Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le pire ! IoT est déjà très présent dans nos vies et nous n’avons encore rien vu : vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente (et forcément connectée), etc
Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information.
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
Avec l'avènement de la nuagique, de la mobilité et des réseaux sociaux, sans compter le séisme mondial provoqué par les révélations Snowden, PRISM et NSA, la confidentialité de l'information ainsi que la vie privée est-elle toujours possible? Dans la deuxième partie de la formation, Me René Vergé nous entretiendra de l’aspect sécuritaire et privé de l’infonuagique (cloud computing).
Simalaya - IoT - enjeux, impacts et facteurs clés de succès Simalaya SA
L'Internet of Things (IoT) impacte la stratégie, l'écosystème et l'organisation des entreprises. L'Internet des Objets a déjà transformé plusieurs acteurs majeurs (GE, TESLA...). Quels sont les enjeux ? Quels sont les facteurs clés de succès pour une stratégie IoT réussie? Quels sont les principaux écueils? Introduction par Jonathan KOSKAS, consultant Simalaya
Valtech - Internet of Things & Big Data : un mariage de raisonValtech
Nous assistons aujourd'hui à une explosion du marché des objets connectés (Internet of Things). Gartner annonce potentiellement 25 milliards d’objets connectés en 2020.
Devant le tsunami de données que les IoT vont générer, il devient donc impératif que l’entreprise puisse mettre en place un écosystème Big Data complet pour faire face à cette avalanche.
Hervé Desaunois - Directeur technique, Valtech Toulouse
herve.desaunois@valtech.fr
Décryptage de l' IOT / Objets connectés / Internet des objets
Est-ce un nouvel eldorado, une bulle ou une mutation ?
- IOT au sommet du Gartner Hype Cycle avant Vallée de désillusion
- Le business model des fabricants des objets connectés
- Comment traverser le gouffre des Early adopters pour les objets connectés ?
- Les opportunités de l'IOT pour les entreprises
par Dimitri Carbonnelle - Livosphere
Conférence Internet des objets IoT M2M - CCI Bordeaux - 02 04 2015 - Introduc...polenumerique33
Conférence "2 Avril Objets connectés, Internet des Objets (IoT) quels enjeux et opportunités pour les entreprises ?" du Pôle Numérique de la CCI Bordeaux - 02 04 2015 - Introduction de B Saintorens Pôle Numérique
Programme
"Panorama du marché et des solutions de l'Internet des objets (IoT) et du MachineToMachine (M2M)" par M. MONTEIL / FUSION LABS, société de conseil et intégration de projets IoT et M2M
"Retours d’expérience en conduite de projet, choix technologiques et compétences nécessaires"
M. GONNET / E-DEVICE société spécialisée dans les équipements connectés pour la santé.
M. GAUZES / TELECOM DESIGN, Partenaire de SIGFOX et société spécialisée dans le design et intégration de modules IoT / M2M et les applications embarquées
"La data élément clé au cœur des projets IoT" avec le retour d'expérience de M. VALLETTE / ANTS spécialiste du Big Data / analyse prédictive et de l'innovation ouverte
"Accompagnement pour l'intégration de solutions électroniques et logiciel embarqué" avec M. ROUBEIX / JESSICA FRANCE - CAP'TRONIC Région Aquitaine
"Appel à Manifestation d'Intérêt (AMI) Numérique" avec M. HARNAY (Chargé de mission "Data et objets connectés", CR Aquitaine )
Séance de Questions / Réponses
Cybersécurité & protection des données personnellesMohamed MDELLA
L'Intervention de Mohamed MDELLAH dans le cadre du Workshop régional co-organisé par l'UIT et AICTO portant sur l'expérience de Tunisie Telecom en matière de protection des données personnelles en rapport avec le Cloud Computing
IA, IoT, Big Data : révolutions ou évolution ?Romain Willmann
Support de la présentation sur les objets connectés, l'intelligence artificielle et le Big Data de Romain Willmann. Elle a été prononcée pour la première fois le 7 février 2018 pour les programmes PGM et AMP d'emlyon business school.
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le pire ! IoT est déjà très présent dans nos vies et nous n’avons encore rien vu : vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente (et forcément connectée), etc
Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information.
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...René Vergé
Avec l'avènement de la nuagique, de la mobilité et des réseaux sociaux, sans compter le séisme mondial provoqué par les révélations Snowden, PRISM et NSA, la confidentialité de l'information ainsi que la vie privée est-elle toujours possible? Dans la deuxième partie de la formation, Me René Vergé nous entretiendra de l’aspect sécuritaire et privé de l’infonuagique (cloud computing).
Simalaya - IoT - enjeux, impacts et facteurs clés de succès Simalaya SA
L'Internet of Things (IoT) impacte la stratégie, l'écosystème et l'organisation des entreprises. L'Internet des Objets a déjà transformé plusieurs acteurs majeurs (GE, TESLA...). Quels sont les enjeux ? Quels sont les facteurs clés de succès pour une stratégie IoT réussie? Quels sont les principaux écueils? Introduction par Jonathan KOSKAS, consultant Simalaya
Valtech - Internet of Things & Big Data : un mariage de raisonValtech
Nous assistons aujourd'hui à une explosion du marché des objets connectés (Internet of Things). Gartner annonce potentiellement 25 milliards d’objets connectés en 2020.
Devant le tsunami de données que les IoT vont générer, il devient donc impératif que l’entreprise puisse mettre en place un écosystème Big Data complet pour faire face à cette avalanche.
Hervé Desaunois - Directeur technique, Valtech Toulouse
herve.desaunois@valtech.fr
Décryptage de l' IOT / Objets connectés / Internet des objets
Est-ce un nouvel eldorado, une bulle ou une mutation ?
- IOT au sommet du Gartner Hype Cycle avant Vallée de désillusion
- Le business model des fabricants des objets connectés
- Comment traverser le gouffre des Early adopters pour les objets connectés ?
- Les opportunités de l'IOT pour les entreprises
par Dimitri Carbonnelle - Livosphere
Conférence Internet des objets IoT M2M - CCI Bordeaux - 02 04 2015 - Introduc...polenumerique33
Conférence "2 Avril Objets connectés, Internet des Objets (IoT) quels enjeux et opportunités pour les entreprises ?" du Pôle Numérique de la CCI Bordeaux - 02 04 2015 - Introduction de B Saintorens Pôle Numérique
Programme
"Panorama du marché et des solutions de l'Internet des objets (IoT) et du MachineToMachine (M2M)" par M. MONTEIL / FUSION LABS, société de conseil et intégration de projets IoT et M2M
"Retours d’expérience en conduite de projet, choix technologiques et compétences nécessaires"
M. GONNET / E-DEVICE société spécialisée dans les équipements connectés pour la santé.
M. GAUZES / TELECOM DESIGN, Partenaire de SIGFOX et société spécialisée dans le design et intégration de modules IoT / M2M et les applications embarquées
"La data élément clé au cœur des projets IoT" avec le retour d'expérience de M. VALLETTE / ANTS spécialiste du Big Data / analyse prédictive et de l'innovation ouverte
"Accompagnement pour l'intégration de solutions électroniques et logiciel embarqué" avec M. ROUBEIX / JESSICA FRANCE - CAP'TRONIC Région Aquitaine
"Appel à Manifestation d'Intérêt (AMI) Numérique" avec M. HARNAY (Chargé de mission "Data et objets connectés", CR Aquitaine )
Séance de Questions / Réponses
Cybersécurité & protection des données personnellesMohamed MDELLA
L'Intervention de Mohamed MDELLAH dans le cadre du Workshop régional co-organisé par l'UIT et AICTO portant sur l'expérience de Tunisie Telecom en matière de protection des données personnelles en rapport avec le Cloud Computing
IA, IoT, Big Data : révolutions ou évolution ?Romain Willmann
Support de la présentation sur les objets connectés, l'intelligence artificielle et le Big Data de Romain Willmann. Elle a été prononcée pour la première fois le 7 février 2018 pour les programmes PGM et AMP d'emlyon business school.
Résumé
Cet article détaille aux dirigeants informatiques l’importance de la cyber-résilience face à l’évolution des cyber-menaces. Il définit les conditions de la cyber-résilience et l’importance des renseignements de sécurité pour y parvenir. Enfin, il dresse un panorama de l’avenir de la sécurité.
Over more than a decade, industrial controls have widely capitalized on the world of
information systems. HMI stations and engineering tools are widely using off the shelf
hardware and software while Ethernet and Internet have become a must. Moreover, control
systems are starting to integrate radio-communications (Wi-Fi, ZigBee, Bluetooth, etc.).
Systems cost has substantially decreased, wider functionality is available and integration with
production is tighter. But their protection against the external world has simultaneously
decreased making them more vulnerable vis à vis intrusions and other attacks
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.
Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles.
Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
La sécurité de votre système d'information : un sujet toujours d'actualité
- Les risques induits par les nouveaux usages en entreprise : mobilité, cloud, réseaux sociaux,....
- Comment assurer une protection efficace ?
- Comment maintenir sa sécurité ?
Retour d'expériences et bonnes pratiques
Présentation de Michel Frenkiel président de Mobilegov
Augmentation de capital réservée aux investisseurs qualifiés janvier février 2009
www.financial-video.com
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
Quelles sont les obligations à charge du gestionnaire d’un système informatique ?
Qu’est-ce que le pentesting ?
Qu’est-ce que le piratage éthique ?
Quelles réactions en cas d’attaque ?
par Alexandre CASSART et Pauline LIMBREE (Lexing) et Mélanie GAGNON (MGSI)
Ce module vise à doter les étudiants des atouts nécessaire pouvant leurs permettre de (d’):
Se familiariser avec les concepts de la sécurité informatique.
Connaitre quelques risques liés aux attaques sur les systèmes d'information.
identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les méthodes permettant d'y faire face.
Connaître les différents services de sécurité.
Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
Ce webinar s’adresse à tous à tous ceux qui sont sensibilisés à l’importance de leurs données : chef d’entreprises, indépendants, hébergeurs, VAR, DSI et responsables informatiques, associations, collectivités,…
This document outlines an on-demand advisory service for CIOs and IT leadership teams. It notes that IT currently spends 80% of its budget on maintaining legacy systems, leaving little for innovation. This creates a gap between IT and business leaders seeking digital transformation. The advisory service aims to help CIOs address this "80/20 paradox" and consolidate IT's strategic role by driving the greatest business value. The seasoned CIO advisor provides independent and tailored guidance drawing on their experience and expertise.
1. The document discusses cloud evolution and regulatory pressures over the past 5 years, SCOR's experience with cloud implementations since 2012, and cloud trends.
2. SCOR's cloud strategy focuses on developing digital capabilities using centralized private cloud or select cloud SAAS. SCOR implements security and compliance controls and works toward SOC certifications for client services.
3. Lessons learned include that cloud complexity requires risk assessments, contractual protections, and internal control frameworks during selection and management. Monitoring competitive cloud industry trends is also important.
Challenges and Risks for the CIO from Outsourcing in the digital eraAntoine Vigneron
This document discusses the challenges facing CIOs from outsourcing in the digital era. It covers several topics: how trends like cloud computing are disrupting traditional outsourcing arrangements; whether everything as a service models could lead to outsourcing everything; and how governance needs to evolve to address challenges from digital and transformational outsourcing. The document also examines how digital disruption is impacting industries, and discusses trends in areas like travel and transportation that are improving customer experiences through new technologies.
This document discusses Privowny, a solution that empowers consumers to control their personal data and privacy. It notes that personal data is a valuable asset but also vulnerable, as consumers have little control over how companies collect and use their information. Privowny's solution is a consumer-centric personal data store that gives users control over their data, including pushing data from brands, granting and revoking consent, access to personal data history, and limiting data retention. This approach aims to benefit both consumers through empowerment and companies through increased trust, engagement, and regulatory compliance. Examples of potential use cases include data transparency dashboards, cross-company data updates, and rights to delete accounts and personal data.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
2. 2
Le 4 décembre, la CNIL a mis en demeure la
société GENESIS INDUTRIES LIMITED dans le
cadre d’une procédure sur les jouets connectés
:
- robot « I-QUE »
- poupée « My Friend Cayla »
Les faits reprochés :
- Le non-respect de la vie privée des
personnes en raison d’un défaut de
sécurité
- Le défaut d’information des utilisateurs
des jouets
OBJETS CONNECTÉS & CYBERSÉCURITÉ : UN EXEMPLE TRÈS RÉCENT
Sources
https://www.cnil.fr/fr/jouets-connectes-mise-en-demeure-publique-pour-
atteinte-grave-la-vie-privee-en-raison-dun-defaut-de
https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-
295.pdf
3. 3
Une inquiétude de premier plan pour les
responsables politiques … au-delà des Directions
d’Entreprises
Source
https://twitter.com/gerardcollomb/status/932943134509723648
OBJETS CONNECTÉS & CYBERSÉCURITÉ : L’ÉTAT ET LES ENTREPRISES
EN PARLENT
Maillots NBA connectés
4. 4
LES OBJETS CONNECTÉS
UN MODÈLE QUI S’ÉTEND À TOUS LES DOMAINES
Domotique
Équipements
industriels
Communication
Divertissements
Équipements
médicaux
Sécurité et
surveillance
Internet
des
objets
5. 5
Croissance estimée des objets connectés de 2015 à 2025
L’Institut d‘études avancées de Vienne estime que le marché des objets connectés augmentera de 500% en 10 ans.
Le cabinet de conseil McKinsey estime que la taille totale du marché de l'IOT en 2015 était de 900 millions de dollars,
qu’elle passera à 3,7 milliards de dollars en 2020 et que l’impact économique potentiel est de 2,7 à 6,25 milliards de
dollars en 2025.
LES OBJETS CONNECTÉS
UNE FORTE CROISSANCE SUR 10 ANS
15,41 17,68
20,35
23,14
26,66
30,73
35,82
42,62
51,11
62,12
75,44
0
10
20
30
40
50
60
70
80
2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025
Source : IHS (2016)
6. 6
Les dispositifs connectés ne profitent généralement pas du même niveau de contrôle sécurité
80 % des applications pour ne sont pas testées en condition de cyberattaque (Source : Ponemon Institut).
Les procédures de tests et la sécurisation des applications ne bénéficient pas de budget suffisant.
Les raisons qui pousseraient les entreprises à investir sont multiples :
LES OBJETS CONNECTÉS
DES FAIBLESSES DANS LE DÉVELOPPEMENT
54%
46%
25%
23%
15%
12%
10%
15%
0% 10% 20% 30% 40% 50% 60%
Une grave attaque informatique affectant
l'organisation
Une nouvelle réglementation
La couverture médiatique d'une importante
attaque informatique sur une autre entreprise
Impact potentiel sur les relations avec un
partenaire comercial
Impact potentiel d'une attaque informatique
sur les revenues de la compagnie
Création du taxe incitant à investir d'avantage
sur la sécurité
Risque de perte de clients suite à une
incident de sécurité
Aucun des choix proposés
Source : Ponemon Institut (2017)
7. 7
Différentes attaques réalisées avec des objectifs variés
Les produits connectés sont vulnérables dès leur conception, et sont également facilement accessibles par des
individus malveillants :
L’exemple des jouets connectés de la société GENESIS INDUSTRIES LIMITED en est une preuve.
Une fois compromis par un attaquant, le dispositif peut être utilisé de différentes manières :
− Dispositif de surveillance :
• Vol de données sensible : photos ou vidéo, informations médicales, localisation géographique (voiture,
bracelet).
• Surveillance vidéo ou audio (caméra, baby phone).
− Support de lancement d’attaques informatiques à grande échelle : déni de service, vol d’adresse IP
− Abus des fonctionnalités : ouverture de la vanne de gaz d’un four sans son allumage, contrôle de la
climatisation, blocage des portes d’entrées d’un bâtiment.
LES OBJETS CONNECTÉS
VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (1/3)
8. 8
Exemple d’attaque de type « Déni de service » : Cyberattaque d’Octobre 2016 contre Dyn
LES OBJETS CONNECTÉS
VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (2/3)
Phase préparatoire Attaque Résolution
Compromission de dizaines
de millions d’objets
connectés à travers le
monde
Un groupe de hackers a réussi à
prendre le contrôle de plusieurs types
d’objets connectés au moyen de Mirai,
un logiciel malveillant déjà utilisé pour
mener plusieurs attaques d’ampleur .
Début de l’attaque du type
déni de service sur Dyn
Une attaque informatique massive de
type « déni de service » a paralysé une
partie du Web, essentiellement aux
États-Unis le vendredi 21 octobre
2016 en fin d’après-midi pendant
plusieurs heures. Cette attaque ciblait
un acteur majeur de l’internet (service
DNS) Dyn.
Début d’une enquête du
FBI et du Département de
la Sécurité intérieure
(DHS)
Face à l’ampleur de l’attaque,
le FBI et le département de la
sécurité intérieure américain
ont annoncé avoir lancé une
enquête estimant que Dyn a
été visé par des gens
préparés.
Deuxième vague
La panne a touché des sites parmi
les plus importants de la planète.
Le réseau social Twitter, le site de
vidéo Netflix, le forum Reddit ou le
site de service de paiement en ligne
PayPal.
9. 9
Les objets connectés sont une source d’information à caractère personnel
Les objets connectés accompagnent souvent leurs utilisateurs dans leur vie quotidienne et enregistrent une grande
quantité d’informations (bracelet podomètre, station météo connectée, etc.)
Il n’est souvent pas nécessaire d’interagir physiquement avec l’objet pour le compromettre.
Un rapport du Symposium sur la sécurité des technologies de l'information et des communications (SSTIC) de 2017
sur un objet basique, une brosse à dents connectée présente un constat inquiétant :
- Constat :
• L’objet n’est pas correctement sécurisé et met à mal la vie privée de son propriétaire.
• Les communications Bluetooth Low Energy sont en clair, et quiconque est à proximité peut interagir avec
elle, ou suivre son propriétaire.
- Risque :
• Les informations volées peuvent être monétisées, servir de dispositif de suivi ou alimenter une base de
données d’emails à spammer.
Nombreux constructeurs sont actuellement très novices dans le domaine de la sécurisation de leur produit :
- Ils ne savent pas ce qu’est une notification de vulnérabilité.
- Ils la confondent avec du spam ou ne prennent pas la peine d’y répondre.
- Ils acceptent mal qu’on teste leurs produits.
LES OBJETS CONNECTÉS
VOL D’INFORMATION SENSIBLE OU VECTEUR D’ATTAQUE (3/3)
10. 10
Un demi-million de pacemakers menacés de piratage informatique rappelés (été 2017)
Le pace maker connecté : pacemaker capable de transmettre sans fil les données physiologiques du patient vers un
système local, lui-même relié à Internet. Son médecin peut ainsi suivre à distance l’évolution de l’état de santé de sa
patiente et réduire au minimum les visites de contrôle. Il y a quelques mois, l'administration américaine a rappelé
465.000 stimulateurs cardiaques menacés d'un piratage potentiel à cause d'une vulnérabilité informatique.
L’alerte a été lancée par la US Food and Drugs Administration (FDA), chargée de la protection des patients aux Etats-
Unis.
Les pacemakers concernés proviennent tous du fournisseur St Jude Medical (groupe Abbott).
Pour mettre à jour le logiciel de leurs pacemakers, les patients américains n’avaient pas beaucoup le choix, il fallait
aller voir un spécialiste à l’hôpital qui le téléchargera sur l’appareil.
- Risque :
• Cette vulnérabilité permettrait à un pirate se trouvant à proximité d'en altérer le fonctionnement en
agissant à distance par onde radio pour, par exemple, vider la batterie ou modifier la fréquence cardiaque.
Et mettre en danger la vie du porteur du stimulateur cardiaque.
LES OBJETS CONNECTÉS
THE INTERNET OF THREATS
11. 11
La sécurité : une réflexion à mener dès la conception
LES OBJETS CONNECTÉS
SÉCURISATION DES OBJETS CONNECTÉS
Conception
Définir les besoins futurs
des utilisateurs et
implémenter les bonnes
pratiques.
Sécurité continue
Rester à l’écoute des
vulnérabilités connues des
technologies et déployer les
correctifs de sécurité
nécessaires.
Production
Surveiller la chaîne de
production pour s’assurer
du respect des procédures
de développement
sécurisé.
Identification des
problèmes métiers
Communiquer avec
l’ensemble des métiers liés
au produit.
Evaluation de la
sécurité du produit
Effectuer des tests pour
mesurer le niveau de
sécurité.
Informer le client des
risques liés à l’utilisation de
l’objet et les actions
permettant de les limiter.
Support client
12. 12
L’Internet des Objets apporte un réel changement dans la mise en œuvre des dispositifs de sécurité
Plusieurs contraintes sont à prendre en compte :
Connectivité : L’internet des objets utilise les protocoles Bluetooth et NFC, qui ne permettent pas toujours
d’embarquer un niveau de sécurité suffisant.
Durée de vie de la batterie : Même s’ils permettent de procurer un meilleur niveau de protection, les algorithmes
cryptographiques peuvent affecter durement la consommation énergétique.
Gestion des mises à jour : Il est indispensable de mettre à jour le système, sans interférer avec l’utilisation de l’objet.
Cela est particulièrement saisissant dans le cas des voitures connectées que l’on ne peut pas conduire lorsque le
logiciel se met à jour.
Puissance : Les petits objets embarqués actuels ont une puissance de calcul limitée. Plusieurs opérations ne peuvent
pas être réalisées en même temps dans un délai raisonnable.
LES OBJETS CONNECTÉS
CONTRAINTES LIÉES AUX OBJETS CONNECTES
13. 13
Prise de conscience accompagnée d’une nouvelle réglementation
Le GDPR (Règlement général sur la protection des données) fut rédigé par la Commission européenne pour permettre
la modernisation des principes de protection des données personnelles datant de 1995 et adopté définitivement par
le Parlement européen le 14 avril 2016 et rentre en vigueur dès le 24 mai 2018.
« Consentement et information » : L’objectif est de donner plus de pouvoir aux citoyens de l’UE pour contrôler leurs
données personnelles en notamment responsabilisant les acteurs traitant des données (responsables de traitements
et sous-traitants).
« Privacy by design » : L’inclusion des mesures de protection des données dès la conception des produits (ex.
chiffrement).
« Droit à l’oubli » : La durée de conservation des données doit être limitée au strict minimum. Il est recommandé de
mettre en œuvre des archives où les accès sont restreints.
« Transfert hors UE » : Il est nécessaire de garantir la possibilité à un citoyen européen de faire exercer ses droits dans
les pays traitant ses données.
Des risques financiers de plus en plus présents
Le GDPR permet l’utilisation d’amendes administratives pouvant s’élever, selon la catégorie de l’infraction, de 10 ou
20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le
montant le plus élevé étant retenu.
Le risque de perdre des clients pousse de plus en plus de constructeurs à invertir des la sécurisation de leur produit.
LES OBJETS CONNECTÉS
PRISE DE CONSCIENCE ET RÉACTIONS DES CONSTRUCTEURS
14. Audit/Conseil en cybersécurité
David LUPONIS
Ligne directe : +33 1 49 97 64 65
Mob : +33 6 62 66 91 05
Mail : david.luponis@mazars.fr
www.mazars.com
61, rue Henri Regnault
92075 La Défense Cedex