SlideShare ist ein Scribd-Unternehmen logo

Risques 40min securité_io_t_v1.0

Tactika inc.
Tactika inc.

L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains) « The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. » Internet of things, risk and value considerations, ISACA Internet of Everything Internet of shit Bad Internet neighborhood

Internet
1 von 36
Downloaden Sie, um offline zu lesen
Sécurité de l’IoT Internet of Things Internet des objets v1.0 8 novembre 2016 40 min. Tactika inc.
Table des matières 1. Qui suis-je 2. Contexte 3. Définition de l’IoT 4. Sécurité de l’information 5. Gestion du risque Sécurité de l'IoT 2
Qui suis-je ? Clément Gagnon  clement.gagnon@tactika.com  Spécialiste en sécurité de l’information  34 ans d’expérience dans les TI  Entreprises : Tactika inc. et ID-M (en démarrage)  www.tactika.com  Id-m.me  Certifications : CISSP, CISA, CCSK, ISO2700x …  Domaines d’intervention  Gestion des risques  Architecture de sécurité et de réseautique  Infonuagique  Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux  Participer à l’implantation de services infonuagiques  Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou 3Sécurité de l'IoT
Pourquoi se préoccuper de la sécurité de l’IoT ? IoT va se propager dans tous les aspects de notre vie, cependant … IoT peut compromettre la sécurité à petite et grande échelle Sécurité de l'IoT 4
Pourquoi cet engouement pour l’IoT ? Révolution industrielle : un objet n’est plus un « produit » mais un « service » Ian Hughes, analyste à 451 Research Pour l’industrie, IoT permettra de Diminuer les coûts d’opération Augmenter la productivité Ouvrir des nouveaux marchés ou développer des nouvelles offres et produits Sécurité de l'IoT 5
Investissement dans l’IoT Pour les 5 prochaines années (2015 @ 2020) Investissement: 6 000 milliards $US ROI: 13 000 milliards $US Sécurité de l'IoT 6 http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 Trillion = billion (fr) ou mille milliards
Une simple définition de l’Internet des objets  L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains) « The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. » Internet of things, risk and value considerations, ISACA  Internet of Everything  Internet of shit  Bad Internet neighborhood Sécurité de l'IoT 7
Domaines des objets connectés  Objets de consommation de masse / Consumer IoT Devices  Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc  eSanté / Smart Health Devices  Service de santé, Hôpitaux, télé-santé, assurances  Objets industriels / Industrial IoT Devices  Manufacturier : SCADA : Supervisory Control and Data Acquisition  Logistique, Agriculture, Énergie, Minier, Gazier et pétrolifère, Transport, Distribution électrique / Power Grid  Militaire  Villes intelligentes / Smart Cities  Infrastructure / Smart City Infrastructure and Services  Transport / Smart Transportation  Eau  Sécurité publique  Relation avec le citoyen / démocratie  Services financiers  Assurances Sécurité de l'IoT 8
Écosystème des objets connectés Sécurité de l'IoT 9 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD
Volumétrie de l’IoT Sécurité de l'IoT 10 Billion = milliard Trillion = billion (fr) ou mille milliards
IoT et IPv6  La quantité d’objets connectés exige une énorme capacité d’adressage  Les adresses IPv4 se sont épuisées …  IPv6 permet un espace de 2128 d’adresses IP ou 340 282 366 920 938 463 463 374 607 431 768 211 456 “nous pouvons donner une adresse IPV6 à chaque atome sur Terre et nous pouvons le faire pour 100 autres planètes comme la Terre” Steven Leibson (traduction libre) Sécurité de l'IoT 11
Volumétrie des données produites par l’IoT Sécurité de l'IoT 12
Empreinte des communications IoT  Les objets sont connectés et ils sont en relation avec des objets, des services et des humains  Les communications sont établies et contrôlées par des algorithmes  L’exemple ci-contre présente les « services » exploités par le bracelet Fitbit Sécurité de l'IoT 13 The 2015 Internet of Things in the Enterprise Report, OpenDNS
Sécurité de l'IoT 14 Trafic visible et analysé par OpenDNS. The 2015 Internet of Things in the Enterprise Report, OpenDNS Cette illustration présente la vue d’ensemble des communications Internet entre les télévisions intelligentes Samsung et des « entités » dans Internet. az43064.v0.msecnd.net cdn.samsungcloudsolution.com d1jwpcr0q4pcq0.cloudfront.net echo.internetat.tv fkp.samsungcloudsolution.com Infolink.pavv.co.kr lcprd1.samsungcloudsolution.com lcstg2.samsungcloudsolution.com ns11.whois.co.kr otnprd10.samsungcloudsolution.net otnprd11.samsungcloudsolution.net prov.samsungcloudsolution.com time.samsungcloudsolution.com usecho.internetat.tv xpu.samsungelectronics.com Accès Internet des « smart TV » Samsung
Un peu de prospective  Le numérique, la mobilité, la virtualisation, la robotisation, l’uberisation, IA et IoT sont une suite de perturbations créatrices La résilience désigne la capacité pour un corps, un organisme, une organisation ou un système quelconque à retrouver ses propriétés initiales après une altération. https://fr.wikipedia.org/wiki/Résilience  Forte dynamique inter systèmes Sécurité de l'IoT 15
Sécurité de l'IoT 16 Perturbation/rupture technologique Forte interaction des réseaux Connectivité permanente Fort volume de données Complexité Élargissement de la surface d’attaque
Sécurité de l’information et IoT  Qui aura accès à l'appareil, et comment l’identité sera établie et éprouvée?  Quelles sont menaces ? Comment sont-elles être atténuées?  Qui doit-on aviser dans le cas d’une attaque ou la découverte d’une vulnérabilité ?  Quel est le processus de mise à jour dans le cas d'une vulnérabilité ?  Quelles sont les informations personnelles qui sont collectées, stockées et / ou traitées? Avec qui les données seront partagées?  Les personnes dont les renseignements sont recueillis savent ce qui est collecté et utilisé ? Ont-ils donné leur consentement?  Etc. Sécurité de l'IoT 17
Qu’est-ce que la sécurité de l’information ? Disponibilité Intégrité Confidentialité Sécurité de l'IoT 18
Analyse de sécurité IoT The 2015 Internet of Things in the Enterprise Report Trois principaux risques de l’IoT Nouvelles surfaces d’exposition aux menaces Hors de la juridiction des départements TI Sans surveillance et sans processus de mise à jour et d’application des correctifs logiciels et de sécurité Les vulnérabilités des plateformes IoT induisent des risques Les appareils de consommation de masse sont connectés en permanence Sécurité de l'IoT 19
État de situation de la sécurité de l’IoT  90 % des écosystèmes IoT collectent au moins une information personnelle  70 % des écosystèmes IoT ont des échanges réseaux non chiffrés  60 % des équipements IoT ont des interfaces utilisateurs avec des vulnérabilités (XSS, objet d’authentification)  80 % acceptent des mots de passe sans complexité Sécurité de l'IoT 20 Internet of things research study, 2015 report HP Entreprise
Perception du risque En affaires, le risque est perçu comme une opportunité ou comme un événement négatif. Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d’opportunités. En sécurité de l’information, le risque est perçu comme une menace qui exploite une vulnérabilité avec des impacts négatifs. Les risques d’un tiers peuvent devenir mes risques ... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés». Sécurité de l'IoT 21
Équilibre entre la sécurité, les exigences d’affaires et la technologie Une sécurité de l’information efficiente et efficace est un équilibre entre ces trois éléments Sécurité de l'IoT 22 Exigences d’affaires Exigences de sécurité Coût et capacité technologiques
Impact(s) sur les actifs Petit modèle de risque RISQUE Vulnérabilité(s) Mesure(s) de sécurité Menace(s) Agents Sécurité de l'IoT 23
Agents Humain Non-humain Désastre Malveillant Non-malveillant InterneExterne Pirate, criminel, terroriste, cyber-vandale Employé malveillant Erreur, ignorance, méconnaissance Panne, bris matériel ou logiciel Événement naturel, Guerre, émeute, etc Probabilité : Événement extérieur, imprévisible, irrésistible et insurmontable de nature à dégager de toute responsabilité, usure, fin de vie de matériel Les éléments déclencheursMotivation : criminelle, politique, économique, vandalisme, recherche de publicité, etc.      🌪🐞 Sécurité de l'IoT 24
Menaces Cibles Identifiant/compte Processus Données Composant Ordinateur Réseau Protocole réseau Vulnérabilités Design Implantation Configuration Résultats Élévation de privilège Accès à l'information Corruption d'information Déni de service Usage de ressources Événement potentiel et appréhendé, de probabilité non nulle, susceptible de porter atteinte à la sécurité informatique (OQLF) (1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”. https://www.enisa.europa.eu/activities/cert/support/incident-management/files/good-practice-guide-for- incident-management Actions Authentifier Contourner Usurper Saturer Lire Copier Voler Modifier Détruire Détourner Balayer Sonder Sécurité de l'IoT 25
Scénario d’attaque  Les menaces peuvent se combiner entre elles pour former un scénario d’attaque selon une séquence : Reconnaissance  Chargement  Feu  Exploitation  Installation  Commandement/Contrôle  Exécution  Exemples de scénario d’attaque • Balayage par un bot • Exploitation par une attaque par la force brute • Modification de paramètres • Injection de code malveillant • Balayage dans le réseau local • Rattachement à un réseau de botnets (C&C) • Attente d’instruction pour une attaque de DDOS … 26 Sécurité de l'IoT
10 principales vulnérabilités de l’IoT selon OWASP Open Web Application Security Project 1. Interface web non sécuritaire 2. Authentification et habilitation faibles 3. Services réseaux non sécuritaires 4. Chiffrement faible ou absent du service réseau 5. Enjeux de protection de la vie privée 6. Interface non sécuritaire des services infonuagiques 7. Interface vulnérable des services mobiles 8. Configuration minimale de la sécurité 9. Logiciel/microcode/système d’exploitation non sécuritaire 10. Sécurité physique déficiente Sécurité de l'IoT 27
Les surfaces d’attaque Sécurité de l'IoT 28 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services INTERNET Réseaux sociaux Bots CLOUD
Surface d’attaque de l’auto connectée Sécurité de l'IoT 29 GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document ECU GPS OBD USB WiFi Bluetooth WiFi Bluetooth Connection cellulaire Sans-fil infotainement Internet
Aperçu des mesures de contrôle ou de sécurité Sécurité de l'IoT 30 Conception et design  Analyse de risque  Cadre de développement sécuritaire  Implanter  Contrôle d’accès Réseau, segmentation Authentification Chiffrement (données, communication)  Identité et habilitation Définition des utilisateurs Granularité des habilitations  Gestion des vulnérabilités Mécanisme de mise à jour  Détection des intrusions Journalisation, Envoi d’alerte Exploitation  Analyse de risque  Contrôle d’accès Réseau, segmentation Authentification Chiffrement (données, communication)  Identité et habilitation Définition des utilisateurs Granularité des habilitations  Gestion des vulnérabilités Mécanisme de mise à jour  Détection des intrusions Journalisation Envoi d’alerte Détection et éradication du code malveillant Utilisation  Déploiement sécuritaire  Contrôle d’accès Segmentation Activer une authentification Activer le chiffrement  Identité et habilitation Bonne pratique  Gestion des vulnérabilités  faire les mises à jour  Détection des intrusions Surveiller les journaux et alertes
Vérifiez votre sécurité IoT avec Shodan Le Google de l’IoT  Site web spécialisé dans la recherche d’IoT visible dans le net  Imprimantes  Caméras http://iotscanner.bullguard.com/ Sécurité de l'IoT 31
Une simple méthode de définition du risque! Inspirée d’EBIOS Sécurité de l'IoT 32 Contexte Événements redoutés Scénarios de menaces Risques Mesures de sécurités Quel est l’objet ? Quel est la portée ? Pourquoi comment va-t-on gérer les risques ? Quels scénarios sont possibles ? Quels sont les plus vraisemblables et probables ? Définir une cartographie des risques Évaluer les impacts Comment communiquer le risque ? Comment le traiter ? Quelles mesures doit-on appliquer ? Le risque résiduel est-il acceptable ? Quels événements doit-on craindre ? Quels seraient les plus graves ? Quels sont les plus vraisemblables et probables ? Traitement du risque Réduction du risque Maintient du risque Refus du risque Partage du risque
Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika http://ca.linkedin.com/in/tactika Merci de votre attention
Les mesures minimales de sécurité pour l’utilisateur  Choisir des dispositifs provenant d’une source fiable  Activer le chiffrement pour l’accès de gestion Modifier les mots de passe par défaut Appliquer/automatiser les mises à jour et les correctifs Isoler le sous-réseau et contrôler le trafic Activer les alertes (et les journaux ) Sécurité de l'IoT 34
Les mesures de sécurité pour un fournisseur  Gérer les risques  Avoir une politique de sécurité (PRP ?)  Être doté d’un SMSI fiable et robuste  Processus et infrastructure  Contrôle d’accès  Gestion des identités et des habilitations  Détection des intrusions  Gestion des vulnérabilités  etc  Avoir un niveau de service défini et publié  Disponibilité, soutenir une montée en charge, continuité de service  Être doté d’un processus de gestion des incidents (support aux utilisateurs) Sécurité de l'IoT 35
Les mesures de sécurité pour un manufacturier IoT  Gérer les risques  Avoir une politique de sécurité  Être doté d’un SMSI fiable et robuste  Processus et infrastructure  Contrôle d’accès  Gestion des identités et des habilitations  Détection des intrusions  Gestion des vulnérabilités  Avoir un cadre de référence de développement et conception pour la sécurité  S’assurer que les sous-traitants possède un niveau de confiance acceptable  Être doté d’un processus de gestion des incidents (correctifs d’urgence) Sécurité de l'IoT 36

Empfohlen

#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objetsNetSecure Day
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsDhiaeddine Loghmari
 
Internet des objets (IoT)
Internet des objets (IoT)Internet des objets (IoT)
Internet des objets (IoT)bruno-dambrun
 
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptxTactika inc.
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfTactika inc.
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Tactika inc.
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 

Empfohlen

#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objetsNetSecure Day
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsDhiaeddine Loghmari
 
Internet des objets (IoT)
Internet des objets (IoT)Internet des objets (IoT)
Internet des objets (IoT)bruno-dambrun
 
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptxTactika inc.
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfTactika inc.
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Tactika inc.
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 

Weitere ähnliche Inhalte

Risques 40min securité_io_t_v1.0

  • 1. Sécurité de l’IoT Internet of Things Internet des objets v1.0 8 novembre 2016 40 min. Tactika inc.
  • 2. Table des matières 1. Qui suis-je 2. Contexte 3. Définition de l’IoT 4. Sécurité de l’information 5. Gestion du risque Sécurité de l'IoT 2
  • 3. Qui suis-je ? Clément Gagnon  clement.gagnon@tactika.com  Spécialiste en sécurité de l’information  34 ans d’expérience dans les TI  Entreprises : Tactika inc. et ID-M (en démarrage)  www.tactika.com  Id-m.me  Certifications : CISSP, CISA, CCSK, ISO2700x …  Domaines d’intervention  Gestion des risques  Architecture de sécurité et de réseautique  Infonuagique  Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux  Participer à l’implantation de services infonuagiques  Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou 3Sécurité de l'IoT
  • 4. Pourquoi se préoccuper de la sécurité de l’IoT ? IoT va se propager dans tous les aspects de notre vie, cependant … IoT peut compromettre la sécurité à petite et grande échelle Sécurité de l'IoT 4
  • 5. Pourquoi cet engouement pour l’IoT ? Révolution industrielle : un objet n’est plus un « produit » mais un « service » Ian Hughes, analyste à 451 Research Pour l’industrie, IoT permettra de Diminuer les coûts d’opération Augmenter la productivité Ouvrir des nouveaux marchés ou développer des nouvelles offres et produits Sécurité de l'IoT 5
  • 6. Investissement dans l’IoT Pour les 5 prochaines années (2015 @ 2020) Investissement: 6 000 milliards $US ROI: 13 000 milliards $US Sécurité de l'IoT 6 http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 Trillion = billion (fr) ou mille milliards
  • 7. Une simple définition de l’Internet des objets  L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains) « The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. » Internet of things, risk and value considerations, ISACA  Internet of Everything  Internet of shit  Bad Internet neighborhood Sécurité de l'IoT 7
  • 8. Domaines des objets connectés  Objets de consommation de masse / Consumer IoT Devices  Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc  eSanté / Smart Health Devices  Service de santé, Hôpitaux, télé-santé, assurances  Objets industriels / Industrial IoT Devices  Manufacturier : SCADA : Supervisory Control and Data Acquisition  Logistique, Agriculture, Énergie, Minier, Gazier et pétrolifère, Transport, Distribution électrique / Power Grid  Militaire  Villes intelligentes / Smart Cities  Infrastructure / Smart City Infrastructure and Services  Transport / Smart Transportation  Eau  Sécurité publique  Relation avec le citoyen / démocratie  Services financiers  Assurances Sécurité de l'IoT 8
  • 9. Écosystème des objets connectés Sécurité de l'IoT 9 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD
  • 10. Volumétrie de l’IoT Sécurité de l'IoT 10 Billion = milliard Trillion = billion (fr) ou mille milliards
  • 11. IoT et IPv6  La quantité d’objets connectés exige une énorme capacité d’adressage  Les adresses IPv4 se sont épuisées …  IPv6 permet un espace de 2128 d’adresses IP ou 340 282 366 920 938 463 463 374 607 431 768 211 456 “nous pouvons donner une adresse IPV6 à chaque atome sur Terre et nous pouvons le faire pour 100 autres planètes comme la Terre” Steven Leibson (traduction libre) Sécurité de l'IoT 11
  • 12. Volumétrie des données produites par l’IoT Sécurité de l'IoT 12
  • 13. Empreinte des communications IoT  Les objets sont connectés et ils sont en relation avec des objets, des services et des humains  Les communications sont établies et contrôlées par des algorithmes  L’exemple ci-contre présente les « services » exploités par le bracelet Fitbit Sécurité de l'IoT 13 The 2015 Internet of Things in the Enterprise Report, OpenDNS
  • 14. Sécurité de l'IoT 14 Trafic visible et analysé par OpenDNS. The 2015 Internet of Things in the Enterprise Report, OpenDNS Cette illustration présente la vue d’ensemble des communications Internet entre les télévisions intelligentes Samsung et des « entités » dans Internet. az43064.v0.msecnd.net cdn.samsungcloudsolution.com d1jwpcr0q4pcq0.cloudfront.net echo.internetat.tv fkp.samsungcloudsolution.com Infolink.pavv.co.kr lcprd1.samsungcloudsolution.com lcstg2.samsungcloudsolution.com ns11.whois.co.kr otnprd10.samsungcloudsolution.net otnprd11.samsungcloudsolution.net prov.samsungcloudsolution.com time.samsungcloudsolution.com usecho.internetat.tv xpu.samsungelectronics.com Accès Internet des « smart TV » Samsung
  • 15. Un peu de prospective  Le numérique, la mobilité, la virtualisation, la robotisation, l’uberisation, IA et IoT sont une suite de perturbations créatrices La résilience désigne la capacité pour un corps, un organisme, une organisation ou un système quelconque à retrouver ses propriétés initiales après une altération. https://fr.wikipedia.org/wiki/Résilience  Forte dynamique inter systèmes Sécurité de l'IoT 15
  • 16. Sécurité de l'IoT 16 Perturbation/rupture technologique Forte interaction des réseaux Connectivité permanente Fort volume de données Complexité Élargissement de la surface d’attaque
  • 17. Sécurité de l’information et IoT  Qui aura accès à l'appareil, et comment l’identité sera établie et éprouvée?  Quelles sont menaces ? Comment sont-elles être atténuées?  Qui doit-on aviser dans le cas d’une attaque ou la découverte d’une vulnérabilité ?  Quel est le processus de mise à jour dans le cas d'une vulnérabilité ?  Quelles sont les informations personnelles qui sont collectées, stockées et / ou traitées? Avec qui les données seront partagées?  Les personnes dont les renseignements sont recueillis savent ce qui est collecté et utilisé ? Ont-ils donné leur consentement?  Etc. Sécurité de l'IoT 17
  • 18. Qu’est-ce que la sécurité de l’information ? Disponibilité Intégrité Confidentialité Sécurité de l'IoT 18
  • 19. Analyse de sécurité IoT The 2015 Internet of Things in the Enterprise Report Trois principaux risques de l’IoT Nouvelles surfaces d’exposition aux menaces Hors de la juridiction des départements TI Sans surveillance et sans processus de mise à jour et d’application des correctifs logiciels et de sécurité Les vulnérabilités des plateformes IoT induisent des risques Les appareils de consommation de masse sont connectés en permanence Sécurité de l'IoT 19
  • 20. État de situation de la sécurité de l’IoT  90 % des écosystèmes IoT collectent au moins une information personnelle  70 % des écosystèmes IoT ont des échanges réseaux non chiffrés  60 % des équipements IoT ont des interfaces utilisateurs avec des vulnérabilités (XSS, objet d’authentification)  80 % acceptent des mots de passe sans complexité Sécurité de l'IoT 20 Internet of things research study, 2015 report HP Entreprise
  • 21. Perception du risque En affaires, le risque est perçu comme une opportunité ou comme un événement négatif. Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d’opportunités. En sécurité de l’information, le risque est perçu comme une menace qui exploite une vulnérabilité avec des impacts négatifs. Les risques d’un tiers peuvent devenir mes risques ... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés». Sécurité de l'IoT 21
  • 22. Équilibre entre la sécurité, les exigences d’affaires et la technologie Une sécurité de l’information efficiente et efficace est un équilibre entre ces trois éléments Sécurité de l'IoT 22 Exigences d’affaires Exigences de sécurité Coût et capacité technologiques
  • 23. Impact(s) sur les actifs Petit modèle de risque RISQUE Vulnérabilité(s) Mesure(s) de sécurité Menace(s) Agents Sécurité de l'IoT 23
  • 24. Agents Humain Non-humain Désastre Malveillant Non-malveillant InterneExterne Pirate, criminel, terroriste, cyber-vandale Employé malveillant Erreur, ignorance, méconnaissance Panne, bris matériel ou logiciel Événement naturel, Guerre, émeute, etc Probabilité : Événement extérieur, imprévisible, irrésistible et insurmontable de nature à dégager de toute responsabilité, usure, fin de vie de matériel Les éléments déclencheursMotivation : criminelle, politique, économique, vandalisme, recherche de publicité, etc.      🌪🐞 Sécurité de l'IoT 24
  • 25. Menaces Cibles Identifiant/compte Processus Données Composant Ordinateur Réseau Protocole réseau Vulnérabilités Design Implantation Configuration Résultats Élévation de privilège Accès à l'information Corruption d'information Déni de service Usage de ressources Événement potentiel et appréhendé, de probabilité non nulle, susceptible de porter atteinte à la sécurité informatique (OQLF) (1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”. https://www.enisa.europa.eu/activities/cert/support/incident-management/files/good-practice-guide-for- incident-management Actions Authentifier Contourner Usurper Saturer Lire Copier Voler Modifier Détruire Détourner Balayer Sonder Sécurité de l'IoT 25
  • 26. Scénario d’attaque  Les menaces peuvent se combiner entre elles pour former un scénario d’attaque selon une séquence : Reconnaissance  Chargement  Feu  Exploitation  Installation  Commandement/Contrôle  Exécution  Exemples de scénario d’attaque • Balayage par un bot • Exploitation par une attaque par la force brute • Modification de paramètres • Injection de code malveillant • Balayage dans le réseau local • Rattachement à un réseau de botnets (C&C) • Attente d’instruction pour une attaque de DDOS … 26 Sécurité de l'IoT
  • 27. 10 principales vulnérabilités de l’IoT selon OWASP Open Web Application Security Project 1. Interface web non sécuritaire 2. Authentification et habilitation faibles 3. Services réseaux non sécuritaires 4. Chiffrement faible ou absent du service réseau 5. Enjeux de protection de la vie privée 6. Interface non sécuritaire des services infonuagiques 7. Interface vulnérable des services mobiles 8. Configuration minimale de la sécurité 9. Logiciel/microcode/système d’exploitation non sécuritaire 10. Sécurité physique déficiente Sécurité de l'IoT 27
  • 28. Les surfaces d’attaque Sécurité de l'IoT 28 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services INTERNET Réseaux sociaux Bots CLOUD
  • 29. Surface d’attaque de l’auto connectée Sécurité de l'IoT 29 GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document ECU GPS OBD USB WiFi Bluetooth WiFi Bluetooth Connection cellulaire Sans-fil infotainement Internet
  • 30. Aperçu des mesures de contrôle ou de sécurité Sécurité de l'IoT 30 Conception et design  Analyse de risque  Cadre de développement sécuritaire  Implanter  Contrôle d’accès Réseau, segmentation Authentification Chiffrement (données, communication)  Identité et habilitation Définition des utilisateurs Granularité des habilitations  Gestion des vulnérabilités Mécanisme de mise à jour  Détection des intrusions Journalisation, Envoi d’alerte Exploitation  Analyse de risque  Contrôle d’accès Réseau, segmentation Authentification Chiffrement (données, communication)  Identité et habilitation Définition des utilisateurs Granularité des habilitations  Gestion des vulnérabilités Mécanisme de mise à jour  Détection des intrusions Journalisation Envoi d’alerte Détection et éradication du code malveillant Utilisation  Déploiement sécuritaire  Contrôle d’accès Segmentation Activer une authentification Activer le chiffrement  Identité et habilitation Bonne pratique  Gestion des vulnérabilités  faire les mises à jour  Détection des intrusions Surveiller les journaux et alertes
  • 31. Vérifiez votre sécurité IoT avec Shodan Le Google de l’IoT  Site web spécialisé dans la recherche d’IoT visible dans le net  Imprimantes  Caméras http://iotscanner.bullguard.com/ Sécurité de l'IoT 31
  • 32. Une simple méthode de définition du risque! Inspirée d’EBIOS Sécurité de l'IoT 32 Contexte Événements redoutés Scénarios de menaces Risques Mesures de sécurités Quel est l’objet ? Quel est la portée ? Pourquoi comment va-t-on gérer les risques ? Quels scénarios sont possibles ? Quels sont les plus vraisemblables et probables ? Définir une cartographie des risques Évaluer les impacts Comment communiquer le risque ? Comment le traiter ? Quelles mesures doit-on appliquer ? Le risque résiduel est-il acceptable ? Quels événements doit-on craindre ? Quels seraient les plus graves ? Quels sont les plus vraisemblables et probables ? Traitement du risque Réduction du risque Maintient du risque Refus du risque Partage du risque
  • 34. Les mesures minimales de sécurité pour l’utilisateur  Choisir des dispositifs provenant d’une source fiable  Activer le chiffrement pour l’accès de gestion Modifier les mots de passe par défaut Appliquer/automatiser les mises à jour et les correctifs Isoler le sous-réseau et contrôler le trafic Activer les alertes (et les journaux ) Sécurité de l'IoT 34
  • 35. Les mesures de sécurité pour un fournisseur  Gérer les risques  Avoir une politique de sécurité (PRP ?)  Être doté d’un SMSI fiable et robuste  Processus et infrastructure  Contrôle d’accès  Gestion des identités et des habilitations  Détection des intrusions  Gestion des vulnérabilités  etc  Avoir un niveau de service défini et publié  Disponibilité, soutenir une montée en charge, continuité de service  Être doté d’un processus de gestion des incidents (support aux utilisateurs) Sécurité de l'IoT 35
  • 36. Les mesures de sécurité pour un manufacturier IoT  Gérer les risques  Avoir une politique de sécurité  Être doté d’un SMSI fiable et robuste  Processus et infrastructure  Contrôle d’accès  Gestion des identités et des habilitations  Détection des intrusions  Gestion des vulnérabilités  Avoir un cadre de référence de développement et conception pour la sécurité  S’assurer que les sous-traitants possède un niveau de confiance acceptable  Être doté d’un processus de gestion des incidents (correctifs d’urgence) Sécurité de l'IoT 36