Le déploiement de l'IoT soulève un certain nombre de problèmes de sécurité IoT liés aux fonctionnalités des appareils IoT, comme le besoin d'algorithmes de chiffrement légers en termes de capacités de traitement et de stockage, et l'utilisation de protocoles standards.Appareils IdO sont plus vulnérables aux menaces de sécurité que les ordinateurs traditionnels basés sur Internet en raison de leur puissance de traitement moindre et de leurs ressources mémoire limitées., exacerber l’application de la protection. La transition actuelle du protocole de réseau Internet d'IPv4 à IPv6 signifie que de plus en plus d'appareils IoT ont des adresses IP mondiales., ce qui peut aider à identifier ces appareils comme cibles d’attaques de sécurité. Le fonctionnement et la communication autonomes des appareils IoT facilitent également les attaques de sécurité. Donc, de nouvelles solutions de sécurité plus puissantes pour les systèmes IoT sont nécessaires de toute urgence. Cet article vous guidera à travers l'Internet des objets, du réseau au matériel., logiciel, et d'autres questions de sécurité à tous les niveaux de discussion.
1. Quels sont les problèmes de sécurité IoT?
Les problèmes de sécurité de l’IoT ont de nombreux points communs avec la sécurité informatique. Cependant, Les systèmes IoT nécessitent plus de sensibilité et de confidentialité à mesure que ces systèmes entrent et numérisent la vie privée d’un individu.. La sensibilité de la technologie IoT découle des exigences élevées en matière de sécurité, avec une confidentialité extrêmement élevée, authenticité, confidentialité, et l'intégrité. Il existe des problèmes physiques et logiques avec la sécurité de l'IoT. D'un côté, le problème physique est l'énergie de l'appareil. La plupart des appareils IoT sont alimentés par des batteries, donc l'énergie est relativement insuffisante. D'autre part, Les appareils IoT ont une puissance de traitement relativement faible et des ressources mémoire limitées. Des problèmes logiques existent dans l'authentification, protection contre les logiciels malveillants, la protection de la vie privée, et surveillance.
Internet et sa pile technologique existent depuis des décennies. Pendant ce temps, une architecture client et serveur centralisée constituait la base sur laquelle les plates-formes et services actuels étaient construits. Ces architectures peuvent également être lourdes du point de vue de l'IoT. Par exemple, lorsqu'une myriade de capteurs sans fil doivent soumettre leurs données à un service centralisé, un service monolithique devrait être capable de distribuer des mises à jour de sécurité à un réseau de capteurs décentralisé ou distribué. Ces réseaux de capteurs bénéficient généralement d'une architecture de communication décentralisée, qui a une grande Dans une certaine mesure, il est autogéré. Traditionnellement, un obstacle à la création d'une architecture décentralisée a été la confiance des autres participants. L’introduction de la crypto-monnaie Bitcoin suppose qu’il n’y a pas besoin de confiance entre deux parties. Ceci est réalisé en incorporant un mécanisme de consensus distribué comme preuve de la validation d'une nouvelle transaction tout en tirant parti de l'historique des transactions antérieures.. Cela s’étend donc à la conception de transactions généralisées hors du champ des cryptomonnaies.. Aujourd'hui, ce mécanisme généralisé prend souvent le nom de blockchain.
Attention récente des régulateurs, surtout dans l'Union européenne, a incité à se concentrer davantage sur la sécurité et la confidentialité dans l'espace IoT. L'adoption de la technologie blockchain présente un grand potentiel en tant que solution viable pour les futurs systèmes IoT afin de répondre aux exigences réglementaires.. Concernant les exigences réglementaires pour la conception des appareils IoT, le Parlement européen a récemment adopté de nouvelles directives et réglementations. Ces exigences, qui peut être considérée comme la plus stricte au monde, s'appliquent aux fabricants d'appareils ainsi qu'aux fournisseurs de services et de plateformes s'ils fournissent à l'UE ou traitent des données personnelles de résidents de l'UE.
En outre, Les États membres de l'UE prévoient des réglementations sectorielles spécifiques aux domaines traitant des informations sensibles., tels que les soins de santé et les services financiers. Les États-Unis ne disposent pas d'une loi générale sur la protection des données ou de la vie privée et s'appuient principalement sur un petit nombre de lois liées à la vie privée liées au secteur.. L'approche américaine en matière de conception des systèmes d'information rend plus difficile l'établissement de conclusions communes sur le maintien d'un certain niveau de confidentialité.. Par exemple, tandis que le même système IoT peut être utilisé dans différentes régions, l’absence d’exigences ou de définitions communes en matière de confidentialité le suggère. Le fabricant doit donc au moins quelque peu anticiper l'utilisation prévue du système de conception, et l'utilisation prévue du système de conception s'il était interdit d'entrer aux États-Unis. marché.
D'autre part, les citoyens pourraient considérer les exigences réglementaires de l’UE comme une référence en matière d’obligations à respecter lorsqu’ils traitent des données personnelles ou traitent avec des opérateurs de certaines infrastructures importantes. Il existe deux lois et réglementations européennes responsables du développement et de la gestion des systèmes d'information.. Il s’agit du Règlement Général sur la Protection des Données (RGPD) et la directive sur la sécurité des réseaux et des systèmes d'information (Directive SRI).
Le RGPD peut présenter certaines nuances selon les États membres, mais il jette les bases d’un marché unique numérique unifié au sein de l’UE. En tant que directive, les États membres pourraient adopter une approche différente à l'égard du NEI, bien qu'il définisse ce qui peut être considéré comme un niveau minimum de responsabilité en matière de sécurité des systèmes d'information.
Qu'est-ce que l'Internet des objets(IdO) Confidentialité?
Avec le développement de Technologie IdO, la technologie numérique a encore davantage pénétré notre vie et notre environnement. Selon Strategy Analytics, le nombre d'objets connectés dans le monde atteint 22 milliards d’ici la fin de 2018 et devrait atteindre 50 milliards par 2030. Basé sur des données optimistes, la combinaison de l’IoT et de l’intelligence artificielle créera un moyen de communication plus intelligent. Dans l'ensemble, l'impact social et économique de l'Internet des objets sera significatif, avec des appareils connectés intégrés dans tous les aspects de nos vies, des appareils portables à l'Internet des véhicules en passant par les maisons intelligentes et l'Internet de tout. La commodité et l’omniprésence de l’Internet des objets apporteront d’énormes avantages, mais cela signifie également que la collecte d'informations passe du monde en ligne au monde hors ligne., nos corps et nos espaces privés devenant la source de collecte d'informations. Dans ce contexte, l'Internet des objets, en particulier les problèmes de confidentialité liés à l'Internet des objets grand public, est devenu le centre d'attention. En septembre 19, l'Internet Society a publié un rapport sur la confidentialité de l'IoT intitulé « Policy Brief: Confidentialité IoT pour les décideurs politiques ", qui analyse les risques et les défis apportés par l'Internet des objets à la protection de la vie privée, et propose des recommandations d’action spécifiques aux décideurs politiques, Fournisseurs de services IoT et autres parties prenantes, et appelle au renforcement du modèle de gouvernance de participation collaborative multipartite.
Le développement de l’Internet des objets permet aux objets du quotidien et aux capteurs autres que les ordinateurs de générer, échanger et consommer des données avec moins d’intervention humaine. Aujourd'hui, l'Internet des objets montre la tendance du développement à grande échelle (le nombre d’appareils connectés continue d’augmenter), intimité (dispositifs portables et dispositifs implantés dans le corps humain, etc.), omniprésent, toujours connecté, et intelligent. Mais cette ampleur de développement pourrait avoir un impact sur la protection de la vie privée., permettant aux individus d'être plus facilement identifiés, suivi, profilé, et influencé.
Les défis de l'Internet des objets en matière de protection de la vie privée comprennent: D'abord, la protection de l’Internet des objets couvre un large éventail, y compris les limites réglementaires des différents départements et juridictions. D'un côté, la législation sur la protection de la vie privée a tendance à être segmentée par domaine, comme le secret médical, confidentialité financière, vie privée des étudiants, etc., et les appareils et services IoT sont difficiles à catégoriser. D'autre part, différents pays et régions peuvent avoir des législations différentes en matière de confidentialité pour les appareils et services IoT et seront confrontés à des réglementations différentes lorsque la collecte et le traitement des données ont lieu dans différentes juridictions. Deuxième, il est difficile pour l'IoT d'obtenir le consentement éclairé des utilisateurs. Quand l’IoT est déployé, en plus d'obtenir le consentement éclairé du propriétaire de l'appareil, il est difficile d'obtenir le consentement des autres en même temps. Les appareils IoT ne sont pas différents des objets courants comme les montres, haut-parleurs, et les téléviseurs, il est donc difficile de savoir si un appareil collecte et traite des données. Enfin, Les défis de l'IoT le principe de transparence de la protection de la vie privée. Par exemple, contrairement aux sites internet, applications, etc., Les appareils et services IoT peuvent ne pas être en mesure de présenter leurs politiques de confidentialité aux utilisateurs, et peut ne pas faire un bon travail pour informer les utilisateurs qu'ils collectent des données.
Afin de mieux répondre à ces enjeux et renforcer la protection de la vie privée liée à l’Internet des Objets, l'Internet Society a formulé quatre recommandations: D'abord, renforcer le contrôle significatif des utilisateurs sur les appareils et services IoT, et renforcer la gestion des données IoT. Spécifiquement, il comprend: clarifier les responsabilités des prestataires de services, y compris l'obtention du consentement éclairé des utilisateurs lors de la collecte de données personnelles, améliorer la transparence, et stocker les données en toute sécurité, etc.; promouvoir les normes ouvertes et l’interopérabilité des appareils et services IoT; et encourager les pratiques de minimisation des données. Deuxième, améliorer la transparence de la collecte et de l’utilisation des données des utilisateurs. Par exemple, informer les utilisateurs des capacités des appareils IoT et de la collecte de données d'une manière facile à comprendre pour les utilisateurs, mettre en place des fonctions efficaces de consentement et de désinscription pour les utilisateurs, améliorer la clarté de la politique de confidentialité, améliorer la transparence tout au long du cycle de vie des données, et garantir la confidentialité et la sécurité. Il est protégé tout au long du cycle de vie du produit, etc. Troisième, les lois et les politiques en matière de protection de la vie privée suivent le rythme des évolutions technologiques. Spécifiquement, il comprend: améliorer les lois existantes sur la vie privée et la protection des consommateurs; examiner l’adaptabilité et la portée des lois sur la protection de la vie privée; renforcer les protections juridiques des chercheurs en matière de protection de la vie privée afin de garantir qu'ils ne courent pas de risques juridiques en enquêtant sur des questions liées à la vie privée; Le recours généralisé au réseautage n’exacerbe pas la discrimination et les pratiques déloyales; introduire une évaluation de l'impact sur la vie privée dans le développement de l'IoT, etc. Quatrième, renforcer la participation multipartite. La résolution des risques et des défis liés à l’IoT nécessite la participation conjointe du gouvernement, le public, industrie, milieu universitaire, organismes sociaux, et personnel technique. Un dialogue approfondi devrait être mené au niveau social, et il convient de prêter attention au droit de parole des consommateurs.
Dans l'ensemble, la combinaison de l'IoT avec des technologies émergentes telles que le cloud computing et intelligence artificielle transformera notre économie et notre société à bien des égards. La technologie offre de grandes opportunités, mais cela comporte aussi des risques. Il faut prendre les mesures appropriées pour garantir que les avantages de l’IoT dépassent de loin les risques liés à la vie privée., Sécurité, etc. Cela nécessite la coopération de toutes les parties prenantes, y compris les gouvernements, fabricants, consommateurs, etc., garantir que les technologies IoT sont développées de manière responsable et durable. Les pays étrangers promeuvent déjà une législation sur la confidentialité et la sécurité de l’IoT. La législation doit prendre en compte les caractéristiques des appareils et services IoT et adopter des mécanismes réglementaires flexibles et raisonnables.. Par exemple, même dans le RGPD de l'UE, le consentement éclairé des utilisateurs n’est pas la seule base juridique permettant aux prestataires de services de collecter et de traiter les informations personnelles des utilisateurs. Donc, la politique de confidentialité de l'Internet des objets ne doit pas se limiter au consentement éclairé mais doit prendre en compte les caractéristiques techniques, et dans certaines circonstances, passera d’une autorisation préalable à des obligations de protection des données en cours de processus et après l’événement. En outre, la sensibilisation des consommateurs à la vie privée s'est réveillée. Par exemple, dans une enquête, 77% des consommateurs ont indiqué que la capacité de protection de la vie privée et la sécurité de l'IoT sont des facteurs importants à prendre en compte lors de la prise de décisions d'achat.. Les fabricants d'IoT doivent prendre en compte les problèmes de confidentialité des utilisateurs et de sécurité des données lors du développement et de la construction de l'IoT.. Mettez en pratique le concept de « privacy by design » et renforcez le contrôle des utilisateurs sur les données..
Pourquoi est-ce jeoT Sécurité critique?
01. Pourquoi la sécurité de l'IoT est-elle si critique aujourd'hui
Aujourd'hui, Les appareils et applications de l’Internet des objets sont largement utilisés dans le travail et la vie des gens., et presque tous les objets deviendront intelligents pour profiter des avantages d'être connectés à l'Internet mondial.
Alors qu'au début, les menaces réseau étaient concentrées sur les installations informatiques de l'entreprise, dans le monde moderne, ils sont devenus plus répandus et plus fréquents. Avant d’aborder les mesures de sécurité pour l’Internet des objets, il est important de comprendre certains des vecteurs de menaces réseau entourant l’Internet des objets.
02. Vecteurs de menaces courantes pour l’Internet des objets
Les vecteurs de menace font référence aux chemins ou aux moyens par lesquels les cybercriminels peuvent accéder aux systèmes centraux d’une entreprise opérant sur le réseau.. Certains des vecteurs de menace les plus courants dans l'IoT sont:
(1) Aucune limite physique
La frontière du réseau IoT est plus ouverte que la frontière Internet traditionnelle. Les méthodes de sécurité traditionnelles permettant de restreindre l'accès aux appareils ne sont plus disponibles. Ces appareils IoT se déplacent vers n'importe quel nouvel emplacement en cas de besoin et ont accès au réseau.
(2) Fuite de données Wi-Fi et Bluetooth
Les configurations Wi-Fi et Bluetooth dans l'IoT sont des sources majeures de fuite de données. Bluetooth et le WI-FI avec des mots de passe faibles peut facilement être volé par des attaquants de réseau pendant la transmission de données. Aussi, dans la plupart des cas, le mot de passe utilisé pour la configuration n'est pas défini de manière unique pour chaque appareil. Si un seul appareil est attaqué et compromis par le réseau, un espace est laissé pour un accès non autorisé.
(3) Accès physique aux appareils IoT
Les cyber-attaquants obtiennent un accès physique aux appareils et aux charges de travail IoT, le pire de tous les vecteurs de menace. Avec cet accès, les cyberattaquants peuvent facilement accéder aux informations internes des appareils IoT et à leur contenu. Et en utilisant des outils comme BusPirate, Shikra, ou LogicAnalyzers, ils peuvent également lire tout le trafic du réseau. Avec accès physique, les cyberattaquants peuvent extraire des mots de passe, modifier leurs programmes, ou les remplacer par d'autres appareils qu'ils contrôlent.
03. IoT contre l'informatique
Alors que de nombreux appareils IoT sont à la limite, l'infrastructure informatique est dans le cloud. Les menaces pesant sur la sécurité de l'IoT peuvent amener les cyberattaquants à accéder aux principaux réseaux informatiques via les vecteurs de menace de l'IoT.. Voici quelques cyberattaques réelles.
- L'accès au réseau via le système CVC entraîne une violation de données
Selon les médias, Cible Inc., l'un des meilleurs 10 détaillants aux États-Unis, a été piraté pour voler 40 millions de numéros de carte de crédit de l'entreprise. Il s’agit de l’une des plus grandes violations de données au monde. Les pirates ont piraté les systèmes CVC en volant les informations d'identification de tiers, puis ont accédé aux réseaux d'entreprise..
- SubwayPoS subit une attaque de pirate informatique
Il existe actuellement des rapports faisant état de bugs de sécurité liés au PoS.. La faille dans SubwayPoS a entraîné une perte de $10 million, avec au moins 150 des franchises Subway ciblées. Un piratage similaire s'est produit chez le libraire américain Barnes & noble, dans lequel les lecteurs de cartes de crédit à 63 des magasins ont été attaqués et compromis.
Rançongiciel SamSam
Un autre cas bien connu de violation du système est la cyberattaque du rançongiciel SamSam., qui a frappé des administrations telles que le ministère des Transports du Colorado et le port de San Diego en 2018 et ont brusquement interrompu leurs services.
04. Réglementation IoT
Bien que certaines réglementations IoT aient été émises par certains pays et régions, ils ne suffisent pas à atténuer les risques liés aux cyberattaques. La Californie dispose de réglementations de niveau de sécurité raisonnables pour lutter contre les cyberattaques.. De même, le Royaume-Uni a mis en place une politique de mot de passe unique, et les entreprises doivent fournir des coordonnées claires pour les appareils IoT connectés à l'infrastructure informatique locale afin de divulguer les vulnérabilités et d'effectuer des mises à jour de sécurité régulières.. Bien que ces directives réglementaires soient bien accueillies par de nombreux commentateurs en matière de sécurité, on ne sait pas qui appliquera ces politiques. Le commentateur a ajouté qu'ils s'efforçaient de comprendre comment les réglementations seraient appliquées par les régulateurs existants..
Les stratégies et mesures des cyber-attaquants sont mises à jour beaucoup plus rapidement, et ces règlements peuvent être publiés ou mis en œuvre chaque année ou semestriellement.. Donc, il est difficile de suivre les attaques menées par les cyberattaquants uniquement en s'appuyant sur les politiques réglementaires.
05. Quelles mesures de sécurité les entreprises doivent-elles prendre
Tout en respectant les réglementations ci-dessus, les entreprises doivent développer leurs mesures de sécurité pour l'adoption des appareils IoT.
D'abord, ils doivent déterminer la sécurité des appareils IoT. Il est crucial de garantir que les appareils IoT ont des identités uniques, qui constituent la base d'autres mesures de sécurité.
Alors, basé sur la couche d'identité, le logiciel est protégé par des mesures telles que le code signé, micrologiciel, etc.
Enfin, l'entreprise doit avoir une conformité au plus haut niveau pour décider quelles versions du logiciel seront exécutées.
IoT sécurité matérielle
En conception de produits électroniques, la sécurité est primordiale. Cela est particulièrement vrai pour le complexe, ressources limitées, et Internet des objets hautement connecté (IdO). Assurer la sécurité de l'IoT nécessite de s'appuyer sur des principes de sécurité éprouvés et d'être vigilant face à l'évolution des menaces.. Mais les ingénieurs concepteurs sont confrontés à certains défis en matière de sécurité IoT lorsqu'ils commercialisent des produits..
01. L'IoT fait face à des menaces de sécurité
L'IoT est actuellement intégré dans la plupart des opérations industrielles et commerciales, y compris les services publics, infrastructure critique, transport, finance, vente au détail, et soins de santé. Les appareils IoT peuvent détecter et mesurer le monde physique et collecter des données sur diverses activités humaines, faciliter le déploiement généralisé de technologies intelligentes, automatique, et technologies de commandement et de contrôle autonomes. Grâce aux appareils intelligents interconnectés IoT omniprésents, les entreprises sont capables de créer des technologies véritablement révolutionnaires qui amélioreront tous les aspects de la société humaine et de la vie économique à l'avenir. Pourtant, presque chaque semaine, les grands médias font état de violations de la sécurité numérique.. Les pertes signalées sont souvent le vol ou l'utilisation abusive des informations de carte de crédit des consommateurs., qui ne sont que des gouttes d’eau dans l’océan par rapport aux milliers de cyberattaques qui se produisent chaque jour. Les attaques de sécurité consistent notamment à voler des données précieuses et à causer des dégâts considérables., et encore plus, prendre le contrôle des systèmes critiques. Du point de vue du consommateur, déni de service distribué (DDoS) les attaques sont probablement la menace la plus courante. Le botnet Mirai, qui a perturbé tout Internet en 2016, a tiré la première sonnette d'alarme, sensibiliser les agences à la menace. Après Mirai, Aïdra, Femme, et Gafgyt, ainsi que de nouveaux botnets tels que BCMUPnP, Chasseur52, et Torii53, ont pénétré de manière cumulative des millions d'appareils IoT pour propager leurs logiciels malveillants DDoS, mineurs de crypto-monnaie, et spam.
À mesure que de plus en plus d'appareils IoT apparaissent dans notre travail et nos vies, les attaques potentielles contre la sécurité sont partout et à une échelle toujours plus grande. Prenons l'exemple du contrôle intelligent du trafic. Imaginez une grande ville où l'infrastructure de capteurs, feux de circulation, réseaux maillés de voiture, et les dispositifs de contrôle qui contrôlent le flux de trafic sont exposés aux adversaires. Contrôler les feux de circulation ou la communication entre les véhicules via des réseaux sans fil aux intersections importantes n'est plus l'affaire des superproductions hollywoodiennes, mais un problème réel et sérieux.
Pensez également aux appareils médicaux connectés à Internet, des étiquettes intelligentes dans les magasins pour contribuer à améliorer l'expérience d'achat au détail, et comment nos appareils sont connectés. Si vous pouvez utiliser votre smartphone pour démarrer le poêle, déverrouiller la serrure et éteindre le système d'alarme, et tout le monde?
Les exemples ci-dessus sont pertinents pour nous tous, mais il existe de nombreuses situations qui sont invisibles pour le consommateur moyen. Imaginez le Internet industriel des objets (IIoT) déployé pour les environnements de fabrication automatisés. Quel serait le chaos si une faille de sécurité se produisait, et quel serait le coût financier des arrêts de production et des dommages aux équipements?
Avec un potentiel d’attaques en croissance exponentielle, La sécurité de l'IoT doit être complète et robuste, avec la capacité de récupérer rapidement.
02. Toi ne devrait pas s'appuyer uniquement sur une approche logicielle
Les tentatives d’écoute électronique ou d’obtention illégale d’informations ne sont pas nouvelles. Le chercheur en informatique néerlandais Wim Van Eck travaille sur ce sujet depuis 1985. Il a réussi à extraire des informations de l'écran en interceptant son champ électromagnétique et en le décodant.. Son travail pionnier a mis en évidence le fait qu'il était possible de contourner des mesures de sécurité coûteuses en utilisant des composants peu coûteux..
De telles attaques par canal latéral électromagnétique, non intrusives et passives, sont désormais de plus en plus sophistiquées et constituent l'une des nombreuses armes d'attaque.. D'autres méthodes d'attaque par canal de périphérie incluent l'analyse de puissance différentielle (DPA) et d'autres, qui sont couramment utilisés avec les attaques électromagnétiques par canal de périphérie. Grâce à cette attaque, informations sensibles telles que les clés de cryptage, mots de passe, et les identités personnelles dans le microcontrôleur de l'appareil IoT seront « compromises » sous la forme de signaux électromagnétiques lorsque les instructions de traitement de cryptage seront exécutées.. Les récepteurs à large bande en tant qu'applications radio définies par logiciel sont actuellement très peu coûteux et peuvent être utilisés pour détecter et stocker des signaux électromagnétiques en fonctionnement..
DPA est une méthode de vol plus complexe, qui peut comprendre la consommation d'énergie du processeur pendant le fonctionnement de l'appareil grâce à une simple analyse de puissance. Étant donné que la puissance consommée par le dispositif de traitement varie en fonction de la fonction exécutée, les fonctions discrètes peuvent être identifiées en connaissant la consommation électrique. Les fonctions des algorithmes de chiffrement basés sur AES, CCE, et RSA nécessitent beaucoup de calculs et peuvent être identifiés par analyse de mesure de puissance. L'examen de la consommation d'énergie à des intervalles de microsecondes révèle diverses opérations numériques souvent utilisées en cryptographie, comme la multiplication par somme carrée. DPA ajoute des statistiques et des techniques de correction d'erreurs à une simple analyse de puissance, qui peut réaliser un décodage de haute précision des informations confidentielles.
Les fuites de données via les communications filaires ou sans fil peuvent également exposer des informations confidentielles.. Les canaux secrets et les « attaques de l'homme du milieu » sont des moyens efficaces de collecter des données en écoutant la communication entre les appareils IoT et les systèmes hôtes.. L'analyse de ces données peut révéler les protocoles de contrôle des appareils et les clés privées nécessaires pour prendre en charge le fonctionnement des appareils connectés à distance..
Une autre technique d'attaque utilisée par les pirates informatiques consiste à implanter des attaques sur des microcontrôleurs et des systèmes sur puce sans fil non protégés. (SoC) dispositifs. Dans le cas le plus simple, la technique peut réduire ou interférer avec la tension d’alimentation du microcontrôleur, faire d'étranges erreurs. Ces erreurs peuvent ensuite inciter d'autres appareils protégés à ouvrir des registres contenant des informations confidentielles., les exposant ainsi à l'intrusion. Falsifier le signal d’horloge du système en changeant la fréquence, planter le mauvais signal de déclenchement, ou une modification du niveau du signal peut également entraîner des anomalies dans les appareils IoT pouvant exposer des informations confidentielles ou conduire à une manipulation des fonctions de contrôle.. Les deux cas nécessitent un examen physique, mais pas envahissant, accès aux circuits imprimés à l'intérieur de l'appareil.
Étant donné que la plupart des technologies de sécurité utilisées pour sécuriser les appareils IoT sont basées sur des logiciels, les informations de sécurité sont susceptibles d'être lues illégalement. Algorithmes de chiffrement cryptographiques standards tels que AES, CCE, et RSA fonctionnent comme des piles logicielles sur des microcontrôleurs et des processeurs embarqués. Appareils et logiciels qui coûtent moins de $100 peut être utilisé non seulement pour voir la consommation d'énergie, mais également pour obtenir des clés et d'autres informations sensibles à l'aide de la technologie DPA. Il est désormais facile d'obtenir des outils logiciels DPA disponibles dans le commerce pour automatiser l'ensemble du processus sans même avoir à maîtriser ces méthodes analytiques..
De telles attaques ne se limitent plus au domaine de la théorie, et ils ont été largement utilisés par les pirates informatiques du monde entier.
Avec l'intensité croissante des attaques, les développeurs d'appareils et de systèmes IoT doivent reconsidérer leurs méthodes de protection de sécurité et améliorer leurs fonctions de protection de sécurité pour les rendre plus robustes et résilientes.
03. Approche matérielle pour je me protègeoT Sécurité
Avant de concevoir un nouvel appareil IoT, il est préférable d'avoir une compréhension globale des attaques auxquelles l'appareil est susceptible d'être exposé., et contre quels types de menaces il faut se protéger. Il est prudent d'examiner les exigences de sécurité dès le départ et de les intégrer dans les spécifications du produit.. La plupart des appareils IoT ont tendance à durer de nombreuses années, et cela seul pourrait conduire à davantage d'attaques, il faut donc y réfléchir. Donc, les mises à jour du micrologiciel doivent être effectuées par liaison radio (OTA), et pour se protéger contre toutes les attaques, une approche puce vers cloud est nécessaire pour mettre en œuvre une conception de sécurité basée sur le matériel.
La puce de sécurité OPTIGA® Trust M2 ID2 récemment lancée par Infineon est une solution de sécurité entièrement matérielle, et son plus grand avantage est qu'il peut résister aux attaques au niveau matériel. Il utilise une logique rationalisée spécialement conçue pour mieux protéger le stockage des données. Même si la rétro-ingénierie est très professionnelle, les données originales ne peuvent pas être facilement piratées et crackées. Certaines conceptions professionnelles et implémentations de code non standard sont en réalité difficiles à analyser et à comprendre.. Le point le plus important est que la solution de puce de sécurité matérielle peut fournir une « racine » de confiance pour l’ensemble du système et une source de confiance pour le système..
IoT sécurité du micrologiciel
Avec le nombre de terminaux IoT augmentant à pas de géant, les réglementations et normes pertinentes en matière de sécurité IoT arrivent progressivement, et la sécurité du micrologiciel des appareils embarqués à faibles ressources sera progressivement prise en compte. En tant que plateforme de détection de sécurité IoT de bout en bout, TinyScan analyse et exploite véritablement les informations sensibles cachées et les risques de sécurité depuis la source. Les développeurs de micrologiciels et les utilisateurs de micrologiciels peuvent utiliser cet outil pour maîtriser l'état de sécurité du micrologiciel spécifié et effectuer une protection ou une évasion ciblée., réduisant ainsi le nombre de problèmes de sécurité IoT causés par les vulnérabilités du micrologiciel.
À l’ère de l’Internet des objets, un modèle de perception à structure à trois couches, transmission, et l'application est souvent utilisée, et des appareils embarqués tels que des capteurs, passerelles, et les contrôleurs répartis dans les trois couches ont introduit un grand nombre de nouveaux problèmes de sécurité: architecture.
01. SSécurité du système
Maintenant, les systèmes d'exploitation embarqués traditionnels sont toujours dominés par Linux ou ses dérivés, et différentes entreprises personnalisent et développent des systèmes Linux en fonction des exigences et des caractéristiques de leurs produits.. Cependant, en raison du fait que les ressources des appareils embarqués sont limitées, il est difficile de transplanter complètement les solutions de défense de sécurité existantes sur les appareils IoT.
02. Sécurité des composants
Parce que les appareils embarqués utilisent Linux comme système d'exploitation, de nombreux composants open source seront forcément utilisés. Les problèmes cachés de certains composants open source en mode C/S pourraient être redécouverts et utilisés à l'ère de l'Internet des objets. Parce qu'il existe un grand nombre d'appareils IoT identiques dans l'espace en même temps, si le micrologiciel de l'appareil n'est pas mis à niveau à temps après l'apparition d'une vulnérabilité, cela peut causer de lourdes pertes.
03. R.&D Sécurité
À l'ère d'Internet, le client ne peut pas accéder et contrôler directement le serveur, mais ce phénomène a changé à l'ère de l'Internet des objets. Grâce à l'outil inverse open source, les utilisateurs peuvent facilement obtenir les fichiers de configuration et les informations en clair laissées dans le micrologiciel de l'appareil, puis obtenir directement les droits d'accès de l'appareil, constituant une menace pour un grand nombre d'appareils de même spécification.
Nous devrions effectuer une analyse de sécurité sur le micrologiciel à partir des dimensions suivantes, et afficher les résultats de l'analyse sous forme de rapports.
(1) Analyse de la sécurité du service de système de fichiers
● Analyse et obtient automatiquement les informations de base du système de fichiers du micrologiciel, y compris l'architecture du processeur, temps d'installation, mode de compression, taper, taille, et mode de stockage du système de fichiers.
● Après avoir obtenu les informations de base sur le système de fichiers, vous pouvez déterminer le type de cible d'analyse et passer à différents moteurs d'analyse.
(2) Système & codage d'analyse de service
● Obtenir des informations sur le service système, y compris le chemin de service du système et la valeur MD5.
● En obtenant les informations de service du système, l'état de démarrage automatique du service système peut être connu, et les informations telles que l'existence ou non de scripts malveillants inconnus dans le service de démarrage automatique peuvent être rapidement apprises..
(3) Composant & analyse de la sécurité des logiciels SPA
● Balayage directionnel, obtention d'un composant système & informations sur le logiciel, y compris le composant & chemin du logiciel, description, et l'adresse du site Web;
● En obtenant le composant & informations sur le logiciel, vous pouvez obtenir rapidement les informations de version du composant & logiciel installé dans le firmware, puis effectuez une analyse de sécurité en conséquence.
(4)Récupération du mot de passe utilisateur
● Balayage directionnel, obtenir des informations sur le mot de passe de l'utilisateur, y compris le chemin du fichier lié au mot de passe, et les informations de mot de passe;
● Après la récupération du mot de passe utilisateur, la fuite d'informations de mot de passe causée par un développement non standard du micrologiciel peut être exposée.
(5)Analyse de la sécurité de l'authentification par chiffrement
● Analyse et obtient automatiquement les informations du fichier d'authentification de chiffrement, y compris le chemin et les informations de chiffrement du fichier d'authentification de chiffrement;
● Après la détection de l'authentification par chiffrement, la fuite d'informations d'authentification de cryptage causée par le développement non standard du micrologiciel peut être exposée.
(6)Analyse des paramètres sensibles sécurité des informations
L'analyse automatique et l'obtention d'informations sensibles suspectes dans le micrologiciel incluent, sans s'y limiter, les jetons/clés codés en dur., mot de passe de configuration codé en dur, IP codée en dur, adresse HTTP codée en dur, fuite du fichier cache, etc., ce qui peut exposer des fuites d'informations sensibles causées par un développement non standard du micrologiciel.
(7)Détection de vulnérabilité CVE
Détectez rapidement les informations de vulnérabilité CVE dans le système de fichiers, y compris l'ID CVE, temps de libération, description, et niveau. Après la détection de la vulnérabilité CVE, vous pouvez obtenir les dernières informations sur la vulnérabilité CVE du logiciel installé dans le micrologiciel actuellement analysé.
Internet des objets(IdO) sécurité des logiciels
72% des responsables de la sécurité de l'information déclarent que le cloud computing est une priorité absolue pour la transformation numérique. Le logiciel IoT basé sur le cloud intègre des éléments de sécurité numériques et physiques afin que les données puissent être consultées et exploitées par des téléphones plus sécurisés..
Que peut faire le cloud Logiciel IdO apporter à la protection de la sécurité? Cet article vous expliquera comment les logiciels IoT peuvent contribuer efficacement à améliorer la sécurité dans le domaine de la sécurité.. Il présentera également comment combiner les éléments de sécurité numérique et physique pour faire face aux incidents de sécurité..
01. L'impact des logiciels IoT basés sur le cloud
Les logiciels IoT basés sur le cloud sont utilisés de diverses manières dans les entreprises. Et les solutions basées sur le cloud apportent des avantages au domaine de la sécurité. En son coeur, La technologie IoT transforme le secteur des entreprises, renouveler le mode de fonctionnement des entreprises.
02. Intégrez des solutions basées sur le cloud pour exploiter les données
Les données sont très importantes dans tous les secteurs, et le domaine de la sécurité ne fait pas exception. Avec des solutions basées sur le cloud, le stockage des données et des informations sur une interface unique peut aider les entreprises à rester au courant de ce qui se passe dans l'entreprise.
En outre, en combinant des logiciels améliorés par l'IA et des solutions basées sur le cloud, le personnel de sécurité peut mieux identifier les menaces potentielles pour la sécurité. Tirer parti des technologies IoT basées sur le cloud peut augmenter la productivité. En raison des responsabilités étendues du personnel de sécurité, la surveillance en temps réel des caméras n'est pas possible. La technologie IoT peut aider le personnel de sécurité à recevoir des informations sur les caméras et à enregistrer les commentaires à tout moment., n'importe où, aider à établir de meilleures politiques de sécurité. Certaines solutions IoT fournissent des alertes en temps réel au personnel de sécurité qui combinent des outils d'analyse vidéo et IA en temps réel pour améliorer les fonctionnalités du système de sécurité et accélérer la réponse aux incidents de sécurité..
03. combinere le pouvoir du physique et du cyber Sécurité
La combinaison de la sécurité numérique et physique est bénéfique pour optimiser les systèmes de sécurité IoT, aider à protéger les systèmes contre les violations et les violations en ligne. Plus, les mesures de sécurité physique aident à protéger les informations confidentielles contre les pirates informatiques. Plus la fusion des éléments de sécurité numérique et des équipes de sécurité physique est forte, plus une organisation sera protégée.
04. Mises à jour automatiques du logiciel
Il est extrêmement important de maintenir tous les logiciels à jour pour garantir que votre organisation ne soit pas exposée à des menaces de cybersécurité, même en cas de violation des systèmes IoT.. Traditionnellement, les systèmes de sécurité locaux ont été mis à jour manuellement par des professionnels certifiés à chaque nouvelle mise à niveau. Utiliser un logiciel basé sur le cloud, les mises à jour peuvent non seulement être effectuées sur site ou à distance, mais peut aussi être automatisé, réduisant considérablement les coûts.
05. Fonction à distance
Avec le développement flexible de la technologie cloud IoT, le personnel de sécurité peut utiliser les outils de sécurité à distance à l'aide d'appareils mobiles. Par exemple, le système d'interphone vidéo utilisé dans le système de contrôle d'accès actuel permet au personnel de sécurité de vérifier l'identité du visiteur en passant un appel vidéo avec le smartphone du visiteur. En outre, le programme d'interphone prend également en charge le déverrouillage à distance. Lorsque l'identité du visiteur est confirmée, la porte peut être déverrouillée à distance pour permettre au visiteur d'entrer. Grâce à l'utilisation de la technologie IoT basée sur le cloud, la procédure d'authentification des visiteurs est simplifiée et le temps de vérification est considérablement raccourci afin que les visiteurs puissent entrer plus rapidement dans le bâtiment.
06. Résumer
Adopter une solution basée sur le cloud Solution IdO dans la stratégie de protection de la sécurité d’une entreprise est propice à la création d’un système de sécurité qui s’adapte à son temps. La cybersécurité est la menace et le défi auxquels les entreprises sont confrontées lorsqu'elles utilisent la technologie IoT.. Mais en combinant des éléments de sécurité physique et numérique, Les systèmes IoT basés sur le cloud peuvent être largement protégés contre les vulnérabilités et mieux protégés pour aider les entreprises à faire face à l'évolution du paysage de la sécurité..
Internet des objets(IdO) sécurité Internet
Parallèlement au développement rapide de l’Internet des objets, des problèmes de sécurité de l’Internet des objets apparaissent également fréquemment. Certains incidents de détournement d’équipements miniers et d’équipements se sont produits à plusieurs reprises. Les produits pour la maison intelligente continuent de combler les failles de sécurité, ce qui entraînera des pertes économiques irréversibles lorsque les failles seront exploitées. En même temps, cela reflète également l'importance de la sécurité en tant qu'infrastructure de l'application de l'Internet des objets au début de la construction de l'industrie de l'Internet des objets..
Au cours des dernières années, avec la percée de technologies clés telles que 5g, le développement de l’Internet des objets a progressé à pas de géant. En même temps, en raison de l'impact du Covid-19, les formes bureautiques de travail à distance ont augmenté, ce qui apporte non seulement de la commodité aux entreprises, mais permet également aux pirates informatiques d'attaquer les informations confidentielles de l'entreprise.
L'Internet des objets a pénétré tous les aspects de nos vies. Les attaques fréquentes contre les appareils intelligents menacent la vie privée et la sécurité. Les infrastructures critiques sont également confrontées à d’énormes risques lors de la transformation des réseaux numériques.. La sécurité de l'IoT nécessite la mise en place de plans de gestion et de réglementations raisonnables pour garantir une détection rapide et une récupération efficace des risques..
Les problèmes de sécurité de l'IoT concernent principalement la sécurité des données, confidentialité, réplication, et menaces du système RFID.
- Attaques contre la RFID: Technologie RFID est une technologie populaire de l'Internet des objets, actuellement principalement utilisé dans les « supermarchés sans personnel » et dans d’autres domaines.
- Attaque sur WSN: WSN est le réseau de capteurs sans fil. La couche inférieure de l'Internet des objets est la couche de perception. Cette couche comprend un grand nombre de capteurs. Quand les capteurs fonctionnent, ils généreront une grande quantité de données. Une fois qu'ils sont interceptés par des criminels pendant le processus de transmission, les conséquences seront inimaginables. WSN a actuellement des applications connexes dans le domaine militaire.
- Attaques sur les routeurs: Les routeurs sont des périphériques réseau très importants. Une fois attaqué, le réseau est peut-être paralysé. En outre, il y a des attaques sur les lignes de communication, attaques contre les utilisateurs, et attaques sur les serveurs.
Spécifiquement, Les principales menaces de sécurité auxquelles l’Internet des objets est actuellement confronté peuvent être résumées en trois aspects du « cloud », tuyau, et mettre fin à la sécurité:
(1)Sécurité des terminaux de l'Internet des objets
Le premier aspect est la sécurité des terminaux IoT. En tant que produit représentatif de l'intégration profonde de l'espace d'information et de l'espace physique, Les terminaux IoT se sont rapidement développés, passant du statut de produits pionniers destinés à la consommation personnelle à divers domaines de l'économie et de la société.. Il confère à l'éducation, soins médicaux, vente au détail, énergie, construction, voiture, et bien d'autres industries avec de nouveaux moyens de service, et soutient l'amélioration des fonctions urbaines de base telles que les bureaux du gouvernement, la sécurité publique, transport, et logistique. L'équipement terminal IoT existant se concentre sur la réalisation des fonctions, alors que les équipementiers traditionnels ont des capacités de sécurité insuffisantes, prendre en compte des facteurs tels que le temps et le coût, et ignorent généralement les problèmes de sécurité dans la conception des terminaux.
Les terminaux IoT peuvent être divisés en terminaux intelligents et terminaux non intelligents. La plupart des terminaux intelligents ont des systèmes d'exploitation et des applications de terminal intégrés, alors que la plupart des terminaux non intelligents ont une structure et une fonction uniques, et n'effectue que des fonctions telles que la collecte et la transmission de données. Donc, les terminaux intelligents représentent une plus grande menace pour la sécurité des informations.
(2)Sécurité des pipelines IoT
Le deuxième aspect est la sécurité du pipeline IoT. Le « tube » de l’Internet des objets est le pipeline reliant le « cloud » et la « fin ». La sécurité du « tube » de l’Internet des objets est la sécurité du pipeline d’informations doté d’une grande capacité et d’une grande intelligence.. Selon l'enquête sur le pipeline d'informations de l'Internet des objets, il s'avère qu'il existe quatre menaces principales pour la sécurité du pipeline de l'Internet des objets.
(3)Sécurité des services cloud de l'Internet des objets
Troisième, Sécurité des services cloud de l'Internet des objets. En général, Les services cloud de l'Internet des objets sont utilisés lorsque les informations sont partagées avec d'autres parties.. Donc, la protection de la sécurité des services cloud est également un lien clé avec la protection de la sécurité de l'Internet des objets.
Façons d’améliorer la sécurité de l’Internet des objets
Les entreprises doivent améliorer la sécurité des appareils IoT, sinon elles entraîneront d'énormes pertes financières et de réputation.. Le chiffrement des données et la surveillance interne sont quelques-uns des moyens par lesquels les entreprises peuvent se concentrer sur l'amélioration de la sécurité des appareils IoT..
01. Utiliser l'infrastructure cloud et la protection des logiciels
Le périphérique réseau Cumulonimbus assure la sécurité de l'appareil car il contribue à maintenir la confidentialité et l'intégrité des informations enregistrées par l'appareil.. En même temps, les informations contenues dans l'échange peuvent être cryptées et protégées contre les pirates informatiques.
02. Conception un Sécurité appareil et créer un réseau séparé
Il est important de concevoir un meilleur appareil axé sur l'amélioration de la sécurité des appareils IoT.. Un examen interne en temps opportun du comportement de l'appareil dans certaines conditions est important pour modifier le système de l'appareil..
03. Appliquer jeoT API à se prémunir contre l'usurpation d'identité
Le rôle de la protection de sécurité des API est de permettre uniquement aux appareils autorisés de communiquer entre eux. Les entreprises et les utilisateurs peuvent être informés de tout accès et fonctionnement non autorisés du système.
Dans le monde d'aujourd'hui, le nombre d’appareils IoT utilisés augmente. En même temps, Le développement de l’IoT est confronté à des défis. Les entreprises devraient progressivement reconnaître l'importance de la sécurité de l'IoT et améliorer davantage la technologie pour protéger la sécurité des appareils..
Quelles industries sont les plus vulnérables à jeoT menaces à la sécurité?
Les problèmes de sécurité de l’IoT touchent tous les secteurs et tous les domaines. C'est-à-dire, tant que l'industrie est liée à la vie humaine et aux biens, il est vulnérable à la menace de sécurité de l’Internet des objets.
Par exemple, une attaque contre un système de réfrigération qui abrite un médicament, surveillé par un système IoT, pourrait perturber la viabilité d'un médicament si la température fluctue. De même, l'impact des attaques contre les puits de pétrole, systèmes d'eau, et réseaux énergétiques, infrastructure critique qui affecte grandement la vie humaine, peut être dévastateur.
Cependant, les autres attaques ne doivent pas être sous-estimées. Par exemple, une attaque contre une serrure de porte intelligente pourrait permettre aux voleurs de pénétrer dans une maison intelligente. Ou, dans d'autres cas, comme le 2013 Cibler le piratage ou d'autres failles de sécurité, les attaquants peuvent diffuser des logiciels malveillants via des systèmes connectés (le système CVC dans le cas cible) pour voler des informations personnellement identifiables et faire des ravages sur les personnes concernées.
01. Comment puis jeoT les systèmes et les appareils soient protégés
L'approche de sécurité de l'IoT dépend de l'application IoT et de la position de l'entreprise dans l'écosystème IoT.. Le développement et l'intégration de logiciels sécurisés doivent être une priorité majeure au début des logiciels IoT.. Le déploiement de systèmes IoT nécessite une attention particulière à l'authentification et à la sécurité matérielle. De même, pour les opérateurs, maintenir les systèmes à jour, réduire les logiciels malveillants, infrastructure d'audit, et la sécurisation des informations d'identification est essentielle.
Normes de sécurité et législation pour l'Internet des objets (les États-Unis et l'Europe)
01. Lignes directrices européennes en matière de sécurité de l'Internet des objets
L'Agence européenne de cybersécurité a publié des lignes directrices en matière de sécurité pour l'Internet des objets.. Sur 9 Novembre 2020, l’Agence de cybersécurité de l’Union européenne (ENISA) a publié les lignes directrices de sécurité pour l'Internet des objets (IdO) (ci-après dénommées les Lignes directrices), qui vise à aider les fabricants d'IoT, développeurs, intégrateurs, et les parties prenantes qui possèdent les chaînes d'approvisionnement IoT prennent les meilleures décisions lors de la construction, déploiement, ou évaluer les technologies IoT. L'objectif des lignes directrices est de définir et d'identifier les défis et les menaces en matière de sécurité de l'IoT afin de garantir la sécurité de la chaîne d'approvisionnement de l'IoT.. Les lignes directrices formulent cinq recommandations: D'abord, Les entités IoT devraient établir de meilleures relations les unes avec les autres, y compris en donnant la priorité à la coopération avec des fournisseurs qui offrent des garanties en matière de cybersécurité, travailler à améliorer la transparence, développer des modèles de confiance innovants, et fournir des engagements de sécurité aux clients. La deuxième est de vulgariser davantage les connaissances professionnelles en matière de sécurité des réseaux., renforcer le maintien et la formation des professionnels, et sensibiliser les utilisateurs de l'Internet des objets à la sécurité. Troisième, la sécurité est obtenue en améliorant les normes de conception IoT, y compris l'adoption de principes de conception de sécurité, l'utilisation des technologies émergentes pour le contrôle et l'audit de sécurité, et la mise en place de mécanismes de mise à jour à distance. Quatrième, adopter une approche plus globale et explicite pour améliorer la sécurité, y compris l'établissement de plans de test complets, intégrer des mécanismes d'authentification dans les circuits, et en utilisant les paramètres d'usine par défaut. Cinquième, exploiter pleinement les normes existantes et les pratiques efficaces pour améliorer la sécurité des produits et la qualité des services dans la chaîne d'approvisionnement.
02. Les Etats Unis. Internet des objets Loi sur l'amélioration de la sécurité du 2020
Le projet de loi a été adopté en septembre 14, 2020. Étant donné que la sécurité des appareils IoT est un cyber-défi émergent avec une priorité de sécurité nationale, le projet de loi vise à améliorer la sécurité des appareils fédéraux connectés à Internet en répondant aux problèmes de cybersécurité avant que les appareils IoT ne soient introduits dans l'usage fédéral. La loi exige que tous les appareils IoT utilisés par le gouvernement fédéral répondent aux normes de sécurité minimales publiées par le NIST..
03. Code de bonnes pratiques australien: jeoT Protection des consommateurs
La loi a été publiée par le gouvernement australien en septembre 3, 2020, et a été considéré comme une première étape vers l'amélioration de la sécurité des appareils IoT dans le pays.. Compte tenu de la nature mondiale de la sécurité des appareils IoT, les normes industrielles proposées par le Code de conduite sont cohérentes avec d'autres normes internationales et sont basées sur 13 des principes, incluant principalement aucune répétition de mots de passe faibles ou par défaut, mise en œuvre de politiques de divulgation des vulnérabilités, mises à jour continues de sécurité du logiciel, Les identifiants sont stockés en toute sécurité, la protection des données personnelles est assurée, l'exposition aux surfaces d'attaque est minimisée, les communications sont sécurisées, l'intégrité du logiciel est assurée, les systèmes résistent aux interruptions, systèmes de surveillance des données de mesure, etc. Parmi eux, cryptographie, divulgation de vulnérabilité, et les actions de mise à jour de sécurité sont recommandées comme les trois principaux principes prioritaires du secteur, car ils permettent d'obtenir les plus grands avantages en matière de sécurité dans un court laps de temps..
04. Similitudes et différences entre les pays européens, NOUS, et les lois et directives australiennes sur la sécurité de l'IoT
Les lois améliorent les normes de protection de la sécurité des appareils IoT de plusieurs manières. Cet article présente un certain nombre de normes de sécurité pour les appareils IoT dans l'Union européenne, les États Unis, et l'Australie, comme s'assurer que la complexité du mot de passe de l'appareil est suffisamment élevée, méthodes d'authentification multifacteur, assurer la sécurité des informations d'identification telles que le stockage sécurisé, divulgation en temps opportun, et réparation des failles de sécurité, fournir des mises à jour de sécurité régulières pour minimiser l'exposition à la surface des cyberattaques et plus encore.
Les trois lois visent à renforcer la protection de la vie privée dans l'Internet des objets.. Lois et lignes directrices dans l'UE, NOUS, et l'Australie font tous de la protection de la vie privée un élément important de la sécurité de l'IoT.. Par exemple, L'Australie a proposé dans son code de bonnes pratiques que les appareils IoT bénéficient par défaut d'une protection de la vie privée., et que les données personnelles doivent être traitées avec le consentement préalable de l'utilisateur. Et l'appareil doit permettre aux utilisateurs de supprimer leurs données personnelles à tout moment et d'avoir le droit et le moment de révoquer leur confidentialité., afin de maximiser la protection de la vie privée et des données sensibles des utilisateurs.
La portée et la cible des lois sont différentes. Le code de conduite australien est orienté vers le consommateur, contribuer à sensibiliser aux protections de sécurité associées aux appareils IoT, accroître la confiance des consommateurs dans la technologie IoT, et permettre à l'Australie de bénéficier de son déploiement. Les lignes directrices de l'UE ciblent les entités de la chaîne d'approvisionnement IoT telles que les développeurs d'appareils et de logiciels IoT., fabricants, experts en sécurité, équipes d'approvisionnement, et autres entités de la chaîne d'approvisionnement. En étudiant et en répondant aux différentes menaces de sécurité auxquelles est confrontée la chaîne d'approvisionnement à différentes étapes, l’objectif de construire un écosystème IoT sécurisé est atteint. La loi américaine couvre principalement le gouvernement fédéral américain et vise à réglementer l'évaluation de la sécurité des appareils IoT par le gouvernement et à garantir que les appareils IoT achetés et utilisés par les agences gouvernementales répondent aux normes de sécurité..
La réglementation gouvernementale de la sécurité de l'IoT a des effets variables. Les lignes directrices de l’UE et le code de bonnes pratiques de l’Australie ne sont pas obligatoires car il s’agit de mesures recommandées par les agences gouvernementales compétentes.. Les Etats Unis. le projet de loi est gouvernemental et contient plusieurs mandats, comme une exigence explicite pour le National Institute of Standards and Technology (NIST) publier des normes et des lignes directrices pour l'utilisation de la sécurité des appareils compatibles Internet au sein 90 jours après la promulgation par l’agence fédérale du projet de loi visant à guider les agences exécutives et les budgets Mener une censure sur Internet; le gouvernement fédéral et les agences n'achèteront ni n'utiliseront d'appareils IoT qui ne répondent pas aux exigences de sécurité.
