Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Sécurité de l’IoT
Internet of Things
Internet des objets v1.0
8 novembre 2016
40 min.
Tactika inc.
Table des matières
1. Qui suis-je
2. Contexte
3. Définition de l’IoT
4. Sécurité de l’information
5. Gestion du risque
Séc...
Qui suis-je ?
Clément Gagnon
 clement.gagnon@tactika.com
 Spécialiste en sécurité de l’information
 34 ans d’expérience...
Pourquoi se préoccuper de la sécurité de l’IoT ?
IoT va se propager dans tous les
aspects de notre vie, cependant …
IoT pe...
Pourquoi cet engouement pour l’IoT ?
Révolution industrielle : un objet n’est plus un
« produit » mais un « service »
Ian...
Investissement dans l’IoT
Pour les 5 prochaines années (2015 @ 2020)
Investissement: 6 000 milliards $US
ROI: 13 000 mil...
Une simple définition de l’Internet des
objets
 L’Internet des objets désigne les objets physiques dotés de capacité
de t...
Domaines des objets connectés
 Objets de consommation de masse / Consumer IoT Devices
 Smart homes, smart clothing, e-he...
Écosystème des objets connectés
Sécurité de l'IoT 9
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs...
Volumétrie de l’IoT
Sécurité de l'IoT 10
Billion = milliard
Trillion = billion (fr) ou mille milliards
IoT et IPv6
 La quantité d’objets connectés exige une énorme capacité
d’adressage
 Les adresses IPv4 se sont épuisées …
...
Volumétrie des données produites par l’IoT
Sécurité de l'IoT 12
Empreinte des communications IoT
 Les objets sont connectés et ils
sont en relation avec des objets,
des services et des ...
Sécurité de l'IoT 14
Trafic visible et analysé par OpenDNS.
The 2015 Internet of Things in the Enterprise Report, OpenDNS
...
Un peu de prospective
 Le numérique, la mobilité, la
virtualisation, la robotisation,
l’uberisation, IA et IoT sont
une s...
Sécurité de l'IoT 16
Perturbation/rupture technologique
Forte interaction des réseaux
Connectivité permanente
Fort volume ...
Sécurité de l’information et IoT
 Qui aura accès à l'appareil, et comment l’identité sera établie et éprouvée?
 Quelles ...
Qu’est-ce que la sécurité de l’information ?
Disponibilité
Intégrité
Confidentialité
Sécurité de l'IoT 18
Analyse de sécurité IoT
The 2015 Internet of Things in the Enterprise Report
Trois principaux risques de l’IoT
Nouvelles...
État de situation de la sécurité de l’IoT
 90 % des écosystèmes IoT collectent au moins une
information personnelle
 70 ...
Perception du risque
En affaires, le risque est perçu
comme une opportunité ou comme
un événement négatif.
Une organisatio...
Équilibre entre la sécurité, les exigences
d’affaires et la technologie
Une sécurité de
l’information efficiente et
effica...
Impact(s)
sur les actifs
Petit modèle de risque
RISQUE
Vulnérabilité(s)
Mesure(s)
de sécurité
Menace(s)
Agents
Sécurité d...
Agents
Humain Non-humain Désastre
Malveillant Non-malveillant
InterneExterne
Pirate, criminel,
terroriste, cyber-vandale
E...
Menaces
Cibles
Identifiant/compte
Processus
Données
Composant
Ordinateur
Réseau
Protocole réseau
Vulnérabilités
Design
Imp...
Scénario d’attaque
 Les menaces peuvent se combiner entre elles pour former un scénario
d’attaque selon une séquence :
Re...
10 principales vulnérabilités de l’IoT selon OWASP
Open Web Application Security Project
1. Interface web non sécuritaire
...
Les surfaces d’attaque
Sécurité de l'IoT 28
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de serv...
Surface d’attaque de l’auto connectée
Sécurité de l'IoT 29
GSM Association Non-confidential , Official Document CLP.11 - I...
Aperçu des mesures de contrôle ou de
sécurité
Sécurité de l'IoT 30
Conception et design
 Analyse de risque
 Cadre de dév...
Vérifiez votre sécurité IoT avec Shodan
Le Google de l’IoT
 Site web spécialisé dans la
recherche d’IoT visible dans le
n...
Une simple méthode de définition du risque!
Inspirée d’EBIOS
Sécurité de l'IoT 32
Contexte
Événements
redoutés
Scénarios d...
Tactika inc.
clement.gagnon@tactika.com
www.tactika.com
@tactika
http://ca.linkedin.com/in/tactika
Merci de votre attention
Les mesures minimales
de sécurité pour l’utilisateur
 Choisir des dispositifs provenant d’une source fiable
 Activer le ...
Les mesures de sécurité pour
un fournisseur
 Gérer les risques
 Avoir une politique de sécurité (PRP ?)
 Être doté d’un...
Les mesures de sécurité pour
un manufacturier IoT
 Gérer les risques
 Avoir une politique de sécurité
 Être doté d’un S...
Prochain SlideShare
Chargement dans…5
×

Risques 40min securité_io_t_v1.0

302 vues

Publié le

L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains)
« The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. »
Internet of things, risk and value considerations, ISACA

Internet of Everything
Internet of shit
Bad Internet neighborhood

Publié dans : Internet
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Risques 40min securité_io_t_v1.0

  1. 1. Sécurité de l’IoT Internet of Things Internet des objets v1.0 8 novembre 2016 40 min. Tactika inc.
  2. 2. Table des matières 1. Qui suis-je 2. Contexte 3. Définition de l’IoT 4. Sécurité de l’information 5. Gestion du risque Sécurité de l'IoT 2
  3. 3. Qui suis-je ? Clément Gagnon  clement.gagnon@tactika.com  Spécialiste en sécurité de l’information  34 ans d’expérience dans les TI  Entreprises : Tactika inc. et ID-M (en démarrage)  www.tactika.com  Id-m.me  Certifications : CISSP, CISA, CCSK, ISO2700x …  Domaines d’intervention  Gestion des risques  Architecture de sécurité et de réseautique  Infonuagique  Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux  Participer à l’implantation de services infonuagiques  Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou 3Sécurité de l'IoT
  4. 4. Pourquoi se préoccuper de la sécurité de l’IoT ? IoT va se propager dans tous les aspects de notre vie, cependant … IoT peut compromettre la sécurité à petite et grande échelle Sécurité de l'IoT 4
  5. 5. Pourquoi cet engouement pour l’IoT ? Révolution industrielle : un objet n’est plus un « produit » mais un « service » Ian Hughes, analyste à 451 Research Pour l’industrie, IoT permettra de Diminuer les coûts d’opération Augmenter la productivité Ouvrir des nouveaux marchés ou développer des nouvelles offres et produits Sécurité de l'IoT 5
  6. 6. Investissement dans l’IoT Pour les 5 prochaines années (2015 @ 2020) Investissement: 6 000 milliards $US ROI: 13 000 milliards $US Sécurité de l'IoT 6 http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 Trillion = billion (fr) ou mille milliards
  7. 7. Une simple définition de l’Internet des objets  L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains) « The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. » Internet of things, risk and value considerations, ISACA  Internet of Everything  Internet of shit  Bad Internet neighborhood Sécurité de l'IoT 7
  8. 8. Domaines des objets connectés  Objets de consommation de masse / Consumer IoT Devices  Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc  eSanté / Smart Health Devices  Service de santé, Hôpitaux, télé-santé, assurances  Objets industriels / Industrial IoT Devices  Manufacturier : SCADA : Supervisory Control and Data Acquisition  Logistique, Agriculture, Énergie, Minier, Gazier et pétrolifère, Transport, Distribution électrique / Power Grid  Militaire  Villes intelligentes / Smart Cities  Infrastructure / Smart City Infrastructure and Services  Transport / Smart Transportation  Eau  Sécurité publique  Relation avec le citoyen / démocratie  Services financiers  Assurances Sécurité de l'IoT 8
  9. 9. Écosystème des objets connectés Sécurité de l'IoT 9 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD
  10. 10. Volumétrie de l’IoT Sécurité de l'IoT 10 Billion = milliard Trillion = billion (fr) ou mille milliards
  11. 11. IoT et IPv6  La quantité d’objets connectés exige une énorme capacité d’adressage  Les adresses IPv4 se sont épuisées …  IPv6 permet un espace de 2128 d’adresses IP ou 340 282 366 920 938 463 463 374 607 431 768 211 456 “nous pouvons donner une adresse IPV6 à chaque atome sur Terre et nous pouvons le faire pour 100 autres planètes comme la Terre” Steven Leibson (traduction libre) Sécurité de l'IoT 11
  12. 12. Volumétrie des données produites par l’IoT Sécurité de l'IoT 12
  13. 13. Empreinte des communications IoT  Les objets sont connectés et ils sont en relation avec des objets, des services et des humains  Les communications sont établies et contrôlées par des algorithmes  L’exemple ci-contre présente les « services » exploités par le bracelet Fitbit Sécurité de l'IoT 13 The 2015 Internet of Things in the Enterprise Report, OpenDNS
  14. 14. Sécurité de l'IoT 14 Trafic visible et analysé par OpenDNS. The 2015 Internet of Things in the Enterprise Report, OpenDNS Cette illustration présente la vue d’ensemble des communications Internet entre les télévisions intelligentes Samsung et des « entités » dans Internet. az43064.v0.msecnd.net cdn.samsungcloudsolution.com d1jwpcr0q4pcq0.cloudfront.net echo.internetat.tv fkp.samsungcloudsolution.com Infolink.pavv.co.kr lcprd1.samsungcloudsolution.com lcstg2.samsungcloudsolution.com ns11.whois.co.kr otnprd10.samsungcloudsolution.net otnprd11.samsungcloudsolution.net prov.samsungcloudsolution.com time.samsungcloudsolution.com usecho.internetat.tv xpu.samsungelectronics.com Accès Internet des « smart TV » Samsung
  15. 15. Un peu de prospective  Le numérique, la mobilité, la virtualisation, la robotisation, l’uberisation, IA et IoT sont une suite de perturbations créatrices La résilience désigne la capacité pour un corps, un organisme, une organisation ou un système quelconque à retrouver ses propriétés initiales après une altération. https://fr.wikipedia.org/wiki/Résilience  Forte dynamique inter systèmes Sécurité de l'IoT 15
  16. 16. Sécurité de l'IoT 16 Perturbation/rupture technologique Forte interaction des réseaux Connectivité permanente Fort volume de données Complexité Élargissement de la surface d’attaque
  17. 17. Sécurité de l’information et IoT  Qui aura accès à l'appareil, et comment l’identité sera établie et éprouvée?  Quelles sont menaces ? Comment sont-elles être atténuées?  Qui doit-on aviser dans le cas d’une attaque ou la découverte d’une vulnérabilité ?  Quel est le processus de mise à jour dans le cas d'une vulnérabilité ?  Quelles sont les informations personnelles qui sont collectées, stockées et / ou traitées? Avec qui les données seront partagées?  Les personnes dont les renseignements sont recueillis savent ce qui est collecté et utilisé ? Ont-ils donné leur consentement?  Etc. Sécurité de l'IoT 17
  18. 18. Qu’est-ce que la sécurité de l’information ? Disponibilité Intégrité Confidentialité Sécurité de l'IoT 18
  19. 19. Analyse de sécurité IoT The 2015 Internet of Things in the Enterprise Report Trois principaux risques de l’IoT Nouvelles surfaces d’exposition aux menaces Hors de la juridiction des départements TI Sans surveillance et sans processus de mise à jour et d’application des correctifs logiciels et de sécurité Les vulnérabilités des plateformes IoT induisent des risques Les appareils de consommation de masse sont connectés en permanence Sécurité de l'IoT 19
  20. 20. État de situation de la sécurité de l’IoT  90 % des écosystèmes IoT collectent au moins une information personnelle  70 % des écosystèmes IoT ont des échanges réseaux non chiffrés  60 % des équipements IoT ont des interfaces utilisateurs avec des vulnérabilités (XSS, objet d’authentification)  80 % acceptent des mots de passe sans complexité Sécurité de l'IoT 20 Internet of things research study, 2015 report HP Entreprise
  21. 21. Perception du risque En affaires, le risque est perçu comme une opportunité ou comme un événement négatif. Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d’opportunités. En sécurité de l’information, le risque est perçu comme une menace qui exploite une vulnérabilité avec des impacts négatifs. Les risques d’un tiers peuvent devenir mes risques ... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés». Sécurité de l'IoT 21
  22. 22. Équilibre entre la sécurité, les exigences d’affaires et la technologie Une sécurité de l’information efficiente et efficace est un équilibre entre ces trois éléments Sécurité de l'IoT 22 Exigences d’affaires Exigences de sécurité Coût et capacité technologiques
  23. 23. Impact(s) sur les actifs Petit modèle de risque RISQUE Vulnérabilité(s) Mesure(s) de sécurité Menace(s) Agents Sécurité de l'IoT 23
  24. 24. Agents Humain Non-humain Désastre Malveillant Non-malveillant InterneExterne Pirate, criminel, terroriste, cyber-vandale Employé malveillant Erreur, ignorance, méconnaissance Panne, bris matériel ou logiciel Événement naturel, Guerre, émeute, etc Probabilité : Événement extérieur, imprévisible, irrésistible et insurmontable de nature à dégager de toute responsabilité, usure, fin de vie de matériel Les éléments déclencheursMotivation : criminelle, politique, économique, vandalisme, recherche de publicité, etc.      🌪🐞 Sécurité de l'IoT 24
  25. 25. Menaces Cibles Identifiant/compte Processus Données Composant Ordinateur Réseau Protocole réseau Vulnérabilités Design Implantation Configuration Résultats Élévation de privilège Accès à l'information Corruption d'information Déni de service Usage de ressources Événement potentiel et appréhendé, de probabilité non nulle, susceptible de porter atteinte à la sécurité informatique (OQLF) (1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”. https://www.enisa.europa.eu/activities/cert/support/incident-management/files/good-practice-guide-for- incident-management Actions Authentifier Contourner Usurper Saturer Lire Copier Voler Modifier Détruire Détourner Balayer Sonder Sécurité de l'IoT 25
  26. 26. Scénario d’attaque  Les menaces peuvent se combiner entre elles pour former un scénario d’attaque selon une séquence : Reconnaissance  Chargement  Feu  Exploitation  Installation  Commandement/Contrôle  Exécution  Exemples de scénario d’attaque • Balayage par un bot • Exploitation par une attaque par la force brute • Modification de paramètres • Injection de code malveillant • Balayage dans le réseau local • Rattachement à un réseau de botnets (C&C) • Attente d’instruction pour une attaque de DDOS … 26 Sécurité de l'IoT
  27. 27. 10 principales vulnérabilités de l’IoT selon OWASP Open Web Application Security Project 1. Interface web non sécuritaire 2. Authentification et habilitation faibles 3. Services réseaux non sécuritaires 4. Chiffrement faible ou absent du service réseau 5. Enjeux de protection de la vie privée 6. Interface non sécuritaire des services infonuagiques 7. Interface vulnérable des services mobiles 8. Configuration minimale de la sécurité 9. Logiciel/microcode/système d’exploitation non sécuritaire 10. Sécurité physique déficiente Sécurité de l'IoT 27
  28. 28. Les surfaces d’attaque Sécurité de l'IoT 28 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services INTERNET Réseaux sociaux Bots CLOUD
  29. 29. Surface d’attaque de l’auto connectée Sécurité de l'IoT 29 GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document ECU GPS OBD USB WiFi Bluetooth WiFi Bluetooth Connection cellulaire Sans-fil infotainement Internet
  30. 30. Aperçu des mesures de contrôle ou de sécurité Sécurité de l'IoT 30 Conception et design  Analyse de risque  Cadre de développement sécuritaire  Implanter  Contrôle d’accès Réseau, segmentation Authentification Chiffrement (données, communication)  Identité et habilitation Définition des utilisateurs Granularité des habilitations  Gestion des vulnérabilités Mécanisme de mise à jour  Détection des intrusions Journalisation, Envoi d’alerte Exploitation  Analyse de risque  Contrôle d’accès Réseau, segmentation Authentification Chiffrement (données, communication)  Identité et habilitation Définition des utilisateurs Granularité des habilitations  Gestion des vulnérabilités Mécanisme de mise à jour  Détection des intrusions Journalisation Envoi d’alerte Détection et éradication du code malveillant Utilisation  Déploiement sécuritaire  Contrôle d’accès Segmentation Activer une authentification Activer le chiffrement  Identité et habilitation Bonne pratique  Gestion des vulnérabilités  faire les mises à jour  Détection des intrusions Surveiller les journaux et alertes
  31. 31. Vérifiez votre sécurité IoT avec Shodan Le Google de l’IoT  Site web spécialisé dans la recherche d’IoT visible dans le net  Imprimantes  Caméras http://iotscanner.bullguard.com/ Sécurité de l'IoT 31
  32. 32. Une simple méthode de définition du risque! Inspirée d’EBIOS Sécurité de l'IoT 32 Contexte Événements redoutés Scénarios de menaces Risques Mesures de sécurités Quel est l’objet ? Quel est la portée ? Pourquoi comment va-t-on gérer les risques ? Quels scénarios sont possibles ? Quels sont les plus vraisemblables et probables ? Définir une cartographie des risques Évaluer les impacts Comment communiquer le risque ? Comment le traiter ? Quelles mesures doit-on appliquer ? Le risque résiduel est-il acceptable ? Quels événements doit-on craindre ? Quels seraient les plus graves ? Quels sont les plus vraisemblables et probables ? Traitement du risque Réduction du risque Maintient du risque Refus du risque Partage du risque
  33. 33. Tactika inc. clement.gagnon@tactika.com www.tactika.com @tactika http://ca.linkedin.com/in/tactika Merci de votre attention
  34. 34. Les mesures minimales de sécurité pour l’utilisateur  Choisir des dispositifs provenant d’une source fiable  Activer le chiffrement pour l’accès de gestion Modifier les mots de passe par défaut Appliquer/automatiser les mises à jour et les correctifs Isoler le sous-réseau et contrôler le trafic Activer les alertes (et les journaux ) Sécurité de l'IoT 34
  35. 35. Les mesures de sécurité pour un fournisseur  Gérer les risques  Avoir une politique de sécurité (PRP ?)  Être doté d’un SMSI fiable et robuste  Processus et infrastructure  Contrôle d’accès  Gestion des identités et des habilitations  Détection des intrusions  Gestion des vulnérabilités  etc  Avoir un niveau de service défini et publié  Disponibilité, soutenir une montée en charge, continuité de service  Être doté d’un processus de gestion des incidents (support aux utilisateurs) Sécurité de l'IoT 35
  36. 36. Les mesures de sécurité pour un manufacturier IoT  Gérer les risques  Avoir une politique de sécurité  Être doté d’un SMSI fiable et robuste  Processus et infrastructure  Contrôle d’accès  Gestion des identités et des habilitations  Détection des intrusions  Gestion des vulnérabilités  Avoir un cadre de référence de développement et conception pour la sécurité  S’assurer que les sous-traitants possède un niveau de confiance acceptable  Être doté d’un processus de gestion des incidents (correctifs d’urgence) Sécurité de l'IoT 36

×