1. Colloque du RISQ 2017-11-30
École de technologie supérieure
Département de génie logiciel et des TI
Colloque du RISQ
2017-11-30
L’internet des objets et la
cybersécurité
François Coallier, Ph.D., Ing.
2. Colloque du RISQ 2017-11-30
Introduction
L’Internet des objets se réfère à un ensemble de technologies permettant de
concevoir des systèmes d’objets et de ressources interconnectées permettant de
donner des services intelligents pouvant, dans plusieurs cas, influencer notre
environnement.
Que ce soit sous la forme de bâtiments intelligents, de systèmes de fabrications
avancées ou de villes intelligentes, ces services affectent déjà notre vie de tous les
jours et notre économie. Il est donc important de s’assurer que nous puissions avoir
confiance dans tous les services reposant sur cette technologie. Cela implique donc
que ces services soient sécurisés.
Après une très brève introduction, cette présentation couvrira succinctement comment
appliquer les principes et techniques de cybersécurité au monde de l’Internet des
objets.
2
3. Colloque du RISQ 2017-11-30
http://magicwords.mondoblog.org/files/2015/02/internet-des-objets-1024x614.jpg
3
4. Colloque du RISQ 2017-11-30
4
C’est un réseau d’objets physiques
généralement intelligents intégrant
des senseurs,et des actuateurs...
5. Colloque du RISQ 2017-11-30
..an infrastructure of interconnected
objects, people, systems and
information resources together with
intelligent services to allow them to
process information of the physical
and the virtual world and react.
5
ISO/IECCD20924
6. Colloque du RISQ 2017-11-30
● Centré réseau (‘Network centric’)
● Architecture distribuée
● Génère/consomme de grandes quantités de
données
● Comprends des systèmes embarqués -
‘Cyberphysiques’
● Intensif M2M (communications, transactions)
● (Hétérogène)
● (Sociotechnique)
6
7. Colloque du RISQ 2017-11-30
Modifiedfrom:FogComputingandIts
RoleintheInternetofThings,Flavio
Bonomi,RodolfoMilito,JiangZhu,
SateeshAddepalli,CiscoSystemsInc.
CLOUD
EDGE/
FOG
Extreme
Edge/
MIST
7
Du nuage à la brume...
8. Colloque du RISQ 2017-11-30
8
http://www.slideshare.net/ghaff/devising-a-practical-approach-to-the-internet-of-things
9. Colloque du RISQ 2017-11-30
AMYNORDRUM,TheInternetofFewer
Things,Posted23Sep2016|15:00GMT
http://spectrum.ieee.org/telecom/internet/
the-internet-of-fewer-things
9
10. Colloque du RISQ 2017-11-30
IoTMeetsBigData:TheOpportunitiesandChallengesby
SyedHodaofParStream
https://www.slideshare.net/IoTBruce/iot-meets-big-data-the-o
pportunities-and-challenges-by-syed-hoda-of-parstream
10
11. Colloque du RISQ 2017-11-30
http://www.symplio.com/2011/09/4-infographics-about-internet-of-things/
11
12. Colloque du RISQ 2017-11-30
Large éventail de domaines d’applications:
-> Large éventail de besoins (fonctionnels
et non fonctionnels)
-> Plusieurs patrons d’architecture et de
conception
12
13. Colloque du RISQ 2017-11-30
● Domotique industrielle
● Santé & Sécurité
● Gestion des ressources
● Gestion des matières dangereuses
● Gestion des produits contrôlés
● …
Intégrés dans un campus ‘intelligent’
13
14. Colloque du RISQ 2017-11-30
14
https://securityledger.com/2016/08/nist-outlines-a-secure-network-of-things/
Domotique industrielle
15. Colloque du RISQ 2017-11-30
15
https://dupress.deloitte.com/dup-us-en/focus/internet-of-things/iot-commercial-real-estate-intellige
nt-building-systems.html
Domotique industrielle
16. Colloque du RISQ 2017-11-30
16
http://www.intraworksusa.com/smart-technology/smart-campus/
Campus intelligent
17. Colloque du RISQ 2017-11-30
17
http://futurecities.catapult.org.uk/project/smart-campus-university-of-glasgow/ Smart Campus - University of Glasgow
18. Colloque du RISQ 2017-11-30
La sûreté de fonctionnement
(Trustworthiness…)
18
19. Colloque du RISQ 2017-11-30
La sûreté de fonctionnement
http://techsage.eu/images/iotfile.png
19
20. Colloque du RISQ 2017-11-30
Considérations additionnelles pour l’IoT
http://otalliance.actonsoftware.com/acton/attachment/6361/f-0099/1/-/-/-/-/OTA%20IoT%20Vision%20Paper.pdf
20
22. Colloque du RISQ 2017-11-30
● Pannes, malfonctionnement, etc..
● Sabotage
○ Pannes, malfonctionnement
○ ‘Détournement’
-> Quels sont les impacts possibles?
22
23. Colloque du RISQ 2017-11-30
https://nakedsecurity.sophos.com/2016/10/05/mirai-internet-of-things-malware-from-krebs-ddos-attack-goes-open-source/
23
24. Colloque du RISQ 2017-11-30
https://nakedsecurity.sophos.com/2016/10/05/mirai-internet-of-things-malware-from-krebs-ddos-attack-goes-open-source/
24
How an army of vulnerable gadgets took down the web today
(2016-10-21)
25. Colloque du RISQ 2017-11-30
Atteinte à la vie privée:
● Caméras de sécurité
● Allez et venues du personnel
25
27. Colloque du RISQ 2017-11-30
Gérer les risques reliés à la Sécurité, soit:
● Éliminer, ou
● Mitiger, ou
● Accepter de vivre avec...
27
28. Colloque du RISQ 2017-11-30
Quelques principes de base en
sécurité informatique
28
• La loi de Paréto (20/80) s’applique
• « Sky is the limit »
29. Colloque du RISQ 2017-11-30
Retour sur l’investissementSécurité
Investissement
Quels sont les
besoins?
NÉGLIGENCE!
Gestion
du
risque
30. Colloque du RISQ 2017-11-30
Quelques principes de base en
sécurité informatique
30
• Il faut une approche holistique
multidimensionnelle
• Gouvernance et gestion
• Technologique
• Cycle de vie
31. Colloque du RISQ 2017-11-30
Vue holistique
31
http://bigdata.sys-con.com/node/3304897
32. Colloque du RISQ 2017-11-30
Quelques principes de base en
sécurité informatique
32
• Le principe du ‘maillon le + faible’ s’applique -
si le maillon est ‘accessible’...
• Maillon le + faible ‘accessible’: l’être humain
(utilisateur / opérateur / …)
http://www.doctordisruption.com/design/principles-of-design-69-weakest-link/
33. Colloque du RISQ 2017-11-30
33
https://iecetech.org/Technology-Focus/2017-07/Cyber-security-for-the-moder
n-grid
34. Colloque du RISQ 2017-11-30
34
https://iecetech.org/Technology-Focus/2017-07/Cyber-security-for-the-moder
n-grid
35. Colloque du RISQ 2017-11-30
Concepts du « Zero Trust » (de Forrester)
modifé de: http://fr.slideshare.net/AlgoSec/simplifying-security-management-in-the-virtual-datacenter-final
35
Toutes les ressources doivent être accédées
d’une façon sécuritaire, qu’importe le point
d’accès
L’accès est sur une base de « besoin de savoir »
Vérifier et ne jamais faire confiance
Visibilité - inspection et journalisation
systématique
Le réseau est conçu selon une architecture
holistique
36. Colloque du RISQ 2017-11-30
Pare-feu
http://listverse.com/wp-content/uploads/2011/08/wall_of_fire_art_by_dan_dos_santos.jpg
36
37. Colloque du RISQ 2017-11-30
https://www.cloudcomputing-news.net/news/2017/mar/23/guide-using-smartnics-implement-zero-trust-cloud-security/
37
39. Colloque du RISQ 2017-11-30
En théorie:
● Il faut s’approvisionner en ‘objets’ de
bonne qualité et de fournisseurs réputés
(pérennité du support)
● Tout doit être sécurisé
● ...
39
40. Colloque du RISQ 2017-11-30
En pratique:
Il faut que les risques reliés à la Sécurité
soient maintenus à un niveau ‘acceptable’
Ce qui implique:
● Gouvernance
● Gestion continuelle des risques
40
41. Colloque du RISQ 2017-11-30
Retour sur l’investissementSécurité
Investissement
Quels sont les
besoins?
NÉGLIGENCE!
Gestion
du
risque
42. Colloque du RISQ 2017-11-30
● Des normes de sécurité pour l’IoT sont en
voies d’élaboration.
● Les normes existantes (série ISO/IEC
27000) sont applicables
● Des guides ont aussi été publiés
42
43. Colloque du RISQ 2017-11-30
Normes et pratiqueshttps://ics-cert.us-cert.gov/Recommended-Practices
43