Le document présente une analyse des objets connectés et de l'Internet des objets (IoT), en se concentrant sur l'authentification et la sécurité des données dans un environnement numérique. Il souligne l'importance d'une approche rigoureuse de gestion des identités pour aborder les défis liés à la transformation numérique et propose un cadre architectural pour l'IoT. Enfin, il évoque les enjeux et les nouvelles méthodes à développer pour s'adapter à ces technologies tout en tenant compte des limites des solutions existantes.

1. Identité des objets
Nouvelle discipline ou recyclage de vieilles recettes ?
7 juin 2017
Bertrand CARLIER
bertrand.carlier@wavestone.com
@bertrandcarlier

2. confidentiel | © WAVESTONE 2
Des clients leaders
dans leur secteur
2,500 collaborateurs
sur 4 continents
Parmi les leaders du conseil
indépendant en Europe,
n°1 en France
* Partenariats
Paris | Londres | New York | Hong Kong | Singapour* | Dubaï*
Bruxelles | Luxembourg | Genève | Casablanca
Lyon | Marseille | Nantes
Dans un monde où la capacité à se transformer est la clé du succès,
nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques

3. confidentiel | © WAVESTONE 3
Réussir sa
transformation numérique
grâce à la confiance numérique
UNE EXPERTISE EPROUVEE
/ Stratégie et Conformité
/ Transformation métier sécurisée
/ Architecture et programme sécurité
/ Identité, Fraude et Services de Confiance
/ Tests d’intrusion & Réponse à incident
/ Continuité d’Activité & Résilience
/ SI Industriel
NOS DIFFERENCIATEURS
/ Connaissance des risques métier
/ Méthodologie AMT pour les
schémas directeurs
/ Radars Innovation et Start-ups
/ CERT-W
/ Bug Bounty by Wavestone
Wavestone Cybersécurité & Confiance numérique
Nos clients
COMEX, Métier,
CDO, CIO, CISO, BCM
400+
Consultants
& Experts
1,000+
Missions par an
dans plus de
20 pays

4. confidentiel | © WAVESTONE 4
Définition : objets connectés et internet des objets
Objet connecté
/ Communication autonome
/ Énergétiquement pérenne
/ Contraint
› Puissance de calcul
› Stockage
/ En « environnement hostile »
Réseau de communication
/ Transmission des
données (up/down)
/ Longue portée ou
Internet traditionnel
/ Confiance limitée
Intelligence centrale
/ Collecte des données
/ Analyse
/ Prise de décision
« L’internet des Objets est une infrastructure mondiale pour la société de l’information, de saisie de données, qui permet de disposer de services évolués en
interconnectant des objets (physiques ou virtuels) grâce aux technologies de l’information et de la communication interopérables existantes ou en évolution »
- Définition internationale donnée par l’Union Internationale des Télécommunications

5. confidentiel | © WAVESTONE 5
Internet des Objets : architecture de référence
Objet
/ Capteurs
/ Actionneurs
/ Passerelle
Réseau
/ Internet
/ LoRa
/ Sigfox
Plate-forme IoT
/ Connectivité
/ Gestion des objets
/ Big Data
Entreprise
/ Gestion des objets
& utilisateurs
/ Applications &
services
Edge Platform Enterprise

6. confidentiel | © WAVESTONE 6
Internet des Objets : architecture de référence
Volumétrie
Authentification

7. confidentiel | © WAVESTONE 7
Volumétrie
IAM
Employés, prestataires,
partenaires
~100k
Clients, consommateurs
Customer IAM
> 1M
Objets
IAM of Things
>>1M

8. confidentiel | © WAVESTONE 8
Authentification
Un mot de passe est généré à la
fabrication de l’objet et écrit sur un
espace de stockage de l’objet.
Ce mot de passe circule sur le réseau lors
de l’établissement des connexions
(connect MQTT, basic authentication
HTTP, etc.)
 Vulnérable au reverse-engineering & à
l’écoute passive
Mot de passe
Un bi-clé est généré, idéalement par
l’objet, à la fabrication, la clé privée est
présente sur un espace de stockage de
l’objet, la clé publique (certificat) est
renseignée dans la plate-forme IoT
Ce bi-clé est utilisé lors de
l’établissement de connexions TLS
mutuel
 Vulnérable au reverse-engineering
Certificat logiciel
Un bi-clé est généré par un secure element
(puce crypto) de l’objet à la fabrication, la clé
publique (certificat) est renseigné dans la PF
IoT
Ce bi-clé est utilisé lors de l’établissement de
connections TLS mutuel
 L’objet reste vulnérable au reverse-
engineering applicatif
Secure Element

9. confidentiel | © WAVESTONE 9
Internet des Objets : architecture de référence
Volumétrie
Authentification
Réseaux
Protocoles

10. confidentiel | © WAVESTONE 10
S’adapter et concevoir la manière de retrouver les fonctions
de l’IAM : authentification client & serveur, chiffrement,
autorisations, mécanismes de jetons, etc.
Couche de transport & protocole applicatif
Couverture réseau & bande
passante réduites
Autonomie énergétique
Puissance & stockage limités
Contraintes
Réactivité temps réel
Big Data
Scalabilité & volumétrie “extrêmes”
Besoins
Des réseaux (eg. Sigfox, LoRa WAN) et des
protocoles (eg.MQTT, CoAP) ont été développés pour
répondre spécifiquement à ces conditions

11. confidentiel | © WAVESTONE 11
Internet des Objets : architecture de référence
Volumétrie
Authentification Modélisation des données
Réseaux
Protocoles
Shadow object

12. confidentiel | © WAVESTONE 12
Shadow object
Hostile Maitrisé
Entreprise B2B
Utilisateurs
APIs
APIs
APIs
Objet virtuel instancié sur un
serveur
Scalable & capable de
connectivité (APIs)
Non sujet au reverse-
engineering direct
Shadow object
Protocole léger
et sécurisé
Plate-forme IoT
Interragit directement avec
l’environnement (capteurs &
actionneurs)
Contraint en puissance et
connectivité
Sujet au reverse engineering
Object physique
Objet
Confiance

13. confidentiel | © WAVESTONE 13
Modélisation des entités
Certains objets, autonomes, agissent seuls
pour un certain nombre de cas d’usage.
Fonctionnellement, ce sont des identités à
part entière.
D’autres objets, auxiliaires, agissent
exclusivement au nom d’un utilisateur
apparié
Confiance zéro par défaut
Un objet, sujet par nature au reverse-
engineering, doit toujours être considéré
comme potentiellement compromis.
De la même manière qu’avec une
application mobile, aucun contrôle
effectué côté client ne doit être suffisant
Gestion des autorisations
Comme pour l’IAM traditionnel, des
principes de strict cloisonnement doivent
s’appliquer.
Les périmètres doivent être définis à l’aide
de règles claires et strictement appliquées
Modèle de données
Données
utilisateur
Données
utilisateur
délègue
consent

14. confidentiel | © WAVESTONE 14
Internet des Objets : architecture de référence
Volumétrie
Authentification Modélisation des données
Réseaux
Protocoles
Shadow object
Interlocuteurs
Cycle de vie

15. confidentiel | © WAVESTONE 15
Les cycles de vie diffèrent fortement entre
IAM, Customer IAM et IAM of Things :
/ Maîtrise des identités via une source autoritaire
/ Nombre et nature des statuts des identités
/ Nombre et complexité des habilitations
Les outils sont donc généralement très
spécifiques aux usages rencontrés
/ Suivi du cycle de vie
/ Connecteurs enterprise / CRM / gestion de flotte
Cycle de vie : IAM, CIAM, Objet connecté
Cycle de vie IAM
Cycle de vie du client - CIAM
Cycle de vie objets connectés
Cycle de c
Octroi de droits
d’accès et des
droits
informatiques
Modification des
droits
Renouvellement
des équipements
Mobilité
Self-service
( )Absence
Identifié
Connu
Fidélisé
Achats
Réductions
Distribution
Initialisation
Utilisation
Revente
Mise à jour
Arrivée
Départ
Retrait des droits d’accès
et des droits informatiques
Anonyme
Abandon
Réseaux sociaux
Fin de vie
Conception et
fabrication

16. confidentiel | © WAVESTONE 16
Un changement d’interlocuteurs
IAM
Customer IAM
IAM of Things
Objets
Innovation
Supply Chain & Fabrication
Stratégie
B2E
Ressources humaines
Communications internes
Applications
Clients
Marketing
Métiers
Ventes

17. confidentiel | © WAVESTONE 17
Internet des Objets : architecture de référence
Volumétrie
Authentification Modélisation des données
Réseaux
Protocoles
Shadow object
Interlocuteurs
Cycle de vie
Mais surtout
/ De nouveaux enjeux à s’approprier
/ De nouveaux patterns à créer
Quelques vieilles recettes à recycler…
… et les limites associées

18. wavestone.com
@wavestone_
riskinsight-wavestone.com
@Risk_Insight
securityinsider-solucom.fr
@SecuInsider
Bertrand CARLIER
Senior Manager
M +33 (0)6 18 64 42 52
bertrand.carlier@wavestone.com

19. PARIS
LONDRES
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
SAO PAULO *
LUXEMBOURG
MADRID *
MILAN *
BRUXELLES
GENEVE
CASABLANCA
ISTAMBUL *
LYON
MARSEILLE
NANTES
* Partenariats