SlideShare une entreprise Scribd logo
1  sur  11
Télécharger pour lire hors ligne
Cybersécurité, IOT
automobile et aéronautique
Jacques PANTIN
Janvier 2017
De nouvelles problématiques de
sécurité
• Les menaces
– Potentiellement des risques de mort d’homme (il n’y a plus seulement des
problématiques de protection de données personnelles (RGDP, CNIL))
– L’utilisation d’objets, réseaux de ‘zombies’, comme vecteurs d’attaque (cf
les évènements récents avec Mirai)
– L’espionnage industriel
• Les vulnérabilités
– Des contraintes de coût (‘le composant à 2 $’) qui limitent la mise place de
solutions de sécurité
– Des schémas d’architecture de sécurité pas encore pleinement maîtrisés
– Le besoin d’une stabilité dans le temps
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Des approches très différentes selon
les domaines
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Automobile
Aéronautique
Smart buildingsSmart cities
Domotique
Santé
De nombreux défis
• Un spectre fonctionnel très large et des normes multiples
– En automobile
• V2X (Vehicle to Everything)
• V2V (Vehicle to Vehicle), V2I (Vehicle to Infrastructure), ITS (Intelligent Transport System)
• …
– En aéronautique
• Sesar (Single European Sky ATM Research), NextGen
• ATA e Business Program (Air Transport Association)
• …
• En automobile, une frontière conducteur/véhicule pas encore stabilisée
• Des problématiques d’interopérabilité
• Une recherche d’ergonomie omniprésente (orthogonale à la mise en
œuvre de ‘réponses sécuritaires’!!)
• Des contraintes de côut
• Une nécessaire stabilité dans le temps
• … Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Une première typologie des risques
• La ‘pollution’ de l’équipement terminal
• La prise de contrôle des concentrateurs (cf
l’incident Tesla)
• L’interception des échanges (écoute,
altération des msg)
• Le détournement des données
• L’interception des firmwares et logiciels sur les
équipements terminaux (espionnage
industriel)Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Les objectifs de sécurité
• Avec ISO 26262 (ASIL-
Automotive Safety
Integry Level)
– S: Sévérité
– E: Exposition
– C: Contrôlabilité
• Avec EBIOS
• Disponibilité
• Intégrité
• Confidentialité
• Traçabilité
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
• Avec ISA99 (SAL- Security Assurance Level)
• Contrôle d’accés, Contrôle d’usage
• Intégrité, Confidentialité, Disponibilité
• Restriction sur les flux de données
• Réponse adaptée à une incident
Sécurité: les domaines d’action
• Intégrité de l’objet
– Intégrité des composants
– Absence de malwares
• Sécurité des communications
• Protection des données (en particulier, données
personnelles)
– Attaque sur l’objet
– Attaque sur les bases d’information
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Nos objectifs: Le safeboot
• Objectif:
– La validation de l’intégrité de la configuration
logicielle lors du démarrage de ‘l’objet’ (validation des
signatures des composants logiciels critiques, en face
d’une configuration de référence)
• Défis:
– Niveau de sécurité souvent faible associé à des
solutions d’abord logicielles (pas de eSE)
– Outils de gestion de configuration nécessaires
– Interopérabilité entre espaces de confiance difficile à
gérer
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Nos objectifs: La traçabilité
• Des acteurs multiples
– Equipementiers / Constructeurs / Gestionnaires
de flotte / Mainteneurs – Garagistes
• Des espaces de confiance nécessairement
interopérables
• Des principes d’habilitation à la fois sûrs et
simples à mettre en œuvre
• Une utilisation de la blockchain??? (usage en
micro paiements???)Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Une nouvelle approche de la sécurité
La démarche classique ne suffit plus
– Sécurité et sureté (Security / Safety)
– Security inside (CMM)
– Résilience
– Sécurité et qualité
– ….
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Une gouvernance différente
• Des analyses de risques différentes
– Un très bon travail de l’ANSSI
• Pertinence du RSSI d’aujourd’hui??
• Comment prendre en compte la sécurité dans
des systèmes techniques?
• Les normes COBIT for info sec, ISO 26262…
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités

Contenu connexe

Tendances

Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 

Tendances (20)

Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécurité
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en Europe
 
POLE SCS - Séminaire "Sécurisation de l'IOT" 10 Mars 17
POLE SCS - Séminaire "Sécurisation de l'IOT" 10 Mars 17POLE SCS - Séminaire "Sécurisation de l'IOT" 10 Mars 17
POLE SCS - Séminaire "Sécurisation de l'IOT" 10 Mars 17
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?
MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?
MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
User centric security
User centric securityUser centric security
User centric security
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
Cybersécurité & protection des données personnelles
Cybersécurité & protection des données personnellesCybersécurité & protection des données personnelles
Cybersécurité & protection des données personnelles
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 

Similaire à Cybersécurité, IOT automobile et aéronautique

cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptx
HbJlm
 

Similaire à Cybersécurité, IOT automobile et aéronautique (20)

Conférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud ComputingConférence sur la sécurité Cloud Computing
Conférence sur la sécurité Cloud Computing
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018Conférence EXTREME NETWORKS ACSS 2018
Conférence EXTREME NETWORKS ACSS 2018
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
 
Pourquoi la directive NIS ?
Pourquoi la directive NIS ?Pourquoi la directive NIS ?
Pourquoi la directive NIS ?
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptx
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Portfolio services secu-2.1
Portfolio services secu-2.1Portfolio services secu-2.1
Portfolio services secu-2.1
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Présentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM SecurityPrésentation de la stratégie et de l'offre IBM Security
Présentation de la stratégie et de l'offre IBM Security
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 

Plus de Antoine Vigneron

Plus de Antoine Vigneron (19)

La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital era
 
Meeting the challenges of big data
Meeting the challenges of big dataMeeting the challenges of big data
Meeting the challenges of big data
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
 

Cybersécurité, IOT automobile et aéronautique

  • 1. Cybersécurité, IOT automobile et aéronautique Jacques PANTIN Janvier 2017
  • 2. De nouvelles problématiques de sécurité • Les menaces – Potentiellement des risques de mort d’homme (il n’y a plus seulement des problématiques de protection de données personnelles (RGDP, CNIL)) – L’utilisation d’objets, réseaux de ‘zombies’, comme vecteurs d’attaque (cf les évènements récents avec Mirai) – L’espionnage industriel • Les vulnérabilités – Des contraintes de coût (‘le composant à 2 $’) qui limitent la mise place de solutions de sécurité – Des schémas d’architecture de sécurité pas encore pleinement maîtrisés – Le besoin d’une stabilité dans le temps Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
  • 3. Des approches très différentes selon les domaines Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités Automobile Aéronautique Smart buildingsSmart cities Domotique Santé
  • 4. De nombreux défis • Un spectre fonctionnel très large et des normes multiples – En automobile • V2X (Vehicle to Everything) • V2V (Vehicle to Vehicle), V2I (Vehicle to Infrastructure), ITS (Intelligent Transport System) • … – En aéronautique • Sesar (Single European Sky ATM Research), NextGen • ATA e Business Program (Air Transport Association) • … • En automobile, une frontière conducteur/véhicule pas encore stabilisée • Des problématiques d’interopérabilité • Une recherche d’ergonomie omniprésente (orthogonale à la mise en œuvre de ‘réponses sécuritaires’!!) • Des contraintes de côut • Une nécessaire stabilité dans le temps • … Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
  • 5. Une première typologie des risques • La ‘pollution’ de l’équipement terminal • La prise de contrôle des concentrateurs (cf l’incident Tesla) • L’interception des échanges (écoute, altération des msg) • Le détournement des données • L’interception des firmwares et logiciels sur les équipements terminaux (espionnage industriel)Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
  • 6. Les objectifs de sécurité • Avec ISO 26262 (ASIL- Automotive Safety Integry Level) – S: Sévérité – E: Exposition – C: Contrôlabilité • Avec EBIOS • Disponibilité • Intégrité • Confidentialité • Traçabilité Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités • Avec ISA99 (SAL- Security Assurance Level) • Contrôle d’accés, Contrôle d’usage • Intégrité, Confidentialité, Disponibilité • Restriction sur les flux de données • Réponse adaptée à une incident
  • 7. Sécurité: les domaines d’action • Intégrité de l’objet – Intégrité des composants – Absence de malwares • Sécurité des communications • Protection des données (en particulier, données personnelles) – Attaque sur l’objet – Attaque sur les bases d’information Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
  • 8. Nos objectifs: Le safeboot • Objectif: – La validation de l’intégrité de la configuration logicielle lors du démarrage de ‘l’objet’ (validation des signatures des composants logiciels critiques, en face d’une configuration de référence) • Défis: – Niveau de sécurité souvent faible associé à des solutions d’abord logicielles (pas de eSE) – Outils de gestion de configuration nécessaires – Interopérabilité entre espaces de confiance difficile à gérer Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
  • 9. Nos objectifs: La traçabilité • Des acteurs multiples – Equipementiers / Constructeurs / Gestionnaires de flotte / Mainteneurs – Garagistes • Des espaces de confiance nécessairement interopérables • Des principes d’habilitation à la fois sûrs et simples à mettre en œuvre • Une utilisation de la blockchain??? (usage en micro paiements???)Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
  • 10. Une nouvelle approche de la sécurité La démarche classique ne suffit plus – Sécurité et sureté (Security / Safety) – Security inside (CMM) – Résilience – Sécurité et qualité – …. Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
  • 11. Une gouvernance différente • Des analyses de risques différentes – Un très bon travail de l’ANSSI • Pertinence du RSSI d’aujourd’hui?? • Comment prendre en compte la sécurité dans des systèmes techniques? • Les normes COBIT for info sec, ISO 26262… Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités