Cisco renforce le contrôle d’accès et la gestion des périphériques IoT

Pour Cisco, il est évident que l’accès aux réseaux IoT d’entreprise doit être mieux contrôlé. Selon son rapport semestriel 2017 sur la cybersécurité « Midyear Cybersecurity Report for 2017 », la plupart des entreprises ne savent pas quels dispositifs IoT sont connectés à leur réseau. De plus, la sécurité est rarement une priorité des fournisseurs, et la plupart des produits sont loin d’offrir les mêmes garanties de sécurité que les ordinateurs de bureau. Il faut parfois des mois, voire des années, avant que les problèmes de sécurité ne soient résolus et en général, les constructeurs communiquent peu ou pas sur les vulnérabilités, ne livrent pas de mises à jour pour les corriger et ne se préoccupent pas de protéger leurs produits contre les risques courants. Souvent, les applications, difficilement accessibles ou pas accessibles du tout, ne sont pas corrigées ou sont obsolètes, ce qui ne simplifie pas l’assainissement des systèmes compromis.

Mises à niveau ISE

C’est sur cette base que Cisco a renforcé son Identity Service Engine (ISE). L’entreprise a multiplié par deux le nombre de périphériques IoT et de groupes d’utilisateurs pouvant être automatiquement classifiés et identifiés, y compris ceux qui utilisent des protocoles industriels et des standards de communication ouverts comme BACNet, Profinet, Common Industrial Protocol (CIP) et Modbus. « ISE 2.4 comporte désormais 620 nouveaux profils pouvant être reconnus par le service ISE », a déclaré Prashanth Shenoy, vice-président du marketing réseau d’entreprise chez Cisco. « Grâce à ce support accru, les clients d’ISE peuvent définir des politiques pour les périphériques IoT, les segmenter et contrôler leur accès à partir d’un endroit unique ». Cisco ISE est disponible sous forme d’appliances matérielles ou de serveurs virtuels. Le logiciel reconnaît les périphériques quand ils se connectent au réseau et remonte des informations sur le fabricant, la référence du modèle et le logiciel installé. « ISE contrôle l’accès des connexions filaires, sans fil et VPN reliées au réseau de l’entreprise », a ajouté Cisco.

DNA Center, SD-Access

Cisco a également déclaré qu’il était en train d’étendre le périmètre de son outil d’administration graphique DNA Center de façon à prendre en charge les périphériques IoT. Introduit l’année dernière dans le cadre de son initiative Intent-Based Network (IBN), DNA Center est un logiciel de surveillance automatisée du réseau. « Il repose essentiellement sur le logiciel SD-Access, dont l’approche basée sur l’identité permet de gérer les utilisateurs et les dispositifs entrant et exploitant le réseau », a déclaré Cisco. Le périmètre de SD-Access a été élargi du site à ce que Cisco appelle l’entreprise étendue, dans laquelle il inclut les centres de distribution, les entrepôts et les usines de fabrication, des environnements où l’on trouve couramment des périphériques IoT, des capteurs et des robots. « L’extension de SD-Access permet aux clients de pousser leurs politiques et d’automatiser les opérations à travers leur entreprise, leurs sites de fabrication ou leurs espaces d’activité externes – le tout via DNA Center », a encore déclaré M. Shenoy. « SD-Access Extension for IoT et SD-Access for Distributed Campus devraient être prêts dans le courant du troisième trimestre, la disponibilité générale étant prévue pour le quatrième trimestre de cette année », a aussi précisé Cisco.

L’équipementier a également annoncé que son service de gestion dans le cloud Operational Insights et l’appliance Cisco Connected Mobile Experiences (CMX), version 10.3 ou ultérieure, pouvaient désormais utiliser les données remontées depuis des périphériques IoT pour suivre et surveiller l’emplacement et l’état des machines, capteurs et autres actifs dans leur environnement. À partir de règles d’état et de télémétrie établies sur les environnements, le service est capable d’identifier plus efficacement les problèmes et de rationaliser les opérations commerciales. « Operational Insights surveille en permanence les données des capteurs connectés aux actifs – y compris des données de télémétrie comme la température et l’humidité. Quand la mesure s’écarte de la norme définie par les workflows, les politiques et les besoins métiers, la solution passe à l’action. Elle peut lancer une alerte immédiate ou déclencher une action automatisée prédéfinie par les flux de travail et les règles métiers », a expliqué Cisco.

Commutateurs Catalyst pour réseau autonome

Cisco a ajouté à sa gamme de commutateurs Catalyst, le Catalyst 9500 100/40G 32 ports et les Catalyst 9500 25G 24 et 48 ports. Le switch Catalyst 9500 est le commutateur d’agrégation d’entreprise par excellence. Il est accompagné d’une myriade de services comme Encrypted Traffic Analytics et Netflow. Il offre une option de mise à niveau pour les modèles plus anciens. Les switchs sont disponibles dès maintenant. Cisco a également déployé un point d’accès Aironet 4800 Access Point, que l’entreprise définit comme un point d’accès tout-en-un « avec une fréquence radio dédiée active 24h/24 et 7j/7 pour la sécurité et l’analyse, de la télémétrie en temps réel offrant une large visibilité et de l’hyperlocalisation parmi les meilleures de l’industrie ». L’Aironet 4800 dispose de ce que Cisco appelle « Intelligent Capture », un système qui sonde le réseau et peut envoyer les résultats au DNA Center. Ces résultats peuvent ensuite servir à définir des politiques ou suivre et répondre aux anomalies. « Le logiciel peut suivre plus de 240 anomalies et examiner instantanément tous les paquets à la demande. Il fait en quelque sorte le travail de l’administrateur réseau sur site », a déclaré Cisco. « Le boîtier comprend une radio supplémentaire qui surveille le réseau sans fil en permanence pour identifier tout ce qui peut représenter une menace ou entamer la performance », a encore déclaré le fournisseur qui précise que la solution sera disponible au cours du troisième trimestre de cette année.