SlideShare une entreprise Scribd logo

Wavestone - IAM of Things / Identité des objets connectés

Télécharger en tant que PPTX, PDF
K
Kévin Guérin

Salon IoT World 2018 L'IoT c'est aujourd'hui des millions d’objets connectés pour autant de nouveaux cas d’usage. Wavestone vous propose une méthodologie liée au cycle de vie de l’objet pour aborder tous les enjeux sécurité. Dans cette présentation, une attention particulière est donnée à l'identité des objets connectés et à l'IAM of Things (#IAMoT).

Technologie
1  sur  25
IAM of Things Is that even a thing? 21 Mars 2018 Kévin GUÉRIN kevin.guerin@wavestone.com Fabien SAUTET fabien.sautet@wavestone.com
© WAVESTONE 2 Des clients leaders dans leur secteur 2,500 collaborateurs sur 4 continents Parmi les leaders du conseil indépendant en Europe, n°1 en France * Partenariats Paris | Londres | New York | Hong Kong | Singapour* | Dubaï* Bruxelles | Luxembourg | Genève | Casablanca Lyon | Marseille | Nantes Dans un monde où la capacité à se transformer est la clé du succès, nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques
© WAVESTONE 3 Réussir sa transformation numérique grâce à la confiance numérique UNE EXPERTISE EPROUVEE / Stratégie et Conformité / Transformation métier sécurisée / Architecture et programme sécurité / Identité, Fraude et Services de Confiance / Tests d’intrusion & Réponse à incident / Continuité d’Activité & Résilience / SI Industriel NOS DIFFERENCIATEURS / Connaissance des risques métier / Méthodologie AMT pour les schémas directeurs / Radars Innovation et Start-ups / CERT-W / Bug Bounty by Wavestone Wavestone Cybersécurité & Confiance numérique Nos clients COMEX, Métier, CDO, CIO, CISO, BCM 400+ Consultants & Experts 1,000+ Missions par an dans plus de 20 pays
© WAVESTONE 4 Des millions d’objets connectés pour autant de nouveaux cas d’usage
© WAVESTONE 5 Des menaces avérées sur l’ensemble des secteurs, des services et des données IAM OF THINGS, IS THAT EVEN A THING? Compteur intelligent : falsification des relevés de compteur à Porto Rico par une manipulation physique OVH : des centaines de milliers de caméras IP provoquent un DDOS en générant 1Tbps de trafic (botnet Mirai) Stuxnet : « zero-days » utilisé pour détruire les centrifugeuses d’enrichissement d’uranium de Natanz en Iran Aciérie allemande : une attaque ciblée a provoqué des dégâts irréversibles sur l’infrastructure physique My Friend Cayla : un jouet pour enfant piraté via Bluetooth permettant d’envoyer et de recevoir des fichiers sonores Caméra Foscam : une caméra de surveillance bébé compromise par un hacker pour espionner et parler au bébé Jeep Cherokee : deux chercheurs ont pris le contrôle télécommandé de la voiture et ont pu la détruire Nest thermostat : un accès physique au dispositif permet de modifier facilement le programme à l’aide d’une clé USB Cloudpet : vol de données personnelles et d’enregistrements sonores réalisés par le jouet Schneider Electric : le malware Triton stoppe les opérations d’un site de production après l’attaque d’un système de sûreté industriel Hôtel autrichien : un attaquant bloque le système de clés électroniques et empêche l’accès aux chambres SI Industriels Services Grand public
© WAVESTONE 6 Des risques prépondérants dans le monde de l’IoT IAM OF THINGS, IS THAT EVEN A THING? Absence ou insuffisance des mécanismes / processus de détection et réaction, fonctionnalité de mise à jour à distance non prévue, etc. INCAPACITÉ À DÉTECTER, INVESTIGUER ET CORRIGER Stockage de données à caractère personnel non encadré dans les objets, non respect des législations locales sur la sécurité de l’objet, etc. NON-CONFORMITÉ RÉGLEMENTAIRE API de remontée des données non authentifiées, interception de flux réseau avec injection de données, détournement des fonctionnalités de l’objet, etc. ALTERATION DES DONNÉES ET DES TRAITEMENTS Extraction de la base de données de la plate-forme, interception de flux réseau, extraction de la mémoire de l’objet, etc. DIVULGATION DE DONNÉES SENSIBLES / PERSONNELLES Déni de service de l’infrastructure, indisponibilité du réseau, détérioration de l’objet, etc. INDISPONIBILITÉ DE TOUT OU PARTIE DE L’ÉCOSYSTÈME Détournement des capacités de l’objet, destruction de l’objet, impact sur les hommes et l’environnement, etc. EFFET NÉFASTE DANS LE MONDE PHYSIQUE Utilisation des objets comme relais d’attaque, pour masquer des activités illégales, etc. ENGAGEMENT DE LA REPONSABILITÉ DE L’ENTREPRISE
© WAVESTONE 7confidentiel | © WAVESTONE 7 IAM OF THINGS, IS THAT EVEN A THING? Quatre postures à adopter selon la nature du projet… L’entreprise développe son propre objet connecté Créer L’entreprise acquiert un objet dans le but de le déployer Acquérir L’entreprise recommande un objet à ses clients dans le cadre d’une offre de service par exemple Recommander L’entreprise accueille des objets tiers sur son SI (BYOD) Accueillir …qui influent sur la capacité d’action sur les principaux risques
© WAVESTONE 8 Une méthodologie liée au cycle de vie de l’objet pour aborder tous les enjeux sécurité
© WAVESTONE 9 Un projet et des réflexions à structurer autour du cycle de vie de l’objet pour aborder l’ensemble des thématiques sécurité • Audit & conformité • Gouvernance • Sécurité matérielle, applicative • Standards / API • Cloud / Infrastructure • Détection et réaction • Sécurité réseaux, matérielle • Standards / API • Conformité • Conformité Usine et réseau de distribution Appairage à l’objet Revente par l’utilisateur Remise à zéro et repackaging Utilisation de l’objet • IAM of Things • IAM of Things • IAM of Things • Identité • Identité
© WAVESTONE 10 Things are identities too !identities
© WAVESTONE 11 Qu’est-ce que l’IAM of Things (#IAMoT) ? IAM OF THINGS, IS THAT EVEN A THING? IAM Employés, prestataires, partenaires ~100k Relation Objet/Employé • Utilisation d’un dispositif d’alarme pour travailleur isolé • Télémaintenance du contrôleur de la climatisation personnelle d’un client • Gestion de l’usage de ma flotte de véhicules d’entreprise • Réparation par le garagiste de mon véhicule • Etc. Clients, consommateurs Customer IAM > 1M Relation Objet/Consommateur • Utilisation familiale du pèse-personne • Délégation de l’usage de mon véhicule • Authentification sur mon téléviseur pour accéder à mes listes de lecture favorites • Etc. IAM of Things >>1M Objets SI entreprise Relation Objet/SI entreprise • Pilotage de mes robots de fabrication • Remontée des indicateurs de consommation de mon parc automobile • Mise à disposition de mises à jour de firmware ou de paramétrages • Etc. Authentification
© WAVESTONE 12 Identité des objets et contrôle d’accès Chaque objet requiert des accès aux SI de l’entreprise • Quels sont mes objets ? • Comment s’authentifient-ils ? Modèle de rôle IAM Gestionnaire de flotte, mainteneur, employé… • Quelles interactions avec quels objets ? • Quelles permissions sur les données ?Modèle de rôle CIAM Propriétaire, utilisateur principal, délégataire… • Quelles interactions avec quels objets ? • Quelles permissions sur les données ? Processus Appairage, modification ou suppression de droits pour gérer les objets, les clients, les employés, les prestataires… LA RECETTE DE L’IAM OF THINGS #IAMoT
© WAVESTONE 13 Des grands principes de sécurisation à adapter aux contraintes d’environnement, de coût, de performance, de volumétrie… pour des réponses spécifiques propres à votre contexte. Attention
© WAVESTONE 14 Fabrication & distribution Quels enjeux ? Initialisation du cycle de vie dans le SI sans donner de droits d’accès Quels risques ? Quelques mauvais exemples ! Botnet Mirai Vol d’objets Création de l’identité de l’objet (ID matériel ou logiciel) Initialisation des secrets uniques pour l’objet, les futurs utilisateurs, les administrateurs, les télé- mainteneurs,… Choix des fonctions de sécurité pour la protection des secrets Vols d’objets en usine ou dans les transports pour recel sur un marché parallèle Compromission massive de mon parc d’objet et détournement de son usage principal Accès non autorisés au SI pour un objet non associé à un utilisateur © WAVESTONE 14
© WAVESTONE 15 Que font nos clients ? Station énergie connectée Identité de l’objet L’identité et les secrets sont créés sur le SI et paramétrés en usine sur l’objet Statut de l’objet L’objet est déclaré “En attente d’appairage” et ne dispose d’aucun droit sur le SI Vente de l’objet L’objet est vendu par un réseau multicanal et n’obtient des droits d’accès au SI qu’une fois appairé Tant qu’il est n’est pas vendu ni associé à un utilisateur et à un contrat, l’objet n’a aucun droit sur le SI. Fabrication & distribution
© WAVESTONE 16 Appairage à l’objet Détection d’un objet non remis à zéro (objet d’occasion) Association fiable d’un (ou de plusieurs) objet à son propriétaire/utilisateur Compromis entre UX et sécurité lors de l’association Activation des droits de l’objet et de l’utilisateur sur le SI Prise de contrôle ou vols d’objets via un processus d’appairage peu fiable ou ne s’assurant pas de la légitimité de l’utilisateur Quels risques ? Quels enjeux ? Focus sur le cas Ledger Wallet… © WAVESTONE 16
© WAVESTONE 17 Un catalogue de services Le propriétaire peut souscrire à une liste de services requérant un appairage plus ou moins fort à l’objet Un appairage par étape Plusieurs niveaux d’identification possible : « CNI », « Certificat d’immatriculation », « Clé du véhicule » Service & niveau de confiance L’accès à chaque service du catalogue est évalué selon le niveau de confiance de l’appairage Pour privilégier l’UX, l’utilisateur s’appaire en ligne et en self-service sur son smartphone selon le niveau de confiance requis par les services auxquels il a souscrit Constructeur automobile Que font nos clients ? Appairage à l’objet
© WAVESTONE 18 Utilisation de l’objet Quels risques ? Quels enjeux ? Définition d’un modèle de rôle adapté Authentification et gestion des changements d’utilisateurs Vérification de l’identité et des rôles en ligne/hors ligne Cloisonnement des données entre utilisateurs Compromission de données sensibles (personnelles ou métier) Indisponibilité ou destruction de l’objet Détournement de l’usage de l’objet avec engagement de la responsabilité de l’entreprise Non-évolutivité des cas d’usage de l’objet Non exploitabilité de l’objet par un mainteneur Révocation et modification possible des secrets de l’objet Exemple d’un modèle de rôle © WAVESTONE 18
© WAVESTONE 19 Utilisation de l’objet Utilisateur principal Fournisseurs de services Services de secours Gestionnaire de flotte Constructeur automobile Propriétaire Utilisateur délégué Tiers de confiance Réseaux partenaires CIAM IAM Exemple d’un modèle de rôle possible sur un véhicule connecté Délègue Délègue AutoriseDélègue Mandate Mandate Autorise
© WAVESTONE 20 Revente par l’utilisateur Quels risques ? Quels enjeux ? Réinitialisation dans un état stable et intègre avant nouvel appairage Détection et prise en charge du cas de la revente entre particulier Protection des secrets et données de l’ancien propriétaire via remise à zéro de l’objet Compromission volontaire de données sensibles par l’ancien propriétaire Maintien du contrôle volontaire par l’ancien propriétaire ou vols d’objets via un processus de désappairage incomplet Atteinte au fonctionnement normal de l’objet par modification de son code Encore un mauvais exemple ! © WAVESTONE 20
© WAVESTONE 21 Comment détecter la revente d’un objet ? Modification du comportement de l’utilisateur Déclaration d’achat par le nouveau propriétaire (p.e. avec affichage du statut de l’objet au démarrage) Nouveau processus d’appairage initié Changement de localisation Modification des authentifiants utilisateur (mdp, biométrie) ou réseau Vérification du propriétaire sur une base tiers (p.e. base étatique pour les immatriculations) Résiliation d’un contrat de service par l’utilisateur Une approche alternative consiste à ne pas autoriser la revente, via la location d’un objet qui doit être restitué lors de la résiliation du service Revente par l’utilisateur
© WAVESTONE 22 Fin de vie & recyclage Quels risques ? Quels enjeux ? Désactivation/renouvellement de l’identité de l’objet dans le SI Révocation des droits accès pour l’objet sur le SI Détection de l’inactivité de l’objet Accès illégitime au SI via des identifiants associés à un objet recyclé Divulgations de données personnelles de l'ancien propriétaire Maintien du contrôle involontaire par l’ancien propriétaire via un processus de recyclage incomplet Surcoût de licence pour la gestion de mon parc d’objets Une étape obligatoire… … mais avec peu de recul à l’heure actuelle © WAVESTONE 22
© WAVESTONE 23 Une approche qui a déjà fait ses preuves … … qui permet d’adresser l’ensemble des thématiques sécurité … … et qui souligne l’omniprésence des problématiques d’identité. POURQUOI UNE MÉTHODOLOGIE CONSTRUITE AUTOUR DU CYCLE DE VIE ?
Kévin GUÉRIN M +33 (0) 7 62 97 16 45 kevin.guerin@wavestone.com wavestone.com @wavestone_ riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider M +33 (0) 6 68 40 78 82 fabien.sautet@wavestone.com Fabien SAUTET
PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats

Recommandé

Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management Program10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management ProgramBeyondTrust
 
Threat Hunting Platforms (Collaboration with SANS Institute)
Threat Hunting Platforms (Collaboration with SANS Institute)Threat Hunting Platforms (Collaboration with SANS Institute)
Threat Hunting Platforms (Collaboration with SANS Institute)Sqrrl
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Security Information Event Management - nullhyd
Security Information Event Management - nullhydSecurity Information Event Management - nullhyd
Security Information Event Management - nullhydn|u - The Open Security Community
 
OBASHI
OBASHIOBASHI
OBASHIPearcemayfield
 
NIST 800-92 Log Management Guide in the Real World
NIST 800-92 Log Management Guide in the Real WorldNIST 800-92 Log Management Guide in the Real World
NIST 800-92 Log Management Guide in the Real WorldAnton Chuvakin
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónData Center Consultores
 

Recommandé

Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Wavestone benchmark securite site web 2016 2017
Wavestone benchmark securite site web 2016 2017Gaudefroy Ariane
 
10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management Program10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management ProgramBeyondTrust
 
Threat Hunting Platforms (Collaboration with SANS Institute)
Threat Hunting Platforms (Collaboration with SANS Institute)Threat Hunting Platforms (Collaboration with SANS Institute)
Threat Hunting Platforms (Collaboration with SANS Institute)Sqrrl
 
Penetration testing reporting and methodology
Penetration testing reporting and methodologyPenetration testing reporting and methodology
Penetration testing reporting and methodologyRashad Aliyev
 
Security Information Event Management - nullhyd
Security Information Event Management - nullhydSecurity Information Event Management - nullhyd
Security Information Event Management - nullhydn|u - The Open Security Community
 
OBASHI
OBASHIOBASHI
OBASHIPearcemayfield
 
NIST 800-92 Log Management Guide in the Real World
NIST 800-92 Log Management Guide in the Real WorldNIST 800-92 Log Management Guide in the Real World
NIST 800-92 Log Management Guide in the Real WorldAnton Chuvakin
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónData Center Consultores
 
Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingYvonne Marambanyika
 
Roles and responsibilities of a CISO
Roles and responsibilities of a CISORoles and responsibilities of a CISO
Roles and responsibilities of a CISOEC-Council
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesHow To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesSlideTeam
 
Client-Side Penetration Testing Presentation
Client-Side Penetration Testing PresentationClient-Side Penetration Testing Presentation
Client-Side Penetration Testing PresentationChris Gates
 
Continuous monitoring with OSSIM
Continuous monitoring with OSSIMContinuous monitoring with OSSIM
Continuous monitoring with OSSIMEguardian Global Services
 
Cloud-Enabled: The Future of Endpoint Security
Cloud-Enabled: The Future of Endpoint SecurityCloud-Enabled: The Future of Endpoint Security
Cloud-Enabled: The Future of Endpoint SecurityCrowdStrike
 
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together Sqrrl
 
Simplify Security with Ivanti Security Controls
Simplify Security with Ivanti Security ControlsSimplify Security with Ivanti Security Controls
Simplify Security with Ivanti Security ControlsIvanti
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 
Fraud detection system
Fraud detection systemFraud detection system
Fraud detection systembaladutt
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Identity & Access Management Day 2022.pdf
Identity & Access Management Day 2022.pdfIdentity & Access Management Day 2022.pdf
Identity & Access Management Day 2022.pdfChinatu Uzuegbu
 
Integrated Tools in OSSIM
Integrated Tools in OSSIMIntegrated Tools in OSSIM
Integrated Tools in OSSIMAlienVault
 
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...robbiesamuel
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhAurélie Henriot
 
Wazuh Security Platform
Wazuh Security PlatformWazuh Security Platform
Wazuh Security PlatformPituphong Yavirach
 
Techowl- Wazuh.pdf
Techowl- Wazuh.pdfTechowl- Wazuh.pdf
Techowl- Wazuh.pdfAbhishekChaudhary518667
 
Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...Kevin Fealey
 
Cyber Security and Business Continuity an Integrated Discipline
Cyber Security and Business Continuity an Integrated DisciplineCyber Security and Business Continuity an Integrated Discipline
Cyber Security and Business Continuity an Integrated DisciplineGraeme Parker
 
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsBertrand Carlier
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 

Contenu connexe

Tendances

Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingYvonne Marambanyika
 
Roles and responsibilities of a CISO
Roles and responsibilities of a CISORoles and responsibilities of a CISO
Roles and responsibilities of a CISOEC-Council
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesHow To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesSlideTeam
 
Client-Side Penetration Testing Presentation
Client-Side Penetration Testing PresentationClient-Side Penetration Testing Presentation
Client-Side Penetration Testing PresentationChris Gates
 
Cloud-Enabled: The Future of Endpoint Security
Cloud-Enabled: The Future of Endpoint SecurityCloud-Enabled: The Future of Endpoint Security
Cloud-Enabled: The Future of Endpoint SecurityCrowdStrike
 
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together Sqrrl
 
Simplify Security with Ivanti Security Controls
Simplify Security with Ivanti Security ControlsSimplify Security with Ivanti Security Controls
Simplify Security with Ivanti Security ControlsIvanti
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 
Fraud detection system
Fraud detection systemFraud detection system
Fraud detection systembaladutt
 
Identity & Access Management Day 2022.pdf
Identity & Access Management Day 2022.pdfIdentity & Access Management Day 2022.pdf
Identity & Access Management Day 2022.pdfChinatu Uzuegbu
 
Integrated Tools in OSSIM
Integrated Tools in OSSIMIntegrated Tools in OSSIM
Integrated Tools in OSSIMAlienVault
 
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...robbiesamuel
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhAurélie Henriot
 
Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...Kevin Fealey
 
Cyber Security and Business Continuity an Integrated Discipline
Cyber Security and Business Continuity an Integrated DisciplineCyber Security and Business Continuity an Integrated Discipline
Cyber Security and Business Continuity an Integrated DisciplineGraeme Parker
 

Tendances (20)

Vulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration TestingVulnerability and Assessment Penetration Testing
Vulnerability and Assessment Penetration Testing
 
Roles and responsibilities of a CISO
Roles and responsibilities of a CISORoles and responsibilities of a CISO
Roles and responsibilities of a CISO
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation SlidesHow To Handle Cybersecurity Risk PowerPoint Presentation Slides
How To Handle Cybersecurity Risk PowerPoint Presentation Slides
 
Client-Side Penetration Testing Presentation
Client-Side Penetration Testing PresentationClient-Side Penetration Testing Presentation
Client-Side Penetration Testing Presentation
 
Continuous monitoring with OSSIM
Continuous monitoring with OSSIMContinuous monitoring with OSSIM
Continuous monitoring with OSSIM
 
Cloud-Enabled: The Future of Endpoint Security
Cloud-Enabled: The Future of Endpoint SecurityCloud-Enabled: The Future of Endpoint Security
Cloud-Enabled: The Future of Endpoint Security
 
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
Threat Hunting vs. UEBA: Similarities, Differences, and How They Work Together
 
Simplify Security with Ivanti Security Controls
Simplify Security with Ivanti Security ControlsSimplify Security with Ivanti Security Controls
Simplify Security with Ivanti Security Controls
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Fraud detection system
Fraud detection systemFraud detection system
Fraud detection system
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Identity & Access Management Day 2022.pdf
Identity & Access Management Day 2022.pdfIdentity & Access Management Day 2022.pdf
Identity & Access Management Day 2022.pdf
 
Integrated Tools in OSSIM
Integrated Tools in OSSIMIntegrated Tools in OSSIM
Integrated Tools in OSSIM
 
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...
Boardroom to War Room: Practical Application of the NIST Cybersecurity Frame...
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo Wazuh
 
Wazuh Security Platform
Wazuh Security PlatformWazuh Security Platform
Wazuh Security Platform
 
Techowl- Wazuh.pdf
Techowl- Wazuh.pdfTechowl- Wazuh.pdf
Techowl- Wazuh.pdf
 
Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...
 
Cyber Security and Business Continuity an Integrated Discipline
Cyber Security and Business Continuity an Integrated DisciplineCyber Security and Business Continuity an Integrated Discipline
Cyber Security and Business Continuity an Integrated Discipline
 

Similaire à Wavestone - IAM of Things / Identité des objets connectés

Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsBertrand Carlier
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...University of Geneva
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsMicrosoft Ideas
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurMathieu Isaia | TheGreeBow
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Radouane Mrabet
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Microsoft Technet France
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéVeritas Technologies LLC
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
 

Similaire à Wavestone - IAM of Things / Identité des objets connectés (20)

Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
 

Wavestone - IAM of Things / Identité des objets connectés

  • 1. IAM of Things Is that even a thing? 21 Mars 2018 Kévin GUÉRIN kevin.guerin@wavestone.com Fabien SAUTET fabien.sautet@wavestone.com
  • 2. © WAVESTONE 2 Des clients leaders dans leur secteur 2,500 collaborateurs sur 4 continents Parmi les leaders du conseil indépendant en Europe, n°1 en France * Partenariats Paris | Londres | New York | Hong Kong | Singapour* | Dubaï* Bruxelles | Luxembourg | Genève | Casablanca Lyon | Marseille | Nantes Dans un monde où la capacité à se transformer est la clé du succès, nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques
  • 3. © WAVESTONE 3 Réussir sa transformation numérique grâce à la confiance numérique UNE EXPERTISE EPROUVEE / Stratégie et Conformité / Transformation métier sécurisée / Architecture et programme sécurité / Identité, Fraude et Services de Confiance / Tests d’intrusion & Réponse à incident / Continuité d’Activité & Résilience / SI Industriel NOS DIFFERENCIATEURS / Connaissance des risques métier / Méthodologie AMT pour les schémas directeurs / Radars Innovation et Start-ups / CERT-W / Bug Bounty by Wavestone Wavestone Cybersécurité & Confiance numérique Nos clients COMEX, Métier, CDO, CIO, CISO, BCM 400+ Consultants & Experts 1,000+ Missions par an dans plus de 20 pays
  • 4. © WAVESTONE 4 Des millions d’objets connectés pour autant de nouveaux cas d’usage
  • 5. © WAVESTONE 5 Des menaces avérées sur l’ensemble des secteurs, des services et des données IAM OF THINGS, IS THAT EVEN A THING? Compteur intelligent : falsification des relevés de compteur à Porto Rico par une manipulation physique OVH : des centaines de milliers de caméras IP provoquent un DDOS en générant 1Tbps de trafic (botnet Mirai) Stuxnet : « zero-days » utilisé pour détruire les centrifugeuses d’enrichissement d’uranium de Natanz en Iran Aciérie allemande : une attaque ciblée a provoqué des dégâts irréversibles sur l’infrastructure physique My Friend Cayla : un jouet pour enfant piraté via Bluetooth permettant d’envoyer et de recevoir des fichiers sonores Caméra Foscam : une caméra de surveillance bébé compromise par un hacker pour espionner et parler au bébé Jeep Cherokee : deux chercheurs ont pris le contrôle télécommandé de la voiture et ont pu la détruire Nest thermostat : un accès physique au dispositif permet de modifier facilement le programme à l’aide d’une clé USB Cloudpet : vol de données personnelles et d’enregistrements sonores réalisés par le jouet Schneider Electric : le malware Triton stoppe les opérations d’un site de production après l’attaque d’un système de sûreté industriel Hôtel autrichien : un attaquant bloque le système de clés électroniques et empêche l’accès aux chambres SI Industriels Services Grand public
  • 6. © WAVESTONE 6 Des risques prépondérants dans le monde de l’IoT IAM OF THINGS, IS THAT EVEN A THING? Absence ou insuffisance des mécanismes / processus de détection et réaction, fonctionnalité de mise à jour à distance non prévue, etc. INCAPACITÉ À DÉTECTER, INVESTIGUER ET CORRIGER Stockage de données à caractère personnel non encadré dans les objets, non respect des législations locales sur la sécurité de l’objet, etc. NON-CONFORMITÉ RÉGLEMENTAIRE API de remontée des données non authentifiées, interception de flux réseau avec injection de données, détournement des fonctionnalités de l’objet, etc. ALTERATION DES DONNÉES ET DES TRAITEMENTS Extraction de la base de données de la plate-forme, interception de flux réseau, extraction de la mémoire de l’objet, etc. DIVULGATION DE DONNÉES SENSIBLES / PERSONNELLES Déni de service de l’infrastructure, indisponibilité du réseau, détérioration de l’objet, etc. INDISPONIBILITÉ DE TOUT OU PARTIE DE L’ÉCOSYSTÈME Détournement des capacités de l’objet, destruction de l’objet, impact sur les hommes et l’environnement, etc. EFFET NÉFASTE DANS LE MONDE PHYSIQUE Utilisation des objets comme relais d’attaque, pour masquer des activités illégales, etc. ENGAGEMENT DE LA REPONSABILITÉ DE L’ENTREPRISE
  • 7. © WAVESTONE 7confidentiel | © WAVESTONE 7 IAM OF THINGS, IS THAT EVEN A THING? Quatre postures à adopter selon la nature du projet… L’entreprise développe son propre objet connecté Créer L’entreprise acquiert un objet dans le but de le déployer Acquérir L’entreprise recommande un objet à ses clients dans le cadre d’une offre de service par exemple Recommander L’entreprise accueille des objets tiers sur son SI (BYOD) Accueillir …qui influent sur la capacité d’action sur les principaux risques
  • 8. © WAVESTONE 8 Une méthodologie liée au cycle de vie de l’objet pour aborder tous les enjeux sécurité
  • 9. © WAVESTONE 9 Un projet et des réflexions à structurer autour du cycle de vie de l’objet pour aborder l’ensemble des thématiques sécurité • Audit & conformité • Gouvernance • Sécurité matérielle, applicative • Standards / API • Cloud / Infrastructure • Détection et réaction • Sécurité réseaux, matérielle • Standards / API • Conformité • Conformité Usine et réseau de distribution Appairage à l’objet Revente par l’utilisateur Remise à zéro et repackaging Utilisation de l’objet • IAM of Things • IAM of Things • IAM of Things • Identité • Identité
  • 10. © WAVESTONE 10 Things are identities too !identities
  • 11. © WAVESTONE 11 Qu’est-ce que l’IAM of Things (#IAMoT) ? IAM OF THINGS, IS THAT EVEN A THING? IAM Employés, prestataires, partenaires ~100k Relation Objet/Employé • Utilisation d’un dispositif d’alarme pour travailleur isolé • Télémaintenance du contrôleur de la climatisation personnelle d’un client • Gestion de l’usage de ma flotte de véhicules d’entreprise • Réparation par le garagiste de mon véhicule • Etc. Clients, consommateurs Customer IAM > 1M Relation Objet/Consommateur • Utilisation familiale du pèse-personne • Délégation de l’usage de mon véhicule • Authentification sur mon téléviseur pour accéder à mes listes de lecture favorites • Etc. IAM of Things >>1M Objets SI entreprise Relation Objet/SI entreprise • Pilotage de mes robots de fabrication • Remontée des indicateurs de consommation de mon parc automobile • Mise à disposition de mises à jour de firmware ou de paramétrages • Etc. Authentification
  • 12. © WAVESTONE 12 Identité des objets et contrôle d’accès Chaque objet requiert des accès aux SI de l’entreprise • Quels sont mes objets ? • Comment s’authentifient-ils ? Modèle de rôle IAM Gestionnaire de flotte, mainteneur, employé… • Quelles interactions avec quels objets ? • Quelles permissions sur les données ?Modèle de rôle CIAM Propriétaire, utilisateur principal, délégataire… • Quelles interactions avec quels objets ? • Quelles permissions sur les données ? Processus Appairage, modification ou suppression de droits pour gérer les objets, les clients, les employés, les prestataires… LA RECETTE DE L’IAM OF THINGS #IAMoT
  • 13. © WAVESTONE 13 Des grands principes de sécurisation à adapter aux contraintes d’environnement, de coût, de performance, de volumétrie… pour des réponses spécifiques propres à votre contexte. Attention
  • 14. © WAVESTONE 14 Fabrication & distribution Quels enjeux ? Initialisation du cycle de vie dans le SI sans donner de droits d’accès Quels risques ? Quelques mauvais exemples ! Botnet Mirai Vol d’objets Création de l’identité de l’objet (ID matériel ou logiciel) Initialisation des secrets uniques pour l’objet, les futurs utilisateurs, les administrateurs, les télé- mainteneurs,… Choix des fonctions de sécurité pour la protection des secrets Vols d’objets en usine ou dans les transports pour recel sur un marché parallèle Compromission massive de mon parc d’objet et détournement de son usage principal Accès non autorisés au SI pour un objet non associé à un utilisateur © WAVESTONE 14
  • 15. © WAVESTONE 15 Que font nos clients ? Station énergie connectée Identité de l’objet L’identité et les secrets sont créés sur le SI et paramétrés en usine sur l’objet Statut de l’objet L’objet est déclaré “En attente d’appairage” et ne dispose d’aucun droit sur le SI Vente de l’objet L’objet est vendu par un réseau multicanal et n’obtient des droits d’accès au SI qu’une fois appairé Tant qu’il est n’est pas vendu ni associé à un utilisateur et à un contrat, l’objet n’a aucun droit sur le SI. Fabrication & distribution
  • 16. © WAVESTONE 16 Appairage à l’objet Détection d’un objet non remis à zéro (objet d’occasion) Association fiable d’un (ou de plusieurs) objet à son propriétaire/utilisateur Compromis entre UX et sécurité lors de l’association Activation des droits de l’objet et de l’utilisateur sur le SI Prise de contrôle ou vols d’objets via un processus d’appairage peu fiable ou ne s’assurant pas de la légitimité de l’utilisateur Quels risques ? Quels enjeux ? Focus sur le cas Ledger Wallet… © WAVESTONE 16
  • 17. © WAVESTONE 17 Un catalogue de services Le propriétaire peut souscrire à une liste de services requérant un appairage plus ou moins fort à l’objet Un appairage par étape Plusieurs niveaux d’identification possible : « CNI », « Certificat d’immatriculation », « Clé du véhicule » Service & niveau de confiance L’accès à chaque service du catalogue est évalué selon le niveau de confiance de l’appairage Pour privilégier l’UX, l’utilisateur s’appaire en ligne et en self-service sur son smartphone selon le niveau de confiance requis par les services auxquels il a souscrit Constructeur automobile Que font nos clients ? Appairage à l’objet
  • 18. © WAVESTONE 18 Utilisation de l’objet Quels risques ? Quels enjeux ? Définition d’un modèle de rôle adapté Authentification et gestion des changements d’utilisateurs Vérification de l’identité et des rôles en ligne/hors ligne Cloisonnement des données entre utilisateurs Compromission de données sensibles (personnelles ou métier) Indisponibilité ou destruction de l’objet Détournement de l’usage de l’objet avec engagement de la responsabilité de l’entreprise Non-évolutivité des cas d’usage de l’objet Non exploitabilité de l’objet par un mainteneur Révocation et modification possible des secrets de l’objet Exemple d’un modèle de rôle © WAVESTONE 18
  • 19. © WAVESTONE 19 Utilisation de l’objet Utilisateur principal Fournisseurs de services Services de secours Gestionnaire de flotte Constructeur automobile Propriétaire Utilisateur délégué Tiers de confiance Réseaux partenaires CIAM IAM Exemple d’un modèle de rôle possible sur un véhicule connecté Délègue Délègue AutoriseDélègue Mandate Mandate Autorise
  • 20. © WAVESTONE 20 Revente par l’utilisateur Quels risques ? Quels enjeux ? Réinitialisation dans un état stable et intègre avant nouvel appairage Détection et prise en charge du cas de la revente entre particulier Protection des secrets et données de l’ancien propriétaire via remise à zéro de l’objet Compromission volontaire de données sensibles par l’ancien propriétaire Maintien du contrôle volontaire par l’ancien propriétaire ou vols d’objets via un processus de désappairage incomplet Atteinte au fonctionnement normal de l’objet par modification de son code Encore un mauvais exemple ! © WAVESTONE 20
  • 21. © WAVESTONE 21 Comment détecter la revente d’un objet ? Modification du comportement de l’utilisateur Déclaration d’achat par le nouveau propriétaire (p.e. avec affichage du statut de l’objet au démarrage) Nouveau processus d’appairage initié Changement de localisation Modification des authentifiants utilisateur (mdp, biométrie) ou réseau Vérification du propriétaire sur une base tiers (p.e. base étatique pour les immatriculations) Résiliation d’un contrat de service par l’utilisateur Une approche alternative consiste à ne pas autoriser la revente, via la location d’un objet qui doit être restitué lors de la résiliation du service Revente par l’utilisateur
  • 22. © WAVESTONE 22 Fin de vie & recyclage Quels risques ? Quels enjeux ? Désactivation/renouvellement de l’identité de l’objet dans le SI Révocation des droits accès pour l’objet sur le SI Détection de l’inactivité de l’objet Accès illégitime au SI via des identifiants associés à un objet recyclé Divulgations de données personnelles de l'ancien propriétaire Maintien du contrôle involontaire par l’ancien propriétaire via un processus de recyclage incomplet Surcoût de licence pour la gestion de mon parc d’objets Une étape obligatoire… … mais avec peu de recul à l’heure actuelle © WAVESTONE 22
  • 23. © WAVESTONE 23 Une approche qui a déjà fait ses preuves … … qui permet d’adresser l’ensemble des thématiques sécurité … … et qui souligne l’omniprésence des problématiques d’identité. POURQUOI UNE MÉTHODOLOGIE CONSTRUITE AUTOUR DU CYCLE DE VIE ?
  • 24. Kévin GUÉRIN M +33 (0) 7 62 97 16 45 kevin.guerin@wavestone.com wavestone.com @wavestone_ riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider M +33 (0) 6 68 40 78 82 fabien.sautet@wavestone.com Fabien SAUTET
  • 25. PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats

Notes de l'éditeur

  1. Autorisation de la mise à jour de l’objet en contrôlant l’identité du télémainteneur Solution crypto pour les données ? Exemple de location entre particulier ? Mode anonyme ? Mode prêt de l’objet ?