For those who didn't come to our conference "Security by Design : An IoT must have", or those who want to see it again, here is the presentation made by Lacroix Electronics.
Il faut trouver des solutions pour faire face à la menace de plus en plus forte que font peser les attaques, à la pénurie de talents et aux défis de l’optimisation des coûts en matière de cybersécurité. La tendance actuelle consiste à s’appuyer sur l’automatisation et l’orchestration des opérations de sécurité.
Or l’automatisation des SecOps conduit à devoir gérer des alertes de sécurité en plus grand nombre. L’inconvénient de cette approche est qu’on est potentiellement confronté chaque jour à une foule de nouvelles alertes. Et avec des centaines de vulnérabilités de gravité critique ou élevée à gérer, c’est à un sapin de Nöel tout illuminé que ressemble le rapport de sécurité quotidien. Cela peut bel et bien conduire à l’épuisement des équipes ou, pire encore, à de mauvaises décisions en matière de gestion des vulnérabilités.
Bien évidemment, il n’est pas réaliste d’espérer corriger toutes les failles. Les chefs d’entreprise doivent donc définir une limite en accord avec les équipes de sécurité. La hiérarchisation est un facteur de réussite essentiel si l’on veut renforcer l’efficacité et continuer à assurer un service approprié et de haute qualité en matière de réponse aux incidents de sécurité et de gestion des vulnérabilités. Le score CVSS ne suffit pas. Quelles sont donc les métriques pertinentes ? Comment les mesurer ? Quelle décision prendre ? Comment analyser l’efficacité de ce processus et comment l’adapter ?
Cette conférence a pour but d’échanger des idées sur une méthodologie de gestion des vulnérabilités basée sur le risque à l’aide de solutions open source comme PatrowlHears.
Cette approche est rendue possible par un juste équilibre entre automatisation des SecOps (pour être informés des vulnérabilités, failles et autres menaces) et hiérarchisation basée sur les métriques de vulnérabilité, l’actualité des menaces et la criticité des ressources. Nous verrons également des exemples d’événements qui devraient nous conduire à envisager une redéfinition des priorités en matière de vulnérabilités.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
Il faut trouver des solutions pour faire face à la menace de plus en plus forte que font peser les attaques, à la pénurie de talents et aux défis de l’optimisation des coûts en matière de cybersécurité. La tendance actuelle consiste à s’appuyer sur l’automatisation et l’orchestration des opérations de sécurité.
Or l’automatisation des SecOps conduit à devoir gérer des alertes de sécurité en plus grand nombre. L’inconvénient de cette approche est qu’on est potentiellement confronté chaque jour à une foule de nouvelles alertes. Et avec des centaines de vulnérabilités de gravité critique ou élevée à gérer, c’est à un sapin de Nöel tout illuminé que ressemble le rapport de sécurité quotidien. Cela peut bel et bien conduire à l’épuisement des équipes ou, pire encore, à de mauvaises décisions en matière de gestion des vulnérabilités.
Bien évidemment, il n’est pas réaliste d’espérer corriger toutes les failles. Les chefs d’entreprise doivent donc définir une limite en accord avec les équipes de sécurité. La hiérarchisation est un facteur de réussite essentiel si l’on veut renforcer l’efficacité et continuer à assurer un service approprié et de haute qualité en matière de réponse aux incidents de sécurité et de gestion des vulnérabilités. Le score CVSS ne suffit pas. Quelles sont donc les métriques pertinentes ? Comment les mesurer ? Quelle décision prendre ? Comment analyser l’efficacité de ce processus et comment l’adapter ?
Cette conférence a pour but d’échanger des idées sur une méthodologie de gestion des vulnérabilités basée sur le risque à l’aide de solutions open source comme PatrowlHears.
Cette approche est rendue possible par un juste équilibre entre automatisation des SecOps (pour être informés des vulnérabilités, failles et autres menaces) et hiérarchisation basée sur les métriques de vulnérabilité, l’actualité des menaces et la criticité des ressources. Nous verrons également des exemples d’événements qui devraient nous conduire à envisager une redéfinition des priorités en matière de vulnérabilités.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
Retour d'expérience de Jérôme Mollaret, expert cybersécurité chez Hardis Group, qui utilise Elastic Detector pour sécuriser plusieurs milliers de serveurs.
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
Retrouvez le top 10 des bonnes pratiques de sécurité AWS par les experts sécurité de SecludIT. Notre solution pour vous aider dans la mise en place de ces bonnes pratiques :
https://elastic-workload-protector.secludit.com/
Cette présenation fait un tour d’horizon des dernières avancées technologiques dans la cybersécurité. Après une semaine d’immersion dans Washington DC, la capital cyber mondiale, Sergio Loureiro, PDG de SecludIT, résume les dernières « trends » du domaine et montre ce que le futur nous réserve en termes de cybersécurité.
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...OCTO Technology
Par Karim Sayadi (Head of Augmented Industry @OCTO Technology) et Yannick Drant (Senior Consultant - Big Data Analytics @OCTO Technology)
L’utilisation d’un outil d'inspection visuelle permet de réduire (parfois drastiquement) les coûts de non qualité d'une chaîne de production. Mais automatiser cette étape clé présente de nombreux challenges… C’est pour cela que nous avons développé VIO, notre plateforme de solution edge pour l'inspection visuelle aujourd'hui en Open Source. Nous vous présenterons notre vision et les patterns architecturaux de notre solution mise en place chez divers clients : de la conduite du changement (une révolution du rôle de qualiticien !) à l'utilisation de la solution à l'échelle.
Vidéo Youtube : https://www.youtube.com/watch?v=c_p32B-lM3g&list=PLBD8R108T9T4D3mcLiDpT67f9ERg1Hm2r&index=43
Compte-rendu : https://blog.octo.com/compte-rendu-du-comptoir-octo-x-la-duck-conf-utiliser-une-solution-dedge-open-source-pour-ameliorer-linspection-visuelle-dans-vos-usines/
Retour d'expérience de Jérôme Mollaret, expert cybersécurité chez Hardis Group, qui utilise Elastic Detector pour sécuriser plusieurs milliers de serveurs.
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
Retrouvez le top 10 des bonnes pratiques de sécurité AWS par les experts sécurité de SecludIT. Notre solution pour vous aider dans la mise en place de ces bonnes pratiques :
https://elastic-workload-protector.secludit.com/
Cette présenation fait un tour d’horizon des dernières avancées technologiques dans la cybersécurité. Après une semaine d’immersion dans Washington DC, la capital cyber mondiale, Sergio Loureiro, PDG de SecludIT, résume les dernières « trends » du domaine et montre ce que le futur nous réserve en termes de cybersécurité.
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
Swiss Grade Security - 3 octobre 2017 - Lausanne
Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !
Comptoir - Utiliser une solution d'edge Open Source pour améliorer l'inspecti...OCTO Technology
Par Karim Sayadi (Head of Augmented Industry @OCTO Technology) et Yannick Drant (Senior Consultant - Big Data Analytics @OCTO Technology)
L’utilisation d’un outil d'inspection visuelle permet de réduire (parfois drastiquement) les coûts de non qualité d'une chaîne de production. Mais automatiser cette étape clé présente de nombreux challenges… C’est pour cela que nous avons développé VIO, notre plateforme de solution edge pour l'inspection visuelle aujourd'hui en Open Source. Nous vous présenterons notre vision et les patterns architecturaux de notre solution mise en place chez divers clients : de la conduite du changement (une révolution du rôle de qualiticien !) à l'utilisation de la solution à l'échelle.
Vidéo Youtube : https://www.youtube.com/watch?v=c_p32B-lM3g&list=PLBD8R108T9T4D3mcLiDpT67f9ERg1Hm2r&index=43
Compte-rendu : https://blog.octo.com/compte-rendu-du-comptoir-octo-x-la-duck-conf-utiliser-une-solution-dedge-open-source-pour-ameliorer-linspection-visuelle-dans-vos-usines/
STORMSHIELD VISIBILITY CENTER (SVC) est une solution clé-en-main pour superviser en temps réel des événements de sécurité commune à l’ensemble de la gamme des produits Stormshield.
Au travers de graphiques et rapports efficaces, vous visualisez d’un seul coup d’œil le niveau de sécurité de votre système d’information.
La mobilité s'impose et nous expose. Faut-il subir ou gérer ? L'évolution de la mobilité en entreprise présentée et agrémentée par des démonstrations d'attaque et par les moyens de ...
ARCHITECTURE MICROSERVICE : TOUR D’HORIZON DU CONCEPT ET BONNES PRATIQUESSOAT
Les systèmes distribués ont largement évolués ces 10 dernières années, passant d’énormes applications monolithiques à de petits containers de services, apportant plus de souplesse et d’agilité au sein des systèmes d’information.
Le terme « Architecture microservice » a vu le jour pour décrire cette manière particulière de concevoir des applications logicielles.
Bien qu’il n’y ait pas de définition précise de ce style d’architecture, elles ont un certain nombre de caractéristiques communes basées autour de l’organisation de l’entreprise, du déploiement automatisé et de la décentralisation du contrôle du langage et des données.
Seulement, développer ces systèmes peut tourner au véritable casse-tête. Je vous propose donc un tour des concepts et différentes caractéristiques de ce type d’architecture, des bonnes et mauvaises pratiques, de la création jusqu’au déploiement des applications.
Petit déjeuner du 20/11 MDM en mode Cloud Saphelec & Monaco TelecomYannick Quentel
Présentation des Solutions Mobile Device Management en mode Cloud. EXCLUSIVITE la nouvelle solution KNOX développée par SAMSUNG, permettant de séparer les fichiers personnels de vos collaborateurs de vos données entreprises, en toute sécurité. Et grâce aux solutions MDM de Mobile Iron, compatibles avec KNOX, vous êtes assuré d'une gestion globale de tous vos outils mobiles (Smartphones et tablettes)
Un écosystème collaboratif open source et zerotrust dans le cloud public, est...Open Source Experience
Aujourd'hui, nous constatons que la vulnérabilité des systèmes informatique réside dans le fait que les données stockées sur des infrastructures centrales sont accessibles et manipulables par des tiers de confiance. La nécessité de concevoir les systèmes sur une architecture open source d’infrastructures décentralisés donc zerotrust s’impose pour garantir la sécurité des données sensibles dans le cloud public.
Comment déployer ses objets connectés en alliant sécurité, maintenance et sup...Matooma
Voici les points abordés :
- Quels sont les éléments clés à prendre en compte avant l'industrialisation de son projet IoT ?
- Comment connecter vos objets à distance par carte SIM M2M ?
- Avantages & inconvénients des différentes solutions
- Des cas d'usages explicatifs
- Séance de questions / réponses
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
Salon IoT World 2018
L'IoT c'est aujourd'hui des millions d’objets connectés pour autant de nouveaux cas d’usage.
Wavestone vous propose une méthodologie liée au cycle de vie de l’objet pour aborder tous les enjeux sécurité.
Dans cette présentation, une attention particulière est donnée à l'identité des objets connectés et à l'IAM of Things (#IAMoT).
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticElasticsearch
Découvrez comment Orange Business Services utilise la Suite Elastic pour refondre et moderniser leur infrastructure SIEM et améliorer davantage leurs méthodes de détection d’anomalies et d’intrusions.
Similaire à Conference Security by Design - Lacroix Electronics - Comment conçoit on un objet ? (20)
This self-assessment checklist helps organizations evaluate their IoT product security maturity across several domains: governance and processes, customer and regulatory requirements, development practices, testing procedures, and vulnerability management. Responses indicate the level of security practices established - from fully defined processes to no current practices. The assessment identifies areas of maturity and gaps to prioritize strengthening the security of IoT products.
Conference Security by Design - Microsoft - Relever les défis de la sécurité ...Witekio
For those who didn't come to our conference "Security by Design : An IoT must have", or those who want to see it again, here is the presentation made by Microsoft.
Conference Security by Design - Gemalto - Security in IoTWitekio
For those who didn't come to our conference "Security by Design : An IoT must have", or those who want to see it again, here is the presentation made by Gemalto.
This document discusses different machine learning algorithms including supervised learning, unsupervised learning, semi-supervised learning, and reinforcement learning. Supervised learning uses labeled data to generate predictions, unsupervised learning finds patterns in unlabeled data through clustering and visualization, semi-supervised learning combines labeled and unlabeled data, and reinforcement learning uses rewards to learn behaviors. The document provides examples of applications for each type of learning such as price prediction, image clustering, and autonomous vehicles.
You have heard about containers? You want to know what’s hiding behind the hype? What are the benefits for embedded systems projects?
After looking at an example illustrating how containers can be used to solve the problem of application lifecycle and atomic update, we will discuss how containers work on Linux and how they can be secured. Finally, the audience will learn about how to take advantage of Yocto to generate containers on their own embedded devices.
You can watch the full Webinar on our blog page : https://witekio.com/blog/containers-embedded-systems-webinar
Our end-to-end software expertise combined with a global system approach allows us to bring 360° support to our customers and accompany them towards the success of their embedded and connected devices.
Though system analysis, design and development, we provide software integration from the hardware to the cloud.
Discover more on www.witekio.com and interact with us on witek.io
The embedded market is growing fast, so do we ! Are you searching for a challenging technical environment combining an international approach and true team spirit? Choose Witekio’s adventure!
This document introduces predictive maintenance, which uses data from connected devices and sensors to alert operators of potential issues before failures occur. It discusses three types of maintenance strategies - corrective, preventive, and predictive. Predictive maintenance can use simple condition-based monitoring of sensor data or more advanced model-based approaches involving machine learning. The document outlines architectures for basic and advanced predictive maintenance systems, covering components like connected devices, databases, APIs, and machine learning models. It emphasizes collecting sensor data, using tools like Elasticsearch and machine learning APIs, to build models that can optimize maintenance planning and increase equipment uptime.
The embedded market is currently experiencing a number of disruptive forces. It is moving into a world of connectivity and inter connectivity, where the information and the data produced by embedded systems are essential. In parallel, and as a result of the consumerization of the industry, user expectations are increasing in terms of ergonomics, user experience and performance. This complexity significantly impacts the way embedded systems and connected devices are designed and developed, and moves the primary success factor from a main dependency on technical expertise to the optimization of the system integration. This implies the need of a strong know how about architecture design, hardware and software compatibility, interaction testing, IP integration, and a deep multi OS and multi technologies expertise. This creates the need for a new kind a player, the system software integrator.
Witekio is a system software integrator that helps customers develop and integrate all software layers of embedded systems and connected devices. It provides expertise in software technologies and integration challenges to maximize project efficiency, reduce risks, and accelerate time to market. Witekio has experience across various industries including automotive, medical, mobility, industrial, and smart objects. It has a global presence with offices worldwide and local sales representatives.
Qt allows developers to create cross-platform applications that can run on desktop, web, mobile and embedded devices like Android. There are two main ways to build Qt applications for Android - as a dedicated "boot to Qt" device or as a regular Android application within the Play Store. The talk discusses using Qt Quick for its support of gestures, animations and touch interfaces on mobile. Key Qt features like databases, networking and sensors are supported. Deployment can be to an attached device, simulator or by bundling Qt libraries into a distributable Android application package.
This document discusses creating custom Qt Quick components for modern user interfaces. It covers creating custom components as QML files or C++ classes, handling multi-touch input, adding animations and effects, leveraging OpenGL for performance, and accessing sensors like the accelerometer. The presentation aims to show developers how to build polished UIs that meet users' expectations for touch, graphics acceleration and responsiveness.
The document discusses an embedded market revolution and a new positioning towards optimization of system software integration. It presents a vision for a company called Adeneo Embedded to evolve and reinvent itself to undertake this vision. More information will be provided on September 15th.
2. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 2
0Qui est LACROIX: Une aventure entrepreneuriale et internationale
Sustained growth
x 2 in 10 years
Resources for investment
Debt ratio: 0,32
4000
EMPLOYEES
2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
441
183
441
This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization.
€441M
REVENUE
3. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 3
03 domaines d'activité complémentaires
Own-brand equipment for
smart road
infrastructure management
LACROIX
City
Own-brand equipment for
water and energy
infrastructure management
LACROIX
Sofrel
Design and manufacturing
of embedded systems and
connected devices for its
professional customers
LACROIX
Electronics
Signage
V2X
Traffic
management
Streetlighting
Drinking
water
Wastewater
treatment
Automotive
Home
automation
Healthcare
Civil &
Defense
avionics
Energy
Providing our customers with Equipment for a smarter and more sustainable world
SMART
MOBILITY
LACROIX City
SMART
ENVIRONMENT
LACROIX Sofrel
SMART
INDUSTRIES
LACROIX Elec.
revenue
€39M
revenue revenue21% 9% 70%
Industry
€92M € 310M
4. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 4
0
Cette présentation aborde les aspects « Security by Design » au niveau d’un objet.
Présentation de l’objet dans son écosystème
Enjeux de la sécurité
Quel sont les types d’attaques?
Présentation de la vision de la sécurité
Présentation du cycle de vie de la sécurité
Comment sécuriser par Design?
Design: deux approches en fonction des cas d’usages
Conclusion
Introduction
5. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 5
0Ecosystème d’un objet (1/2)
6. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 6
0
protocoles hétérogène protocoles Web
maillon faible
Ecosystème d’un objet (2/2)
Créer une chaine de confiance de l’objet au cloud
7. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 7
0Enjeux de la sécurité
Empêcher l’accès à des informations critiques
Empêcher la copie de l’objet
Empêcher de transformer l’objet en arme
Pourquoi faut-il sécuriser son objet ?
Perte et/ou vol d’informations critiques
Utilisation détournées du réseaux
La contre façon
Sanction financière
Quel sont les risques ?
8. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 8
0Quel sont les types d’attaques?
Ce type d’attaque est facile et peux couteux.
Ce sont des attaques « de masse »
ATTAQUE SUR LA COMMUNICATION
Ce type d’attaque est plus difficile et plus
couteux.
Ce sont des attaques « experts »
ATTAQUE PHYSIQUE
9. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 9
0
Représentation des éléments à prendre en compte pour sécuriser son objet:
Architecture sécurisé
Logiciel « Bootloader » sécurisé
Mot de passe (certificat) robuste
Cycle de vie sécurisé
Résistances au attaque physique
Protocole de communication sécurisée
Etablir une communications sécurisée
Vision de la sécurité
10. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 10
0
Introduction sur la notion de « Secure Life Cycle »
Cycle de vie de la sécurité
DESIGN
VALIDATION
CERTIFICATIONMAINTENANCE
END OF LIFE
11. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 11
0
Faire un AUDIT pour connaitre ce qu’il faut protéger
Par le choix de la TECHNOLOGIE, par L’ARCHITECTURE de l’objet et par le SOFTWARE
Définir une architecture de communication de « bout en bout »
Définir le PROTOCOLE de communication sécurisé
Définir le TYPE DE SÉCURITÉ (dépend de protocole de communication)
VOLUME de production?
NE PAS SURPROTÉGER : cela a un coût composants et surtout un cout en production!
Comment protéger un objet par Design
12. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 12
0
Présentation d’un objet sécurisé « standard »
Convient à beaucoup d’objets
Prévu pour résister aux attaques « de masse »
Design: cas d’usages (1/2)
13. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 13
0
Présentation d’un objet avec sécurisé renforcé:
Convient au faible volume
Prévu pour résister au attaque « expert »
Design: cas d’usages (2/2)
14. This document is proprietary and confidential to the LACROIX Group and may not be reproduced without prior authorization. 14
0
L’architecture de sécurité se construit
de bout en bout du système
Il faut conduire un audit de sécurité pour
avoir une vision de se qui est a protéger
Ne pas faire de sur-qualité
Conduire une analyse de risque
Conclusion
Notes de l'éditeur
Il y a en général deux types de liaisons:
long range: l’objet accède directement au réseaux à travers des stations de base. Exemple: GSM, LORA, Sigfox, …
short range: l’objet accède au réseaux à travers une passerelle. Il y a de nombreux protocoles (WiFi, BLE, 802.1.4, propriétaires, …)
protocoles hétérogène: protocoles Web:
- mal maitrisé - en général bien maitrisé
- ressources limitées - peu de protocoles, mise a jour fréquente
- pas d’état de l’art - état de l’art (30 ans)
Empêcher l’accès à des informations critiques:
Mot de passe ou certificat: permet de s’introduire sur le réseaux
Informations et données de l’utilisateur et du réseaux
Empêcher la copie de l’objet:
Éviter les clones de produit -> impact sur le « business model »
Empêcher de transformer l’objet en arme:
Attaque massive avec de nombreux objets (2 exemples: cam vidéo IP, pompe a carburant)
Quel sont les risques:
Perte et/ou vol d’informations critiques
Utilisation détournées du réseaux
La contre façon
Sanction financière: RGPD 4% du chiffres d’affaires
Attaque sur la communication:
Intercepter la communication pour accéder au informations transmises
Prendre la place de l’objet pour envoyer des fausses données ou utiliser le réseaux pour son propre usage
Modifier l’usage de l’objet
Attaque physique:
Pour remplacer le logiciel
Pour copier l’objet
Récupérer les informations pour ce connecter à un réseaux
Architecture sécurisé
Choix du microcontrôleur
Mémoires verrouillables en lecture / écriture
Générateur de nombre aléatoire
Encryptions (HW ou SW)
Logiciel « Bootloader » sécurisé
Mises à jour sécurisé du logiciel
Mise a jour des mots de passe
Mot de passe (certificat) robuste
Pour l’authentification sur le réseaux
Cycle de vie sécurisé
Déployer, mise à jour, retirer en fin de vie
Résistances au attaque physique
Bloquer les accès de programmation
Détecter les intrusions
Protocole de communication sécurisée
Pour établir une communication sécurisée
Etablir une communications sécurisée
Authentification
Encryptions des échanges
Design:
choix de l’architecture
audit de sécurité
formation des équipes projets
Validation:
revue de code
test unitaire, test au limite
Certification:
Maintenance:
Configuration des objets
mise à jour du logiciel pour parer au failles de sécurité
mise à jour des certificats ou mots de passe
End of life:
retrait des objets
supprimer les certificats ou les identifiants des serveurs
effacer les mémoires
Faire un audit pour connaitre ce qu’il faut protéger
Importance de la données? Température d’une pièce = valeur faible. Données de santés = critiques
Analyse de risque
Par le choix de la technologie, par l’architecture de l’objet et par le software
Définir une architecture de communication de « bout en bout »
Réseaux public
Réseaux privé, passerelle?
Définir le protocole de communication sécurisé
Type de liaison, débit
Compatible avec des mises à jour?
Définir le type de sécurité (dépend de protocole de communication)
Protocole IP: utilisation de certificats
Volume de production?
permet de définir la stratégie de production (impact sur le cout final)
Avantage:
Cout de la solution hardware limité
Beaucoup de « MCU » sont compatibles
Inconvénient:
Chaine de production complexe
Ne résiste pas forcement a une attaque « expert »
Avantage:
Chaine de production simplifié
Résiste mieux au attaques « expert »
Sécurité du niveau « carte de crédit »
Inconvénient:
Nécessite un composant dédié
Cout de la solution hardware plus élevé (fort volume)