Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Veridify, relever les défis de la sécurité OT dans l'automatisation des bâtiments avec un STM32
Malgré la croyance populaire, il est possible de sécuriser correctement les systèmes embarqués existants, même s'ils ne disposent pas des capacités cryptographiques à toute épreuve d'aujourd'hui, des protections les plus récentes ou des unités de calcul étendues. En un mot, c'est ce que promet Veridify Security, membre du ST Partner Program, avec la solution Device Ownership Management and Enrollment (DOME™). La technologie permet une communication sécurisée d'appareil à appareil sans avoir besoin de procédures d'intégration pratiques, de microcontrôleurs puissants ou d'accès à un cloud. La vidéo ci-dessous démontre les capacités de DOME dans le contexte des unités de commande ST pour voitures. Aujourd'hui, nous verrons comment Veridify Security relève un nouveau défi : la technologie opérationnelle (OT) et l'automatisation des bâtiments.
Le glossaire Gartner définit la technologie opérationnelle comme « le matériel et les logiciels qui détectent ou provoquent un changement, via la surveillance et/ou le contrôle direct des équipements, actifs, processus et événements industriels ». Alors que, comme son nom l'indique, les technologies de l'information (TI) se concentrent sur la manipulation et la diffusion des données, l'OT concerne le suivi et la gouvernance des systèmes ayant des impacts physiques, tels que les réseaux, les usines de fabrication, les systèmes de transport, etc. Par conséquent, comme l’explique Adam Hahn de l’Université de l’État de Washington1, « la sécurité des OT se concentre presque exclusivement sur la disponibilité et la sécurité ».Comme l'explique Hahn, même si la protection de l'intégrité, de la confidentialité et de la disponibilité des données reste essentielle, tout comme en informatique, l'OT doit également protéger les processus physiques pour garantir leur sécurité, leur environnement, leurs dépendances et leur réglementation.
Ne pas sécuriser correctement l’OT peut entraîner des effets catastrophiques. Hahn donne l'exemple de l'explosion d'un pipeline d'essence qui a eu lieu à Bellingham, Washington, États-Unis, en 1999. Le système de surveillance, de contrôle et d'acquisition de données (SCADA) régulant l'infrastructure est soudainement devenu indisponible, ce qui a provoqué l'inflammation de l'essence à l'intérieur du pipeline. , provoquant une explosion massive qui a coûté la vie à trois personnes et a causé d'énormes dégâts physiques et environnementaux.De plus, il existe d’innombrables attaques qui reçoivent beaucoup moins de couverture médiatique mais qui ont néanmoins des effets catastrophiques.Par exemple, en 2016, un piratage a mis hors service le système de chauffage central de deux immeubles d’habitation en Finlande pendant plus d’une semaine en plein hiver.
En effet, même si la plupart des acteurs de l’industrie comprennent l’importance de sécuriser les infrastructures majeures, comme les pipelines, nombreux sont ceux qui négligent largement les bâtiments résidentiels. Cependant, attaquer de telles infrastructures pourrait compromettre l’éclairage, le chauffage, la climatisation, les contrôles de sécurité, etc.En termes simples, les études de cas ci-dessus démontrent la nature critique de la sécurité OT, c'est pourquoi Veridify Security se tourne désormais vers l'automatisation des bâtiments, un domaine largement négligé en raison de défis intrinsèquement complexes.
L’un des plus grands défis lorsqu’il s’agit d’apporter la sécurité à l’automatisation des bâtiments est de vaincre l’ignorance en éduquant les propriétaires et les gestionnaires. Par exemple, la pandémie de 2020 a révélé d’importantes failles de sécurité dans les technologies opérationnelles de nombreux bâtiments, qui avaient été historiquement ignorées. Il est donc essentiel de proposer des solutions qui contribuent à changer les mentalités. Il existe également des défis techniques inhérents à l’automatisation des bâtiments, comme le manque de cryptage. Dans de nombreux cas, les données sont transmises sous forme de texte brut.Par conséquent, toute personne disposant d’un renifleur de réseau de base pourrait intercepter les informations et les utiliser pour pirater le système, créant ainsi des perturbations massives.De plus, le manque de certifications communes à l’échelle mondiale complique encore davantage la création d’une solution de sécurité standard.
Veridify Security a expliqué avoir créé une bibliothèque DOME pour les microcontrôleurs STM32 afin de résoudre ce défi. Par exemple, des démos récentes montraient un DOME Sentry.
En un mot, le produit de Veridify sert d'intermédiaire entre le réseau et un thermostat intelligent existant non sécurisé pour le protéger des attaques.