1. Colloque du RISQ 2016-12-01
École de technologie supérieure
Département de génie logiciel et des TI
Colloque du RISQ
2016-12-01
Internet des objets :
opportunités et risques -
une perspective d’ingénierie de
système
Prof. François Coallier, Ph.D., Ing.
2. Colloque du RISQ 2016-12-01
Historique
Des versions antérieures de cette présentation furent données,
entre autres, aux évènement suivants:
• Journées de l’assurance dommages, 2015-03-17
• Congrès annuel de l’Association canadienne des compagnies
d’assurances mutuelles, 2015-10-04
• Les soirées des cycles supérieurs, ÉTS, 2016-02-23
• Dans le cadre de cours sur la gouvernance des TI et de la
technologie à l’ÉTS, l’Universidad de Caxias do Sul, Brésil, et
l’Université du Luxembourg
• La conférence SoftechAsia 2016, 2016-09-06, Kuala Lumpur,
Malaisie
2
3. Colloque du RISQ 2016-12-01
http://www.allthingshuman.net/tag/technology/
3
4. Colloque du RISQ 2016-12-01
3,3 million d’années 1,5 million d’années
200 000 ans 40 000 à 12 000 ans
70 000 à 12 000 ans
4
Composé à partir de plusieurs sources
5. Colloque du RISQ 2016-12-01
http://www.abhishekbehl.net/2014/02/02/technological-evolution-mankind/
5
6. Colloque du RISQ 2016-12-01
6
https://histscitech.wordpress.com/8-relativity-and-the-quantum-revolution/
7. Colloque du RISQ 2016-12-01
De: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003
L’évolution des TI
7
8. Colloque du RISQ 2016-12-01
https://www.itsagadget.com/2016/02/the-end-of-moores-law.htm
Loi de Moore
8
9. Colloque du RISQ 2016-12-01
http://www.extremetech.com/wp-content/uploads/2015/04/MooresLaw2.png
Loi de Moore
9
10. Colloque du RISQ 2016-12-01
De: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003
L’évolution des TI
10
11. Colloque du RISQ 2016-12-01
Systèmes embarqués
L’informatique est intégré dans des
systèmes
11
12. Colloque du RISQ 2016-12-01
Systèmes embarqués
Le premier fut le système de navigation
des capsules Apollo
12
13. Colloque du RISQ 2016-12-01
http://fr.slideshare.net/asertseminar/embedded-system-in-automobiles-seminar-report-33473232
13
14. Colloque du RISQ 2016-12-01
De: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003
L’évolution des TI
14
15. Colloque du RISQ 2016-12-01
Ubiquité informatique
L’informatique est partout…et invisible
• Dans notre économie
• Dans nos infrastructures
• Dans les objets que nous utilisons
15
16. Colloque du RISQ 2016-12-01
Modifé de: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003
L’évolution des TI
16
22. Colloque du RISQ 2016-12-01
http://magicwords.mondoblog.org/files/2015/02/internet-des-objets-1024x614.jpg
22
23. Colloque du RISQ 2016-12-01
Internet des objets
Tous les « objets » sont « intelligents »
Tous les « objets » sont
inter-connectés
23
24. Colloque du RISQ 2016-12-01
https://scoop.intel.com/files/2013/04/ISF_Infographic_1600x944.jpg
24
25. Colloque du RISQ 2016-12-01
http://www.symplio.com/2011/09/4-infographics-about-internet-of-things/
25
26. Colloque du RISQ 2016-12-01
http://blogs.cisco.com/ioe/internet-of-everything-its-the-connections-that-matter
26
27. Colloque du RISQ 2016-12-01
http://www.economist.com/news/special-report/21606420-perils-connected-devices-home-hacked-home
27
28. Colloque du RISQ 2016-12-01
https://datafloq.com/read/internet-create-smart-world-infographic/400
28
29. Colloque du RISQ 2016-12-01
Modifé de: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003
IT Evolution
29
30. Colloque du RISQ 2016-12-01
http://www.123rf.com/photo_32334730_word-cloud-of-ambient-intelligence-in-german-language.html
30
31. Colloque du RISQ 2016-12-01
Ambient Intelligence
..ambient intelligence (AmI) refers to
electronic environments that are
sensitive and responsive to events
(such as the presence of people for
instance).
31
Modified from: https://en.wikipedia.org/wiki/Ambient_intelligence
50. Colloque du RISQ 2016-12-01
2007 - Test sur la génératrice Aurora
A démontré que du code « malicieux »
peut faire exploser une génératrice au
diesel
50
51. Colloque du RISQ 2016-12-01
http://en.wikipedia.org/wiki/Aurora_Generator_Test#mediaviewer/File:Aurora_generator
_starting_to_smoke.png
2007 - Test sur la génératrice Aurora
51
52. Colloque du RISQ 2016-12-01
http://bendyk.blog.polityka.pl/wp-content/uploads/2008/AuroraGeneratorTest.jpg
2007 - Test sur la génératrice Aurora
52
53. Colloque du RISQ 2016-12-01
http://www.wired.com/2007/09/simulat
ed-cyber/
2007 - Test sur la génératrice Aurora
53
54. Colloque du RISQ 2016-12-01
http://www.moxa.com/Event/DAC/2013/Factory_Automation_I
O/index.htm
L’Internet industriel
54
55. Colloque du RISQ 2016-12-01
http://www.itworld.com/article/2861675/cyberattack-on-german-steel-factory-causes-massive-damage.html
Incident...
55
56. Colloque du RISQ 2016-12-01
http://www.itworld.com/article/2861675/cyberattack-on-german-steel-factory-causes-massive-damage.html
Incident...
56
57. Colloque du RISQ 2016-12-01
57
https://securityledger.com/2016/08/nist-outlines-a-secure-network-of-thin
gs/
La domotique commerciale
58. Colloque du RISQ 2016-12-01
58
http://lynxcyberpro.com/files/brochures/CyberPRO-Brochure.pdf
La domotique commerciale
59. Colloque du RISQ 2016-12-01
59
http://lynxcyberpro.com/files/brochures/CyberPRO-Brochure.pdf
La domotique commerciale
60. Colloque du RISQ 2016-12-01
http://www.theatlantic.com/health/archive/2014/11/can-hackers-get-into-your-pacemaker/382893/
60
61. Colloque du RISQ 2016-12-01
https://nakedsecurity.sophos.com/2016/10/05/mirai-internet-of-things-malware-from-krebs-ddos-attack-goes-open-source/
61
62. Colloque du RISQ 2016-12-01
http://www.businessinsider.com/hackers-use-a-refridgerator-to-attack-businesses-2014-1
62
Fausse
alerte?
63. Colloque du RISQ 2016-12-01
https://nakedsecurity.sophos.com/2016/10/05/mirai-internet-of-things-malware-from-krebs-ddos-attack-goes-open-source/
63
How an army of vulnerable gadgets took down the web today
(2016-10-21)
64. Colloque du RISQ 2016-12-01
Mirai...
64
• Mirai = l’avenir (en japonais)
• Malware / vers informatique / botnet
• Environnement Linux Busybox
• Attaques de dénis de service
distribuées (DDoS)
• 2016-09-15 - attaque sur le site du
journaliste Krebs - 660 Go/s
65. Colloque du RISQ 2016-12-01
Mirai...
65
1 To/s = près de 150 000 objets compromis d’après certaines sources
https://www.deepdotweb.com/2016/11/06/analysis-record-ddos-attacks-mirai-iot-botnet/
66. Colloque du RISQ 2016-12-01
https://www.a10networks.com/resources/ddos-factor
66
Mirai...
67. Colloque du RISQ 2016-12-01
https://www.a10networks.com/resources/ddos-factor
67
69. Colloque du RISQ 2016-12-01
https://intel.malwaretech.com/botnet/mirai
69
Mirai...
70. Colloque du RISQ 2016-12-01
Comment gérer les risques
70
Il faut considérer :
• Les « objets » intelligents
• Le système dans lequel se trouve les
objets
71. Colloque du RISQ 2016-12-01
La problématique
71
http://spectrum.ieee.org/telecom/security/how-to-build-a-safer-internet-of-things
72. Colloque du RISQ 2016-12-01
Quelques principes de base en
sécurité informatique
72
• Il faut une approche holistique
• La loi de Paréto s’applique
• « Sky is the limit »
73. Colloque du RISQ 2016-12-01
Retour sur l’investissementSécurité
Investissement
Quels sont les
besoins?
NÉGLIGENCE!
Gestion
du
risque
74. Colloque du RISQ 2016-12-01
Vue holistique
74
http://bigdata.sys-con.com/node/3304897
75. Colloque du RISQ 2016-12-01
Exemple
http://blog.namtek.com/2014/03/27/understanding-a-zero-trust-approach-to-network-segmentation/
75
76. Colloque du RISQ 2016-12-01
Concepts du « Zero Trust » (de Forrester)
modifé de: http://fr.slideshare.net/AlgoSec/simplifying-security-management-in-the-virtual-datacenter-final
76
Toutes les ressources doivent être accédées
d’une façon sécuritaire, qu’importe le point
d’accès
L’accès est sur une base de « besoin de savoir »
Vérifier et ne jamais faire confiance
Visibilité - inspection et journalisation
systématique
Le réseau est conçu selon une architecture
holistique
77. Colloque du RISQ 2016-12-01
Pare-feu
http://listverse.com/wp-content/uploads/2011/08/wall_of_fire_art_by_dan_dos_santos.jpg
77
78. Colloque du RISQ 2016-12-01
Architecture « Zero Trust »
https://www.temperednetworks.com/nist-national-institute-of-standards-and-technology/
78
79. Colloque du RISQ 2016-12-01
Architecture « Zero Trust »
https://www.wurldtech.com/sites/default/files/wurldtech_wp_zone_segmentation_20160316.pdf
79
80. Colloque du RISQ 2016-12-01
Considérations additionnelles
http://otalliance.actonsoftware.com/acton/attachment/6361/f-0099/1/-/-/-/-/OTA%20IoT%20Vision%20Paper.pdf
80
81. Colloque du RISQ 2016-12-01
Normes et pratiqueshttps://ics-cert.us-cert.gov/Recommended-Practices
81
82. Colloque du RISQ 2016-12-01
http://cyborgeducation.com/welcome/
82
Merci!