saisie au clavier, pour obtenir une meilleure compréhension des habitudes et comportements de l'utilisateur. Grâce à cette connaissance du comportement habituel des utilisateurs, les entreprises sont mieux à même de réagir avec une augmentation ou une diminution des mesures de sécurité en temps réel. Pour protéger les entreprises et les institutions contre les piratages et les violations, une sécurité continue offre des moyens adaptatifs de limiter les risques - une exigence incontournable dans l'écosystème numérique actuel.


Il est essentiel pour les organisations adoptant l'IoT de développer une plateforme d'identité numérique conçue pour les défis à venir, inhérents à l'extension des écosystèmes numériques à des milliards de terminaux connectés. L'identité est la clé de la réussite d'une transformation numérique qui permette aux entreprises et aux institutions d'exploiter l'IoT en toute sécurité.

Ismet Geri, vice-président France et Europe du sud chez ForgeRock



Sources :
¹=http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
²=http://www.tripwire.com/state-of-security/security-data-protection/cyber-security/the-internet-of-things-is-here-5-connected-devices-that-can-already-be-hacked/
³=http://www.esecurityplanet.com/network-security/fda-warns-of-cyber-security-flaws-in-hospira-infusion-pump.html
⁴=http://www.networkworld.com/article/2844283/microsoft-subnet/peeping-into-73-000-unsecured-security-cameras-thanks-to-default-passwords.html

Descripteur MESH : Sécurité , Internet , Risque , Écosystème , Comportement , Temps , Mesures de sécurité , Connaissance , Europe , France , Habitudes , Industrie , Électronique , Nature , Précis , Confiance , Santé , Compréhension , Technologie , Apprentissage

Informatique médicale: Les +