SlideShare une entreprise Scribd logo
Licence Creative Commons
• Ce document est sous une licence Creative Commons
https://fr.wikipedia.org/wiki/Licence_Creative_Commons
Attribution
Pas d'utilisation commerciale
Sécurité de l'IoT 1
Sécurité de l’IoT
Internet des objets v1.0
3 novembre 2016
Modifié octobre 2018
Tactika inc.
Table des matières
1. Qui suis-je
2. Contexte
3. Définition de l’IoT
4. Sécurité de l’information et IoT
5. Gestion du risque
6. Étude de cas
Sécurité de l'IoT 3
1. Qui suis-je ?
Clément Gagnon
 clement.gagnon@tactika.com
 Spécialiste en sécurité de l’information
 34 ans d’expérience dans les TI
 Entreprises : Tactika inc. et ID-M (en démarrage)
 www.tactika.com
 Id-m.me
 Certifications : CISSP, CISA, CCSK, ISO2700x …
 Domaines d’intervention
 Gestion des risques
 Architecture de sécurité et de réseautique
 Infonuagique
 Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux
 Participer à l’implantation de services infonuagiques
 Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou
4Sécurité de l'IoT
2. Contexte
• L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le
pire !
• IoT est déjà très présent dans nos vies et nous n’avons encore rien vu
• Vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente
(et forcément connectée), etc
• Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information
Sécurité de l'IoT 5
Pourquoi se préoccuper de la sécurité de l’IoT ?
• IoT peut compromettre la vie privée et la propriété
• IoT peut servir de base pour des attaques de grande envergure sur
des d’infrastructures qui sont critiques :
• Internet (DDOS)
• Réseaux nationaux ou régionaux d’alimentation électrique
• Système financier et de commerce
Sécurité de l'IoT 6
Quelques cibles …
• Automobile
• Système industriel
• Système de chauffage
• Système d’alarme
• Équipement médical
• Surveillance audio et vidéo
• Etc.
Sécurité de l'IoT 7
Pourquoi l’IoT ?
• Révolution industrielle : un objet n’est plus un « produit » mais un
« service »
Ian Hughes, analyste à 451 Research
• Les nouvelles fonctions des objets grâce à :
• Connectivité Internet qui s’étend partout sur la planète et même plus !
• Capacité de traitement exponentielle
• Miniaturisation extrême de l’électronique
• Géolocalisation
• Réseaux sociaux
• Mobilité
• Collecte d’informations environnementales massives
• Accès aux services infonuagiques
Sécurité de l'IoT 8
Motivations
• Pour l’industrie, IoT permettra de
• Diminuer les coûts d’opération (connectivité et dispositifs à faible coût)
• Augmenter la productivité (connectivité et mobilité)
• Ouvrir des nouveaux marchés ou développer des nouvelles offres et produits
• Domaines
Sécurité de l'IoT 9
Manufacturier Minier, gazier et pétrolifère Logistique
Transport Assurances Service de santé
Militaire Maison & bâtiment
intelligents
Bancaire et financier
Agriculture Services alimentaires Ville intelligente*
Infrastructure Énergie Hébergement
Commerce de détail
http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7
IoT est un marché énorme !
Sécurité de l'IoT 10
Billion = milliard
Trillion = billion (fr) ou mille milliards
Les marchés
Sécurité de l'IoT 11
http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7
Billion = milliard
Trillion = billion (fr) ou mille milliards
IoT et le ROI
• Pour les prochains 5 ans (2015 @ 2020)
• Investissement : 6 000 milliards $US
• Retour sur l’investissement : 13 000 milliards $US
• 24 milliards de dispositifs IoT en 2020
Sécurité de l'IoT 12
http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7
Billion = milliard
Trillion = billion (fr) ou mille milliards
Les enjeux et irritants de l’IoT
• Sécurité
• Protection de la vie privée
• Déploiement
• Vétusté de l’existant
• Expertise et compétence
• Coût
• Technologique
• Complexité
• Fragmentation
• Cycle de vie
• Pérennité et obsolescence des technologies
Sécurité de l'IoT 13
3. Définition de l’IoT
« L'Internet des objets (IdO ou IoT pour Internet of Things en anglais)
représente l'extension d'Internet à des choses et à des lieux du monde
physique.
Considéré comme la troisième évolution de l'Internet, baptisée Web
3.0 (parfois perçu comme la généralisation du Web des objets mais aussi
comme celle du Web sémantique) qui fait suite à l'ère du Web social,
l'Internet des objets revêt un caractère universel pour désigner des objets
connectés aux usages variés, dans le domaine de la e-santé, de
la domotique ou du Quantified Self. »
https://fr.wikipedia.org/wiki/Internet_des_objets
Sécurité de l'IoT 14
Une simple définition de l’Internet des objets
• L’Internet des objets désigne les objets physiques dotés de capacité
de traitement de l’information et d’une connectivité réseau
permettant de communiquer avec d’autres entités (objets, réseaux,
services ou humains)
• « The “Internet of Things” refers to physical objects that have embedded network and
computing elements and communicate with other objects over a network. »
Internet of things, risk and value considerations, ISACA
• Internet of Everything
• Internet of shit
• bad Internet neighborhood
Sécurité de l'IoT 15
Domaines des objets connectés
• Objets de consommation de masse / Consumer IoT Devices
• Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc
• eSanté / Smart Health Devices
• Hopitaux, télé-santé, assurances
• Objets industriels / Industrial IoT Devices
• SCADA : Supervisory Control and Data Acquisition
• Distribution électrique / Power Grid
• Compteurs intelligents
• Militaires
• Villes intelligentes / Smart Cities
• Infrastructure / Smart City Infrastructure and Services
• Transport / Smart Transportation
• Eau
• Sécurité publique
• Relation avec le citoyen / démocratie
Sécurité de l'IoT 16
La ville intelligente
Sécurité de l'IoT 17
Ville intelligente et les données
Sécurité de l'IoT 18
Iot et le domaine industriel : HVAC, SCADA
Sécurité de l'IoT 19
HVAC Heating, ventilation, air conditionning
SCADA Supervisory Control and Data Acquisition
Écosystème des objets connectés
Sécurité de l'IoT 20
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de services
LES AUTRES
INTERNET
Réseaux
sociaux
Bots
CLOUD
IoT et le cloud
Le Cloud Computing est un modèle de prestation de services TI
dématérialisée qui repose sur les technologies Internet et la
virtualisation.
 Libre service et sur demande
 Élastique, extensible (scalable)
 Accessible par un réseau de type TCP/IP (i*net)
 Partagé, multi-locataire (multi-tenant)
 Utilisation mesurée ( éventuellement facturée )
 Niveau de service déterminé (entente de service / SLA )
Analogie entre les TI et l’électrification
Les services TI deviennent une commodité
21La sécurité dans le Cloud - Clément Gagnon - Tactika inc.
Puissance de traitement, stockage de données, logiciels, accessible partout, extensible,
facturé à l’utilisation
Vue fournisseur : partagé, multilocataire,
virtualisation
22
Fournisseur
Opérateur
clement.gagnon@tactika.com
La sécurité dans le Cloud - Clément Gagnon - Tactika inc.
Exemple
NetATMO
Sécurité de l'IoT 23
Plateforme web NetATMO
Sécurité de l'IoT 24
Fournisseurs
de services
INTERNET
Réseaux
sociaux
CLOUD
Population mondiale et IoT
Sécurité de l'IoT 25
Billion = milliard
Trillion = billion (fr) ou mille milliards
Considérations techniques en regard de l’IoT
• Attributs et fonctions des objets: identification et adressage des
objets, capacité de traitement de l’information, connectivité et
interaction avec l’environnement (captation et action)
• Communication initiée automatiquement d’objet à objet et d’objet à
humain
• Croissance exponentielle du volume de données collectées,
conservées et traitées (incluant des données personnelles) provenant
de différentes sources
• Les objets sont hétérogènes
Sécurité de l'IoT 26
IoT et IPv6
• La quantité d’objets connectés exige une capacité d’adressage
énorme
• Les adresses IPv4 se sont taries …
• IPv6 permet un espace de 2128 d’adresses IP ou
340 282 366 920 938 463 463 374 607 431 768 211 456
• “nous pouvons donner une adresse IPV6 à chaque atome sur Terre et
nous pouvons le faire pour 100 autres planètes comme la Terre”
Steven Leibson (traduction libre)
Sécurité de l'IoT 27
Sécurité de l'IoT 28
Volumétrie et grands nombres
• Yotta : mille mille milliards de milliards
• Zetta : mille milliards de milliards
• Exa : milliards de milliards
• Peta : million de milliards
• Tera : mille milliards
• Giga : milliard
• Méga : million
Sécurité de l'IoT 29
b : 1 bit
B(ytes) ou O(ctet) : 8 bits
1 zB = 8 zb
Qu’est-ce qui produit ces données ?
• Ce n’est pas forcément de l’information pour les humains !
• M2M ou « machine to machine »
• Échanges et réécritures
• Multimédias
• Recopies
• 80% de données non structurées
• 20% de données structurées
• Croissance de + 32% par an
• 80 Exaoctets de trafic Internet par mois en 2015
• Exa : milliards de milliards
• 1 milliard de téléphones intelligents en 2015
Sécurité de l'IoT 30
Volumétrie des données produites par l’IoT
Sécurité de l'IoT 31
Volumétrie des données de l’automobile connectée
Sécurité de l'IoT 32
Notions de base de l’IoT : objet et dispositif
• Objet (Thing) : Un objet de la vie quotidienne (par exemple:
automobile, grille-pain) par abstraction et selon le contexte peut-être
une maison ou ville avec une « intelligence »
• Dispositif (Device): Senseur (sensor), actionneur (actuator) ou
marqueur (tag). Un dispositif fait partie d’un objet. Habituellement, le
dispositif passe de l’information ou reçoit de l’information de l’objet.
Ce dernier la traite et peut la communiquer à des entités (objet,
service ou humain)
Sécurité de l'IoT 33
Écosystème des objets connectés (détail)
Sécurité de l'IoT 34
THE INTERNET OF THINGS “Smart” Products Demand a Smart Strategy Using M&A for a Competitive Edge, Woodside Capital Partners
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de services
LES AUTRES
INTERNET
Réseaux
sociaux
Bots
CLOUD
Flux d’informations de l’IoT et la création de
valeur
Sécurité de l'IoT 35
THE INTERNET OF THINGS “Smart” Products Demand a Smart Strategy Using M&A for a Competitive Edge, Woodside Capital Partners
IoT et le Wot Web of Thing
Couches technologiques
Sécurité de l'IoT 36
Couches
technologiques
Sécurité de l'IoT 37
Liens envers d’autres entités
Sécurité de l'IoT 38
Dialogue
Sécurité de l'IoT 39
Empreinte des communications Internet et
autres des objets
• Les objets sont connectés et ils
sont en relation avec des entités,
principalement des « services »
• Les communications sont établies
automatiquement, contrôlées par
des algorithmes
• L’exemple ci-contre présente les
« services » exploités par le
bracelet Fitbit
Sécurité de l'IoT 40
The 2015 Internet of Things in the Enterprise Report, OpenDNS
Accès Internet des
« smart TV »
Samsung
Sécurité de l'IoT 41
The 2015 Internet of Things in the Enterprise Report, OpenDNS
Cette illustration présente la vue
d’ensemble des communications
Internet entre les télévisions
intelligentes Samsung et des
« entités » dans Internet.
Trafic visible et analysé par
OpenDNS.
Accès Internet des
« smart TV » Samsung
Sécurité de l'IoT 42
Détail des sites Internet qu’une
« smart TV » Samsung
se connecte
Architecture de l’IoT
• Pour comprendre la sécurité de l’information , il est important de
comprendre l’architecture des solutions IoT
• Les éléments d’un objet
• Connectivité
• Pile de protocole
• Interface réseau
• Traitement
• Code
• Interface physique à son environnement
• Senseur, activateur, étiquette
• Lien vers d’autres entités (service dans le cloud, interface de gestion, interface
pour l’exploitation et l’opération)
Sécurité de l'IoT 43
Connectivité
• La connectivité est un élément
essentiel pour assurer l’échange
des informations entre les
composants de l’écosystème IoT
• Protocoles et médiums de
communication : WiFi, BLE,
Zigbee, ZWave, 6LoWPAN et
cellulaire (3G, LTE et 5G)
Sécurité de l'IoT 44
Traitement
• Le traitement de l’information est possible par un système d’exploitation
ou d’un micro-code selon la sophistication de l’objet connecté
• Systèmes d’exploitation
• QNX (Blackberry)
• Linux sous diverses déclinaisons
• Windows
• Codes
• Processeurs
• Puces ARM, Intel, etc.
• Nano-ordinateur Raspberry Pi, etc.
• Micro-contrôleurs
Sécurité de l'IoT 45
Iot SoC System on a Chip
Sécurité de l'IoT 46
http://electronicdesign.com/analog/define-analog-sensor-interfaces-iot-socs
Interfaces physiques
Sécurité de l'IoT 47
• Senseurs
• Actuateurs
• Tag
4. Sécurité de l’information et IoT
• Comment le dispositif sera utilisé à partir d'un point de vue commercial, et quelle valeur
entreprise devrait?
• Quelles menaces sont anticipées, et comment sont-elles être atténuées?
• Qui aura accès à l'appareil, et comment leur identité sera établie et éprouvée?
• Quel est le processus de mise à jour du dispositif dans le cas d'une attaque ou de
vulnérabilité?
• Qui est responsable du suivi de nouvelles attaques ou vulnérabilités relatives à l'appareil?
• Demandez des scénarios de risque a évalué et comparé à la valeur commerciale prévue?
• Quelles informations personnelles sont collectées, stockées et / ou traitées par le
dispositif ?
• Faites les personnes dont les renseignements sont recueillis savent qu'il est collecté et
utilisé, et ont-ils donné leur consentement?
• Avec qui les données seront partagées?
Sécurité de l'IoT 48
Vérifiez votre sécurité IoT avec Shodan
Le Google de l’IoT
• Shodan est un site web
spécialisé dans la recherche
d'objets connectés à Internet, et
ayant donc une adresse IP visible
sur le réseau
• Il permet ainsi de trouver une
variété de serveurs web,
de routeurs ainsi que de
nombreux périphériques tels
que des imprimantes ou des
caméras
• http://iotscanner.bullguard.com/
Sécurité de l'IoT 49
http://iotscanner.bullguard.com/
• Scanner IoT
• Vérification si votre adresse IP
est répertoriée dans Shodan
Sécurité de l'IoT 50
Analyse de sécurité IoT de la firme OpenDNS
The 2015 Internet of Things in the Enterprise Report
• Trois principaux risques
• IoT introduit des nouvelles surfaces d’exposition aux menaces
• IoT est parfois (souvent ?) hors de la juridiction des départements TI et de l’utilisateur
• IoT est souvent laissé sans surveillance et sans processus de mise à jour et d’application des
correctifs logiciels et de sécurité
• Les dispositifs ou infrastructures IoT sont exposés à des attaques connues comme FREAK et
Heartbleed
• Les industries de l’IoT de par les vulnérabilités de leurs plateformes exposent leurs clients
• Les appareils de consommation de masse tels que Dropcam, appareils de fitness Fitbit,
périphériques de stockage NAS "My Cloud", Samsung Smart TV et divers dispositifs médicaux
connectés se connectent en continu sur des serveurs aux États-Unis, en Asie et en Europe, même
lorsqu'ils ne sont pas utilisation
• Sondage de 500 professionnels en TI et sécurité : 23% n’implantent aucunes mesures de sécurité
spécifiques pour l’IoT
Sécurité de l'IoT 51
État de situation de la sécurité de l’IoT par HP
Sécurité de l'IoT 52
Enjeux de sécurité de l’IoT
• Disponibilité, Intégrité et confidentialité des services reposant sur IoT
• Ex. alimentation électrique, objets médicaux
• Prise en compte de la sécurité dès la conception d’une solution
• Variation des risques selon le domaine d’utilisation
• Domaine médical, militaire, etc
• Préservation de la vie privée versus la traçabilité, profilage et usage illicite
• Croissement des données et des usages autres que ceux prévus
• Impossibilité de protéger les données par une utilisation en « arrière boutique »
• Attaques ciblées sur les systèmes IoT
• Verrouillage de l’utilisateur vers une technologie IoT
• Impact sur prestation des services de santé et IoT
• Prolifération des senseurs et données, données personnelles, fiabilité des données, formats et normes, risques sur la santé
• Perte de contrôle sur l’utilisation et la propriété des données personnelles
• Difficulté de déterminer la législation applicable
Sécurité de l'IoT 53
Qu’est-ce que la vie privée ?
 Tout ce qu’une personne veut garder secret en s’aménageant
«une zone à l’abri de l’ingérence d’autrui»
 «la volonté de l’individu à vouloir se protéger»
 «le pouvoir d’interdire à des tiers d’avoir accès à sa vie
personnelle, afin d’en préserver l’anonymat. Le droit de
l’individu de passer inaperçu»
Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf
Sécurité de l'IoT 54
« La vie privée pourrait en réalité être une
anomalie. » Vint Cerf
• Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New
Haven, Connecticut, États-Unis, est un ingénieur
américain, chercheur et co-inventeur avec Bob
Kahn du protocole TCP/IP. Il est considéré comme l'un
des pères fondateurs d'Internet …
• En 2005, il est engagé par Google Inc. comme
Chef évangéliste de l'Internet (Chief Internet Evangelist)
Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726
Source de la bio : http://fr.wikipedia.org/wiki/Vint_Cerf
Sécurité de l'IoT 55
Repérer et traiter les renseignements personnels
• Identifier les lois et règlements qui doivent s’appliquer
• Établir une politique en ce qui concerne les renseignements personnels
• Identifier les informations que le dispositif recueille, d'où elles proviennent
• Elle est utilisée pourquoi, avec qui elle est partagée et à quelles fins
• Les objectifs «secondaires» (comme le marketing ou le ciblage)
• Limiter la collecte et la conservation de l'information à ce qui est raisonnable et nécessaires pour faire
fonctionner l'appareil.
• Décrire les pratiques de gestion des renseignements personnels de façon simple et claire
• Obtenir le consentement
• Analyser les risques
• Comprendre les limitations techniques de l'appareil qui peuvent avoir une incidence sur la sécurité.
• Comprendre l'environnement de menace existant.
Sécurité de l'IoT 56
Sécurité de l’information
• La sécurité de l’information regroupe l’ensemble des moyens
organisationnels, technologiques, humains et juridiques permettant de
gérer les risques et leurs impacts à l’égard de la disponibilité de
l’information, de sa confidentialité et de son intégrité.
• La sécurité des systèmes d'information vise les objectifs suivants (DIC) :
• La disponibilité : Un système doit fonctionner sans faille durant les plages
d'utilisation prévues et garantir l'accès aux services et ressources installées avec le
temps de réponse attendu.
• L'intégrité : Les données doivent être intactes, et ne doivent pas être altérées de
façon fortuite, illicite ou malveillante.
• La confidentialité : Seules les personnes autorisées et avec les habilitations requises
ont accès aux informations.
Sécurité des systèmes d'information
• D'autres aspects peuvent aussi être considérés comme des objectifs
de la sécurité des systèmes l'information, tels que :
• La traçabilité : garantie que les accès et tentatives d'accès aux éléments
considérés sont journalisés et que les journaux sont conservées et
exploitables.
• L'authentification : Validation de l’identité des utilisateurs (et systèmes) afin
de gérer les accès aux informations et les services et maintenir la confiance.
• La non-répudiation (irrévocabilité) et l'imputation : Aucun utilisateur
(système) ne doit pouvoir contester les opérations qu'il a réalisées dans le
cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les
actions d'un autre utilisateur.
Sécurité des systèmes d'information, wikipédia
Sécurité de l'IoT 58
Équilibre entre la sécurité, les exigences
d’affaires et la technologie
• Une sécurité de l’information
efficiente et efficace est un
équilibre entre ces trois
éléments
Sécurité de l'IoT 59
Exigences
d’affaires
Exigences de
sécurité
Coût et capacité
technologiques
Normes et la sécurité IoT
IoT Security Standard (ISS)
• Grandes normes de sécurité
• ISO 27001 et ISO 27002
• Normes spécifiques
• NERC-CIP : réseau électrique nord-américain
• IEC-62443 : contrôle et automatisation de type industriel
• IEEE P1363 PKI - Public-Key cryptography,
• IEEE P1619 chiffrement dispositifs amovibles et fixes
• IEEE P2600 protection imprimante et copieur
• IEEE 802.1AE & IEEE 802.1X sécurité réseau
• NIST
• Bonnes pratiques
• ENISA, CSA, OWASP
Sécurité de l'IoT 60
Impact(s)
sur les actifs
Risque : les menaces et les mesures technologiques
de sécurité
RISQUE
Vulnérabilité(s)
Mesure(s)
de sécurité
Menace(s)
Agents
Sécurité de l'IoT 61
Agent
Humain Non-humain Désastre
Malveillant Non-malveillant
InterneExterne
Pirate, criminel,
terroriste, cyber-vandale
Employé malveillant
Erreur, ignorance,
méconnaissance
Panne, bris matériel
ou logiciel
Événement naturel,
Guerre, émeute, etc
Probabilité : Événement
extérieur, imprévisible,
irrésistible et
insurmontable de
nature à dégager de
toute responsabilité,
usure, fin de vie de
matériel
Les éléments
déclencheurs
Motivation :
criminelle,
politique,
économique,
vandalisme,
recherche de
publicité, etc.





🌪🐞
Sécurité de l'IoT 62
Menaces
Cibles
Identifiant/compte
Processus
Données
Composant
Ordinateur
Réseau
Protocole réseau
Vulnérabilités
Design
Implantation
Configuration
Résultats
Élévation de privilège
Accès à l'information
Corruption d'information
Déni de service
Usage de ressources
 Menace : Événement potentiel et
appréhendé, de probabilité non
nulle, susceptible de porter atteinte
à la sécurité informatique (OQLF)
 Une menace exploite une ou des
vulnérabilités afin d’atteindre une
cible grâce à une action
 Lorsque l’attaque est réussie, le
résultat permet de produire un
impact (disponibilité, intégrité et
confidentialité) sur la cible
(1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie
considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”.
https://www.enisa.europa.eu/activities/cert/support/incident-management/files/good-practice-guide-for-
incident-management
Actions
Authentifier
Contourner
Usurper
Saturer
Lire
Copier
Voler
Modifier
Détruire
Détourner
Balayer
Sonder
Sécurité de l'IoT 63
Mesures de contrôle ou de sécurité
ISO 27002
A.5 Politiques de SI
A.5.1 Engagement du management
A.6 Organisation de la SI
A.6.1 Organisation interne
A.6.2 Appareils mobile et télétravail
A.7 Sécurité des ressources humaines
A.7.1 Avant l'engagement
A.7.2 Durant l'emploi
A.7.3 Fin ou changement d'emploi
A.8 Gestion des actifs
A.8.1 Responsabilité envers les actifs
A.8.2 Information classifiée
A.8.3 Manipulation des actifs
A.9 Contrôle d'accès
A.9.1 Exigences d'affaires pour le contrôle d'accès
A.9.2 Gestion des accès des utilisateurs
A.9.3 Responsabilités des utilisateurs
A.9.4 Contrôle d'accès aux systèmes et aux applications
A.10Cryptographie
A.10.1 Contrôles cryptographiques
A.11 Sécurité physique et environnementale
A.11.1 Aires contrôlées
A.11.2 Équipements
A.12 Gestion des opérations
A.12.1 Responsabilités et processus opérationnelles
A.12.2 Protection contre les logiciels malveillants
A.12.3 Copie de sécurité
A.12.4 Journaux et surveillance
A.12.5 Contrôle des logiciels
A.12.6 Gestion des vulnérabilités techniques
A.12.7 Considérations pour les audits des systèmes
A.13 Sécurité des communications
A.13.1 Gestion de la sécurité du réseau
A.13.2 Transfert des informations
A. 14 Acquisition, développement et maintenance des systèmes d'information
A.14.1 Exigences de sécurité pour les systèmes d'information
A.14.2 Sécurité dans le développement et le support
A.14.2.9 Essai d'acceptation des systèmes
A.14.3 Données d'essais
A.15 Relations avec le fournisseurs
A.15.1 La sécurité de l'information du fournisseur
A.15.2 Gestion de la délivrance de service du fournisseur
A.16 Gestion des incidents de sécurité
A.16.1 Gestion des incidents de sécurité
A.16.1.7 Collecte de la preuve
A.17 Continuité de service et sécurité de l'information
A.17.1 Continuité de service
A.17.2 Infrastructure redondante
A.18 Conformité
A.18.1 Conformité au cadre légal et au cadre contractuel
A.18.1.5 Conformité légale de l'utilisation de la cryptographie
A.18.2 Audit de l'implantation de la sécurité de l'information
Sécurité de l'IoT 64
Processus de sécurité
•Sensibilisation des
utilisateurs
•Surveillance
•Gestion des incidents
•Audit
•Surveillance
•Mise en production
•Veille technologique et de
sécurité
•Gestion des identités et des accès
•Gestion des accès privilégiés
•Processus de catégorisation
•Gestion d’infrastructure
Contrôle
d’accès
Gestion des
identités et
des
habilitations
Détection
des
intrusions
Gestion des
vulnérabilités
Sécurité de l'IoT 65
66
En résumé …
 Une mesure ou des mesures de sécurité sont mises en œuvre pour contrer une ou des menaces afin de
contrôler, mitiger ou éliminer les risques
 Si malgré la mesure de sécurité
• La menace réussit à atteindre un actif informationnel
• Si cet actif informationnel est vulnérable
• Alors cette attaque est réussie
• Il aura un impact sur sa disponibilité et/ou intégrité et/ou confidentialité de l’actif
Document à circulation restreinte
Sécurité de l'IoT
Contre quelles attaques devons nous protéger ?
Scénarios « importants et émergents » d’attaque (2)
Une analyse sérieuse et documentée par l’ENISA de 250 rapports
mondiaux a permis l’identification des 15 scénarios d’attaque les
plus importants et émergents pour l’année 2013
1. Téléversement sournois
2. Ver/Cheval de Troie
3. Injection de code
4. Trousse d’outils d’exploitation de vulnérabilité
5. Réseau d’ordinateurs « zombies » / Botnets
6. Perte / vol / destruction
7. Vol d’identité
8. Déni de service
9. Hameçonnage
10. Pourriel
11. Logiciel Malveillant accompagné de menace, demande de
rançon, etc
12. Perte / fuite d’information confidentielle
13. Perte / fuite d’information sensible
14. Attaque ciblée
15. Sites web pour leurrer
(2) Source : ENISA Threat Landscape 2013, European Union Agency for Network and Information Security
67 Sécurité de l'IoT
Scénario d’attaque
 Les menaces peuvent se combiner entre elles pour former un scénario
d’attaque selon une séquence :
Reconnaissance  Chargement  Feu  Exploitation  Installation 
Commandement/Contrôle  Exécution
 Exemples de scénario d’attaque
• Balayage par un bot
• Exploitation par une attaque par la force brute
• Modification de paramètres
• Injection de code malveillant
• Balayage dans le réseau local
• Rattachement à un réseau de botnets (C&C)
• Attente d’instruction pour une attaque de DDOS …
68 Sécurité de l'IoT
Les surfaces d’attaque
Sécurité de l'IoT 69
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de services
INTERNET
Réseaux
sociaux
Bots
CLOUD
Vue générale des menaces
70
Client Web
 Code malveillant
 XSS (cross site
scripting)
Accès à la ressource
Web
 Phishing
DNS poisoning Infrastructure
télécom
Déni de service
Application & plate-
forme
 Injection SQL
 Code malveillant
Déni de service
Attaque brute sur
l’authentification
Infrastructure
 Code malveillant
Attaque brute sur
l’authentification
Déni de service
Infrastructure télécom
Déni de service
La sécurité et le Cloud Computing - Clément Gagnon - Tactika inc.
clement.gagnon@tactika.com
Aperçu des menaces pour le cloud
BOF, Injection SQL, Déni de service, Attaque brute
sur l’authentification
Changement non annoncé ou non planifié
Code malveillant, Attaque brute sur
l’authentification, Attaque sur l’hyperviseur,
Déni de service
clement.gagnon@tactika.com
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant, XSS
(cross site scripting), Phishing, DNS poisoning
Panne, désastre, Interception (MITM), déni de service
Panne, désastre,
injection de code, mauvaise paramétrisation
Humain : ingénierie sociale, malveillance
Client Web : Code malveillant,
XSS (cross site scripting), Phishing, DNS poisoning
Sécurité de l'IoT 71
Principales mesures de contrôle
Contrôle d’accès authentification (forte), réseau
Détection des intrusions
Contrôle d’accès : authentification (forte) & réseau
Détection des intrusions, journalisation
clement.gagnon@tactika.com
Chiffrement, lien sécurisé
Relève, redondance
Anti-virus, anti-logiciel espion, correctif
Anti-virus, anti-logiciel espion, correctifs
Contrôle d’accès physique de l’infrastructure
Contrôle d’accès authentification (forte), réseau
Signature et chiffrement
Contrôle des vulnérabilités : correctifs
Relève, redondance
Journalisation, anti-virus, anti logiciel-espion, IDS/IPS
Sécurité de l'IoT 72
Surface d’attaque de l’auto connectée
Sécurité de l'IoT 73
GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document
Surface d’attaque système de transport intelligent
Sécurité de l'IoT 74
OWASP et IoT
• OWASP ou le Open Web Application Security Project « est une
organisation caritative enregistrée 501(c)(3) aux États-Unis depuis
2004 et enregistrée en Europe depuis juin 2011 en tant
qu’Organisation à but non lucratif qui supporte les infrastructures et
projets OWASP. OWASP est aujourd'hui reconnue dans le monde de la
sécurité des systèmes d'information pour ses travaux et
recommandations liées aux applications Web. » wikipedia
• Elle a produit une liste des dix risques de sécurité les plus critiques
pour l’IoT.
Sécurité de l'IoT 75
10 principaux risques de l’IoT selon OWASP
I1. Interface web non sécuritaire
I2. Authentification et habilitation faibles
I3. Services réseaux non sécuritaires
I4. Chiffrement faible ou absent du service réseau
I5. Enjeux de protection de la vie privée
I6. Interface non sécuritaire des services infonuagiques
I7. Interface vulnérable des services mobiles
I8. Configuration minimale de la sécurité
I9. Logiciel/microcode/système d’exploitation non sécuritaire
I10. Sécurité physique déficiente
Sécurité de l'IoT 76
I1. Interface web non sécuritaire
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou
externe par le net
Attaque brute,
« replay », mots de
passe communs ou
par défaut,
Injection SQL, XSS
Absence de
verrouillage du
compte après de
multiples accès
infructueux
Conséquence de
perte de données,
prise de contrôle,
déni de service,
perte de
d’imputabilité
Équipement
compromis et les
conséquences
envers les clients
Mesures de sécurité
• Modification du mot de passe d’administration à l’installation
• Procédure de récupération des mots de passe robuste
• Protection contre les injections SQL et le XSS
• Protection du trafic contre l’écoute
• Politique stricte de création de mot de passe
• Verrouillage de compte après plusieurs tentatives d’accès infructueuses
Sécurité de l'IoT 77
I2. Authentification et habilitation faibles
Sécurité de l'IoT 78
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Tous ceux qui ont
accès aux interfaces
web, mobile, cloud
par Internet
Attaque brute,
mécanisme de
récupération de mot
de passe
Faible protection
des informations,
manque de
granularité des
habilitations
Corruption, perte
d’imputabilité, déni
de service, perte
d’intégrité complète
ou partielle
Vols d’information,
comptes compromis
modifications. Vol,
destruction,
infection de
données non
autorisés
Mesures de sécurité
• Mécanisme robuste de gestion de l’authentification et de l’habilitation (RBAC, authentification forte)
• Imposition d’une politique de complexité des mots de passe
• Journalisation
• Procédure de récupération des mots de passe robuste
• Protection contre les injections SQL et le XSS
• Protection du trafic contre l’écoute
• Politique stricte de création de mot de passe
• Verrouillage de compte après plusieurs tentatives d’accès infructueuses
I3. Services réseaux non sécuritaires
Sécurité de l'IoT 79
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou
externe par le net
Attaque sur le
protocole
(saturation, trafic
anormal, etc) sur le
dispositif ou comme
point d’appui vers
un autre dispositif
Mauvais code de la
pile de protocole,
services réseaux
non nécessaires qui
sont activités
Déni de service,
possibilité
d’escalade de
privilège
Perte de
disponibilité, vol de
ressources
Mesures de sécurité
• Ouvrir uniquement les ports nécessaires
• Appliquer les correctifs de sécurité
• Faire des tests d’intrusions
• Implanter des mesures contre le déni de service
• Déactiviter les fonctions non nécessaire : uPnP
I4. Chiffrement faible ou absent du service
réseau
Sécurité de l'IoT 80
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou
externe par le net
Capture du trafic
pour lecture ou
modification
Trafic transmis en
clair sans
mécanisme de
chiffrement
Perte de
confidentialité,
perte d’intégrité des
informations
Perte de crédibilité,
leurre possible
Mesures de sécurité
• Forcer l’utilisation du trafic chiffré : SSL/TLS, ssh et etc.
• Utiliser uniquement des protocoles normalisés
I5. Enjeux de protection de la vie privée
Sécurité de l'IoT 81
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Tous les accès aux
équipements, aux
réseaux, aux
applications mobiles
et autres, aux
services
infonuagiques
Multiples vecteurs:
authentification
faible, absence de
chiffrement,
interface non
sécuritaire
Mauvais design,
code vulnérable, pas
de chiffrement, pas
de durcissement
Perte de
confidentialité,
perte d’intégrité des
informations
Perte de crédibilité,
fuite d’informations,
infractions légales
Mesures de sécurité
• Collecter uniquement les informations nécessaires, le temps nécessaire et dans les dispositifs requis
• Assurer qu’uniquement les individus habilités et nécessaires peuvent accéder les informations personnelles
• Assurer une sécurité robuste avec les mesures adéquates
I6. Interface non sécuritaire des services
infonuagiques
Sécurité de l'IoT 82
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou
externe par internet
Multiples vecteurs:
authentification
faible, absence de
chiffrement,
interface non
sécuritaire sur
l’interface cloud
Mécanisme
d’authentification
faible, absence de
chiffrement
Perte d’intégrité,
compromission des
informations et de
l’ensemble ou une
partie du système
Perte de crédibilité,
infraction vis à vis
de la PRP
Mesures de sécurité
• Politique robuste de gestion des mots de passe
• Verrouillage d’accès après des accès infructueux
• Journalisation
• Protection contre les XSS et injection SQL
• Utilisation de l’authentification forte
I7. Interface vulnérable des services mobiles
Sécurité de l'IoT 83
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès interne et/ou
externe par internet
Multiples vecteurs:
authentification
faible, absence de
chiffrement,
interface non
sécuritaire,
mécanisme de
récupération de mot
de passe
Trafic transmis en
clair sans
mécanisme de
chiffrement
Perte de
confidentialité,
perte de contrôle du
système
Perte de crédibilité,
perte de contrôle
sur les ressources
de la clientèle
Mesures de sécurité
• Politique robuste de gestion des mots de passe
• Verrouillage d’accès après des accès infructueux
• Journalisation
• Protection contre les XSS et injection SQL
• Utilisation de l’authentification forte
I8. Configuration minimale de la sécurité
insuffisante
Sécurité de l'IoT 84
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès au dispositif Privilège trop large,
absence de
chiffrement, gestion
relâchée des mots
de passe (mot de
passe par défaut)
Implantation
déficiente de la
sécurité, non
respect des bonnes
pratiques
Perte de
confidentialité, de
disponibilité et
potentiellement
d’intégrité des
informations
Perte de crédibilité,
perte potentielle de
contrôle
Mesures de sécurité
• Séparation des tâches (administration et utilisation normale)
• Chiffrement des informations
• Imposition d’une politique robuste de gestion des mots de passe
• Journalisation
I9. Logiciel/microcode/système d’exploitation
non sécuritaire
Sécurité de l'IoT 85
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès au dispositif,
au réseau et autres
systèmes qui
contient la mise à
jour du des logiciels
Multiples vecteurs:
authentification
faible, absence de
chiffrement,
interface non
sécuritaire, DNS
hijacking, non
vérification du code
Développement non
sécuritaire, mauvais
design, mise à jour
du code déficiente,
injection de code
malveillant
Compromission de
système
Perte de crédibilité,
vol de ressource
Mesures de sécurité
• Mécanisme de mise à jour sécuritaire et effectif
• Code signé et chiffré
• Transport chiffré
• Pas d’information de compte et mot de passe codé en dur dans le code
• Serveur de dépôt du code sécurisé
I10. Sécurité physique déficiente
Sécurité de l'IoT 86
Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires
Accès physique au
dispositif
Insertion de code
avec clé USB, carte
SD, vol ou
destruction
Protection de l’accès
des locaux et aux
ports (interfaces
physiques du
dispositif)
perte d’intégrité,
compromission
physique du
dispositif
Perte de crédibilité,
vol de données et
des ressources
Mesures de sécurité
• Protéger l’accès physique des dispositifs
• Chiffrer les données qui sont statiques
• Contrôler l’accès aux ports du dispositifs
• Contrôler l’accès aux fonctions d’administration
Quelques éléments pour contrôler le IoT
• Ségrégation
• Réduire l’exposition des actifs critiques ou sensibles
• Segmentation du réseau d’entreprise
• VLAN, coupe-feu, passerelle
• Contrôler
• Contrôler l’accès de ces équipements aux réseaux et surtout Internet
• Mise à jour, correctif, base de temps, collecte d’intelligence
• Couche 3
• Surveiller (journaliser)
• Chiffrement pour la confidentialité et l’intégrité
Sécurité de l'IoT 87
Ségrégation
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de services
LES AUTRES
INTERNET
Réseaux
sociaux
Bots
CLOUD
Enjeux
• Gestion
• Adressage et nommage
• Sécurité
• Vulnérabilités : uPnP, mise à jour, etc
• Contrôle d’accès réseaux:
• Accès aux services :DNS, NTP, journaux
• Bloquer le trafic malveillant
Chiffrement et IoT
• Pour quoi le chiffrement
• Permet de protéger les communications
• Permet de s’assurer de l’intégrité du code et des messages/échanges
• Problème du chiffrement
• Complexe et compliqué
• Algorithmes et mécanismes
• Concepts et principes
• Mécanismes
• Mise en œuvre
• Négociation des algorithmes
• Manipulation des clés
• Nécessite de l’intelligence et du traitement (logiciel) dans chacun des composants
impliqués
Sécurité de l'IoT 89
Notions de base en cryptographie
• « Le chiffrement ou cryptage est un procédé de cryptographie grâce
auquel on souhaite rendre la compréhension d'un document
impossible à toute personne qui n'a pas la clé de (dé)chiffrement. Ce
principe est généralement lié au principe d'accès conditionnel. »
wikipédia
portez ce vieux whisky au juge blond qui fume
EnCt279401eb99cee72eb5919b2fd21957187f895726a79401eb99cee7
2eb5919b2fd28ghJ=pwvQFc7GAgEVg+OxLHijxQ4TZHrTJbIh95fVnAU9b
039RJXI2hKRXMwlJvUdpI5KqvhFTfY+4=IwEmS
portez ce vieux whisky au juge blond qui fume
clé
clé
Sécurité de l'IoT 90
Cryptographie – bonnes pratiques
• Utiliser uniquement des librairies fiables et de sources connues et de
confiance
• Utiliser des algorithmes reconnues et normalisées
• Les algorithmes doivent être robustes
• Les clés doivent être choisies aléatoirement et d’une longueur adéquate
• Les clés doivent être protégées
• La cryptographie est un domaine complexe : automatisation
• Si vous ne comprenez pas ce que vous faites alors ne faites rien !
• Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ
B est un document NON CLASSIFIÉ publié avec l’autorisation du chef du Centre de la
sécurité des télécommunications (CST), Gouvernement du Canada
• https://www.cse-cst.gc.ca/fr/node/1831/html/26517
Sécurité de l'IoT 91
Algorithmes et protocoles
• Algorithmes de cryptographie symétrique (à clé secrète)
• DES, 3DES, AES, RC4, RC5, MISTY1
• Algorithmes de cryptographie asymétrique (à clé publique et privée)
• RSA (chiffrement et signature),DSA (signature),Protocole d'échange de clés Diffie-Hellman
(échange de clé)
• Fonctions de hachage
• MD5, SHA-1, SHA-256 ;
• Protocoles de communication
• SSH, TLS/SSL, SFTP, etc
Sécurité de l'IoT 92
Chiffrement avec une clé secrète
Symétrique
• Une seule clé qui est
utilisée pour chiffrer et
déchiffrer
• Enjeu : la
communication de la
clé aux parties
concernée
Bloc 4 - clement.gagnon@tactika.com 93
Chiffrement avec une clé secrète et une clé
publique
Asymétrique
Bloc 4 - clement.gagnon@tactika.com 94
PUBLIQUE PRIVÉE
• Une clé pour chiffrer et
l’autre clé pour
déchiffrer et vice et
versa
Hachage
• « Haching », « message digest »
• N’est pas du chiffrement, mais
une « empreinte » d’un message
• Fonctionne à sens unique
• Le résultat n’est pas prédictif, 2
messages différents n’auront le
même résultat
• Utilisé pour vérifier l’intégrité,
signer
Bloc 4 - clement.gagnon@tactika.com 95
D4 46 4C 57 8A 35 1D 35 86 D0 C5 F0 65 19 B3 38
Bloc 4 - clement.gagnon@tactika.com 96
PKI Public key infrastructure
ICP Infrastructure à clé publique
identification
clé publique du
détenteur
nom du CA
signature
numérique
du CA
génération la
signature
numérique
clé privée du CACertificat
Autorité de certification
Émission, stockage
et révocation des clés
X.509
Chiffrement, clé et PKI
Sécurité de l'IoT 97
UTILISATEUR
OBJET
(& dispositif)
PASSERELLE
MANUFACTURIER
Fournisseurs
de services
LES AUTRES
INTERNET
Réseaux
sociaux
Bots
CLOUD
Autorité de certification
Émission, stockage et révocation des clés
5. Gestion du risque
En affaires, le risque est perçu
comme une opportunité ou comme un
événement négatif.
Une organisation peut démontrer un
appétit et une tolérance aux risques
dans sa recherche d’opportunités.
En sécurité de l’information, le risque
est perçu comme une menace qui
exploite une vulnérabilité avec des
impacts négatifs.
Les risques d’un tiers peuvent devenir
mes risques ... Si plusieurs tiers sont
impliqués, les risques des tiers sont
«chainés».
Sécurité de l'IoT 98
La perception du risque Impact(s)
sur les actifs
RISQUE
Vulnérabilité(s)
Mesure(s)
de sécurité
Menace(s) 
Agents
Démarche de gestion du risque ISO27005ISO/CEI 27005:2008
Gestion des risques en sécurité des systèmes d’information
Sécurité de l'IoT 99
Traitement du risque
Réduction du risque
Maintient du risque
Refus du risque
Partage du risque
Une simple méthode de définition du risque!
Inspirée d’EBIOS
Sécurité de l'IoT 100
Contexte
Événements
redoutés
Scénarios de
menaces
Risques
Mesures de sécurités
Quel est l’objet ?
Quel est la portée ?
Pourquoi comment va-t-on gérer les risques ?
Quels scénarios sont possibles ?
Quels sont les plus vraisemblables
et probables ?
Définir une cartographie des risques
Évaluer les impacts
Comment communiquer le risque ?
Comment le traiter ?
Quelles mesures doit-on appliquer ?
Le risque résiduel est-il acceptable ?
Quels événements doit-on craindre ?
Quels seraient les plus graves ?
Quels sont les plus vraisemblables
et probables ?
Les mesures minimales
de sécurité pour l’utilisateur
• Choisir des dispositifs provenant d’une source fiable
• Activer le chiffrement pour l’accès de gestion
• Gestion des identités et des mots de passe
• Modifier les mots de passe par défaut
• Durcissement
• Appliquer/automatiser les mises à jour et les correctifs
• Segmentation
• Isoler le sous-réseau et contrôler le trafic
• Surveillance
• Activer les alertes (et les journaux )
Sécurité de l'IoT 101
Les mesures de sécurité pour
un fournisseur
• Gérer les risques
• Avoir une politique de sécurité (PRP ?)
• Être doté d’un SMSI fiable et robuste
• Processus et infrastructure
• Contrôle d’accès
• Gestion des identités et des habilitations
• Détection des intrusions
• Gestion des vulnérabilités
• etc
• Avoir un niveau de service défini et publié
• Disponibilité, soutenir une montée en charge, continuité de service
• Être doté d’un processus de gestion des incidents (support aux utilisateurs)
Sécurité de l'IoT 102
Les mesures de sécurité pour
un manufacturier IoT
• Gérer les risques
• Avoir une politique de sécurité
• Être doté d’un SMSI fiable et robuste
• Processus et infrastructure
• Contrôle d’accès
• Gestion des identités et des habilitations
• Détection des intrusions
• Gestion des vulnérabilités
• Avoir un cadre de référence de développement et conception pour la sécurité
• S’assurer que les sous-traitants possède un niveau de confiance
acceptable
• Être doté d’un processus de gestion des incidents (correctifs d’urgence)
Sécurité de l'IoT 103
6. Étude de cas
Sécurité de l'IoT 104
Tactika inc.
clement.gagnon@tactika.com
www.tactika.com
@tactika
http://ca.linkedin.com/in/tactika
Merci de votre attention

Contenu connexe

Tendances

Rapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learningRapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learning
Rouâa Ben Hammouda
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
christedy keihouad
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
Cynapsys It Hotspot
 
Soutenance mémoire- IoT
Soutenance mémoire- IoTSoutenance mémoire- IoT
Soutenance mémoire- IoT
Salma Andoh
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
Souhaib El
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
MortadhaBouallagui
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things
Tahraoui Samir
 
Rapport stage pfe
Rapport stage  pfe Rapport stage  pfe
Rapport stage pfe
rimeh moussi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
Ahmed Slim
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
Cynapsys It Hotspot
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
marysesalles
 
Sécurité de l'IoT
Sécurité de l'IoTSécurité de l'IoT
Sécurité de l'IoT
Pascal THIERRY
 
La spécification des besoins
La spécification des besoinsLa spécification des besoins
La spécification des besoinsIsmahen Traya
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
HibaFarhat3
 
Rapport Mini Projet : élaborer un moteur de Recherche spécialisé en Education
Rapport Mini Projet : élaborer un moteur de Recherche spécialisé en EducationRapport Mini Projet : élaborer un moteur de Recherche spécialisé en Education
Rapport Mini Projet : élaborer un moteur de Recherche spécialisé en Education
Mohamed Amine Mahmoudi
 
Présentation blockchain v2
Présentation blockchain v2Présentation blockchain v2
Présentation blockchain v2
Amine HAMOUDA
 
Rapport de stage développement informatique
Rapport de stage développement informatique Rapport de stage développement informatique
Rapport de stage développement informatique
MehdiOuqas
 
Internet des objets
Internet des objetsInternet des objets
Internet des objets
Karima GHALI
 

Tendances (20)

Rapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learningRapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learning
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
Soutenance mémoire- IoT
Soutenance mémoire- IoTSoutenance mémoire- IoT
Soutenance mémoire- IoT
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Internet Of Things
Internet Of Things Internet Of Things
Internet Of Things
 
Rapport stage pfe
Rapport stage  pfe Rapport stage  pfe
Rapport stage pfe
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
 
Cours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériquesCours éthique et droit liés aux données numériques
Cours éthique et droit liés aux données numériques
 
Sécurité de l'IoT
Sécurité de l'IoTSécurité de l'IoT
Sécurité de l'IoT
 
La spécification des besoins
La spécification des besoinsLa spécification des besoins
La spécification des besoins
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Rapport Mini Projet : élaborer un moteur de Recherche spécialisé en Education
Rapport Mini Projet : élaborer un moteur de Recherche spécialisé en EducationRapport Mini Projet : élaborer un moteur de Recherche spécialisé en Education
Rapport Mini Projet : élaborer un moteur de Recherche spécialisé en Education
 
Présentation blockchain v2
Présentation blockchain v2Présentation blockchain v2
Présentation blockchain v2
 
Rapport de stage développement informatique
Rapport de stage développement informatique Rapport de stage développement informatique
Rapport de stage développement informatique
 
Internet des objets
Internet des objetsInternet des objets
Internet des objets
 

Similaire à Sécurité de l'IoT | Internet des objets - Formation d'une journée

Introduction à l'IoT.pdf
Introduction à l'IoT.pdfIntroduction à l'IoT.pdf
NV-chapitre-3 (2).doc
NV-chapitre-3 (2).docNV-chapitre-3 (2).doc
NV-chapitre-3 (2).doc
KhalfallahWafa
 
Iot & cloud
Iot & cloudIot & cloud
Iot & cloud
YAZIDI Imran
 
Introduction à l’IOT Final pour des.pdf
Introduction à l’IOT Final pour des.pdfIntroduction à l’IOT Final pour des.pdf
Introduction à l’IOT Final pour des.pdf
AyaGharby
 
Introduction du séminaire IoT EISTI du 14 avril 2016
Introduction du séminaire IoT EISTI du 14 avril 2016Introduction du séminaire IoT EISTI du 14 avril 2016
Introduction du séminaire IoT EISTI du 14 avril 2016
Christophe BRUNSCHWEILER
 
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / SmileSéminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Smile I.T is open
 
presentation internets of things 2017 par ARAFET ben mabrouk
presentation internets of things 2017 par ARAFET ben mabroukpresentation internets of things 2017 par ARAFET ben mabrouk
presentation internets of things 2017 par ARAFET ben mabrouk
arafet ben mabrouk
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
CITC-EuraRFID
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
Radouane Mrabet
 
Iot juin 2017
Iot juin 2017Iot juin 2017
Iot juin 2017
SinGuy
 
Introduction à l’internet des objets
Introduction à l’internet des objets Introduction à l’internet des objets
Introduction à l’internet des objets
bilele
 
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Technologia Formation
 
Mrnc n7 2019
Mrnc n7 2019Mrnc n7 2019
Mrnc n7 2019
rebbani ahmed
 
[EVENT IOT] POST
[EVENT IOT] POST[EVENT IOT] POST
[EVENT IOT] POST
POST Telecom for Business
 
Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...
Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...
Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...
IE-Club
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
Dig-IT
 
R&s 10 juin 2015 introduction xavier
R&s 10 juin 2015 introduction xavierR&s 10 juin 2015 introduction xavier
R&s 10 juin 2015 introduction xavier
Reseauxetservicestpa
 
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
URBANWAVE
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectés
Alexandre LAHAYE
 

Similaire à Sécurité de l'IoT | Internet des objets - Formation d'une journée (20)

Introduction à l'IoT.pdf
Introduction à l'IoT.pdfIntroduction à l'IoT.pdf
Introduction à l'IoT.pdf
 
NV-chapitre-3 (2).doc
NV-chapitre-3 (2).docNV-chapitre-3 (2).doc
NV-chapitre-3 (2).doc
 
Iot & cloud
Iot & cloudIot & cloud
Iot & cloud
 
Introduction à l’IOT Final pour des.pdf
Introduction à l’IOT Final pour des.pdfIntroduction à l’IOT Final pour des.pdf
Introduction à l’IOT Final pour des.pdf
 
Introduction du séminaire IoT EISTI du 14 avril 2016
Introduction du séminaire IoT EISTI du 14 avril 2016Introduction du séminaire IoT EISTI du 14 avril 2016
Introduction du séminaire IoT EISTI du 14 avril 2016
 
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / SmileSéminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
Séminaire IoT EISTI du 14 avril 2016 avec Open Wide / Smile
 
presentation internets of things 2017 par ARAFET ben mabrouk
presentation internets of things 2017 par ARAFET ben mabroukpresentation internets of things 2017 par ARAFET ben mabrouk
presentation internets of things 2017 par ARAFET ben mabrouk
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
Iot juin 2017
Iot juin 2017Iot juin 2017
Iot juin 2017
 
Introduction à l’internet des objets
Introduction à l’internet des objets Introduction à l’internet des objets
Introduction à l’internet des objets
 
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
 
Mrnc n7 2019
Mrnc n7 2019Mrnc n7 2019
Mrnc n7 2019
 
[EVENT IOT] POST
[EVENT IOT] POST[EVENT IOT] POST
[EVENT IOT] POST
 
Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...
Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...
Compte-rendu conférence "Green Economy : Objets Connectés et Opportunités cré...
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
R&s 10 juin 2015 introduction xavier
R&s 10 juin 2015 introduction xavierR&s 10 juin 2015 introduction xavier
R&s 10 juin 2015 introduction xavier
 
InternetdesObjets
InternetdesObjetsInternetdesObjets
InternetdesObjets
 
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
 
Les technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectésLes technologies Open Source pour les objets connectés
Les technologies Open Source pour les objets connectés
 

Plus de Tactika inc.

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
Tactika inc.
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdf
Tactika inc.
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Tactika inc.
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
Tactika inc.
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
Tactika inc.
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0Tactika inc.
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud  v1 Enjeux de sécurité relatifs au cloud  v1
Enjeux de sécurité relatifs au cloud v1 Tactika inc.
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsTactika inc.
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
Tactika inc.
 

Plus de Tactika inc. (9)

6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
6-Clement-Gagnon_conf_IA_fevrier2019_v_1.pptx
 
ISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdfISO_Survey_ISO_27001_1664888513.pdf
ISO_Survey_ISO_27001_1664888513.pdf
 
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
Introduction à la formation CERTIFICATE OF CLOUD SECURITY KNOWLEDGE / CCSK de...
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Cartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociauxCartographie des risques des réseaux_sociaux
Cartographie des risques des réseaux_sociaux
 
En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0En route vers le cloud privé CQSI2012 v1.0
En route vers le cloud privé CQSI2012 v1.0
 
Enjeux de sécurité relatifs au cloud v1
Enjeux de sécurité relatifs au cloud  v1 Enjeux de sécurité relatifs au cloud  v1
Enjeux de sécurité relatifs au cloud v1
 
Les risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisationsLes risques des médias sociaux pour les organisations
Les risques des médias sociaux pour les organisations
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 

Sécurité de l'IoT | Internet des objets - Formation d'une journée

  • 1. Licence Creative Commons • Ce document est sous une licence Creative Commons https://fr.wikipedia.org/wiki/Licence_Creative_Commons Attribution Pas d'utilisation commerciale Sécurité de l'IoT 1
  • 2. Sécurité de l’IoT Internet des objets v1.0 3 novembre 2016 Modifié octobre 2018 Tactika inc.
  • 3. Table des matières 1. Qui suis-je 2. Contexte 3. Définition de l’IoT 4. Sécurité de l’information et IoT 5. Gestion du risque 6. Étude de cas Sécurité de l'IoT 3
  • 4. 1. Qui suis-je ? Clément Gagnon  clement.gagnon@tactika.com  Spécialiste en sécurité de l’information  34 ans d’expérience dans les TI  Entreprises : Tactika inc. et ID-M (en démarrage)  www.tactika.com  Id-m.me  Certifications : CISSP, CISA, CCSK, ISO2700x …  Domaines d’intervention  Gestion des risques  Architecture de sécurité et de réseautique  Infonuagique  Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux  Participer à l’implantation de services infonuagiques  Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou 4Sécurité de l'IoT
  • 5. 2. Contexte • L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le pire ! • IoT est déjà très présent dans nos vies et nous n’avons encore rien vu • Vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente (et forcément connectée), etc • Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information Sécurité de l'IoT 5
  • 6. Pourquoi se préoccuper de la sécurité de l’IoT ? • IoT peut compromettre la vie privée et la propriété • IoT peut servir de base pour des attaques de grande envergure sur des d’infrastructures qui sont critiques : • Internet (DDOS) • Réseaux nationaux ou régionaux d’alimentation électrique • Système financier et de commerce Sécurité de l'IoT 6
  • 7. Quelques cibles … • Automobile • Système industriel • Système de chauffage • Système d’alarme • Équipement médical • Surveillance audio et vidéo • Etc. Sécurité de l'IoT 7
  • 8. Pourquoi l’IoT ? • Révolution industrielle : un objet n’est plus un « produit » mais un « service » Ian Hughes, analyste à 451 Research • Les nouvelles fonctions des objets grâce à : • Connectivité Internet qui s’étend partout sur la planète et même plus ! • Capacité de traitement exponentielle • Miniaturisation extrême de l’électronique • Géolocalisation • Réseaux sociaux • Mobilité • Collecte d’informations environnementales massives • Accès aux services infonuagiques Sécurité de l'IoT 8
  • 9. Motivations • Pour l’industrie, IoT permettra de • Diminuer les coûts d’opération (connectivité et dispositifs à faible coût) • Augmenter la productivité (connectivité et mobilité) • Ouvrir des nouveaux marchés ou développer des nouvelles offres et produits • Domaines Sécurité de l'IoT 9 Manufacturier Minier, gazier et pétrolifère Logistique Transport Assurances Service de santé Militaire Maison & bâtiment intelligents Bancaire et financier Agriculture Services alimentaires Ville intelligente* Infrastructure Énergie Hébergement Commerce de détail http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7
  • 10. IoT est un marché énorme ! Sécurité de l'IoT 10 Billion = milliard Trillion = billion (fr) ou mille milliards
  • 11. Les marchés Sécurité de l'IoT 11 http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 Billion = milliard Trillion = billion (fr) ou mille milliards
  • 12. IoT et le ROI • Pour les prochains 5 ans (2015 @ 2020) • Investissement : 6 000 milliards $US • Retour sur l’investissement : 13 000 milliards $US • 24 milliards de dispositifs IoT en 2020 Sécurité de l'IoT 12 http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 Billion = milliard Trillion = billion (fr) ou mille milliards
  • 13. Les enjeux et irritants de l’IoT • Sécurité • Protection de la vie privée • Déploiement • Vétusté de l’existant • Expertise et compétence • Coût • Technologique • Complexité • Fragmentation • Cycle de vie • Pérennité et obsolescence des technologies Sécurité de l'IoT 13
  • 14. 3. Définition de l’IoT « L'Internet des objets (IdO ou IoT pour Internet of Things en anglais) représente l'extension d'Internet à des choses et à des lieux du monde physique. Considéré comme la troisième évolution de l'Internet, baptisée Web 3.0 (parfois perçu comme la généralisation du Web des objets mais aussi comme celle du Web sémantique) qui fait suite à l'ère du Web social, l'Internet des objets revêt un caractère universel pour désigner des objets connectés aux usages variés, dans le domaine de la e-santé, de la domotique ou du Quantified Self. » https://fr.wikipedia.org/wiki/Internet_des_objets Sécurité de l'IoT 14
  • 15. Une simple définition de l’Internet des objets • L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains) • « The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. » Internet of things, risk and value considerations, ISACA • Internet of Everything • Internet of shit • bad Internet neighborhood Sécurité de l'IoT 15
  • 16. Domaines des objets connectés • Objets de consommation de masse / Consumer IoT Devices • Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc • eSanté / Smart Health Devices • Hopitaux, télé-santé, assurances • Objets industriels / Industrial IoT Devices • SCADA : Supervisory Control and Data Acquisition • Distribution électrique / Power Grid • Compteurs intelligents • Militaires • Villes intelligentes / Smart Cities • Infrastructure / Smart City Infrastructure and Services • Transport / Smart Transportation • Eau • Sécurité publique • Relation avec le citoyen / démocratie Sécurité de l'IoT 16
  • 18. Ville intelligente et les données Sécurité de l'IoT 18
  • 19. Iot et le domaine industriel : HVAC, SCADA Sécurité de l'IoT 19 HVAC Heating, ventilation, air conditionning SCADA Supervisory Control and Data Acquisition
  • 20. Écosystème des objets connectés Sécurité de l'IoT 20 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD
  • 21. IoT et le cloud Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multi-locataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA ) Analogie entre les TI et l’électrification Les services TI deviennent une commodité 21La sécurité dans le Cloud - Clément Gagnon - Tactika inc. Puissance de traitement, stockage de données, logiciels, accessible partout, extensible, facturé à l’utilisation
  • 22. Vue fournisseur : partagé, multilocataire, virtualisation 22 Fournisseur Opérateur clement.gagnon@tactika.com La sécurité dans le Cloud - Clément Gagnon - Tactika inc.
  • 24. Plateforme web NetATMO Sécurité de l'IoT 24 Fournisseurs de services INTERNET Réseaux sociaux CLOUD
  • 25. Population mondiale et IoT Sécurité de l'IoT 25 Billion = milliard Trillion = billion (fr) ou mille milliards
  • 26. Considérations techniques en regard de l’IoT • Attributs et fonctions des objets: identification et adressage des objets, capacité de traitement de l’information, connectivité et interaction avec l’environnement (captation et action) • Communication initiée automatiquement d’objet à objet et d’objet à humain • Croissance exponentielle du volume de données collectées, conservées et traitées (incluant des données personnelles) provenant de différentes sources • Les objets sont hétérogènes Sécurité de l'IoT 26
  • 27. IoT et IPv6 • La quantité d’objets connectés exige une capacité d’adressage énorme • Les adresses IPv4 se sont taries … • IPv6 permet un espace de 2128 d’adresses IP ou 340 282 366 920 938 463 463 374 607 431 768 211 456 • “nous pouvons donner une adresse IPV6 à chaque atome sur Terre et nous pouvons le faire pour 100 autres planètes comme la Terre” Steven Leibson (traduction libre) Sécurité de l'IoT 27
  • 29. Volumétrie et grands nombres • Yotta : mille mille milliards de milliards • Zetta : mille milliards de milliards • Exa : milliards de milliards • Peta : million de milliards • Tera : mille milliards • Giga : milliard • Méga : million Sécurité de l'IoT 29 b : 1 bit B(ytes) ou O(ctet) : 8 bits 1 zB = 8 zb
  • 30. Qu’est-ce qui produit ces données ? • Ce n’est pas forcément de l’information pour les humains ! • M2M ou « machine to machine » • Échanges et réécritures • Multimédias • Recopies • 80% de données non structurées • 20% de données structurées • Croissance de + 32% par an • 80 Exaoctets de trafic Internet par mois en 2015 • Exa : milliards de milliards • 1 milliard de téléphones intelligents en 2015 Sécurité de l'IoT 30
  • 31. Volumétrie des données produites par l’IoT Sécurité de l'IoT 31
  • 32. Volumétrie des données de l’automobile connectée Sécurité de l'IoT 32
  • 33. Notions de base de l’IoT : objet et dispositif • Objet (Thing) : Un objet de la vie quotidienne (par exemple: automobile, grille-pain) par abstraction et selon le contexte peut-être une maison ou ville avec une « intelligence » • Dispositif (Device): Senseur (sensor), actionneur (actuator) ou marqueur (tag). Un dispositif fait partie d’un objet. Habituellement, le dispositif passe de l’information ou reçoit de l’information de l’objet. Ce dernier la traite et peut la communiquer à des entités (objet, service ou humain) Sécurité de l'IoT 33
  • 34. Écosystème des objets connectés (détail) Sécurité de l'IoT 34 THE INTERNET OF THINGS “Smart” Products Demand a Smart Strategy Using M&A for a Competitive Edge, Woodside Capital Partners UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD
  • 35. Flux d’informations de l’IoT et la création de valeur Sécurité de l'IoT 35 THE INTERNET OF THINGS “Smart” Products Demand a Smart Strategy Using M&A for a Competitive Edge, Woodside Capital Partners
  • 36. IoT et le Wot Web of Thing Couches technologiques Sécurité de l'IoT 36
  • 38. Liens envers d’autres entités Sécurité de l'IoT 38
  • 40. Empreinte des communications Internet et autres des objets • Les objets sont connectés et ils sont en relation avec des entités, principalement des « services » • Les communications sont établies automatiquement, contrôlées par des algorithmes • L’exemple ci-contre présente les « services » exploités par le bracelet Fitbit Sécurité de l'IoT 40 The 2015 Internet of Things in the Enterprise Report, OpenDNS
  • 41. Accès Internet des « smart TV » Samsung Sécurité de l'IoT 41 The 2015 Internet of Things in the Enterprise Report, OpenDNS Cette illustration présente la vue d’ensemble des communications Internet entre les télévisions intelligentes Samsung et des « entités » dans Internet. Trafic visible et analysé par OpenDNS.
  • 42. Accès Internet des « smart TV » Samsung Sécurité de l'IoT 42 Détail des sites Internet qu’une « smart TV » Samsung se connecte
  • 43. Architecture de l’IoT • Pour comprendre la sécurité de l’information , il est important de comprendre l’architecture des solutions IoT • Les éléments d’un objet • Connectivité • Pile de protocole • Interface réseau • Traitement • Code • Interface physique à son environnement • Senseur, activateur, étiquette • Lien vers d’autres entités (service dans le cloud, interface de gestion, interface pour l’exploitation et l’opération) Sécurité de l'IoT 43
  • 44. Connectivité • La connectivité est un élément essentiel pour assurer l’échange des informations entre les composants de l’écosystème IoT • Protocoles et médiums de communication : WiFi, BLE, Zigbee, ZWave, 6LoWPAN et cellulaire (3G, LTE et 5G) Sécurité de l'IoT 44
  • 45. Traitement • Le traitement de l’information est possible par un système d’exploitation ou d’un micro-code selon la sophistication de l’objet connecté • Systèmes d’exploitation • QNX (Blackberry) • Linux sous diverses déclinaisons • Windows • Codes • Processeurs • Puces ARM, Intel, etc. • Nano-ordinateur Raspberry Pi, etc. • Micro-contrôleurs Sécurité de l'IoT 45
  • 46. Iot SoC System on a Chip Sécurité de l'IoT 46 http://electronicdesign.com/analog/define-analog-sensor-interfaces-iot-socs
  • 47. Interfaces physiques Sécurité de l'IoT 47 • Senseurs • Actuateurs • Tag
  • 48. 4. Sécurité de l’information et IoT • Comment le dispositif sera utilisé à partir d'un point de vue commercial, et quelle valeur entreprise devrait? • Quelles menaces sont anticipées, et comment sont-elles être atténuées? • Qui aura accès à l'appareil, et comment leur identité sera établie et éprouvée? • Quel est le processus de mise à jour du dispositif dans le cas d'une attaque ou de vulnérabilité? • Qui est responsable du suivi de nouvelles attaques ou vulnérabilités relatives à l'appareil? • Demandez des scénarios de risque a évalué et comparé à la valeur commerciale prévue? • Quelles informations personnelles sont collectées, stockées et / ou traitées par le dispositif ? • Faites les personnes dont les renseignements sont recueillis savent qu'il est collecté et utilisé, et ont-ils donné leur consentement? • Avec qui les données seront partagées? Sécurité de l'IoT 48
  • 49. Vérifiez votre sécurité IoT avec Shodan Le Google de l’IoT • Shodan est un site web spécialisé dans la recherche d'objets connectés à Internet, et ayant donc une adresse IP visible sur le réseau • Il permet ainsi de trouver une variété de serveurs web, de routeurs ainsi que de nombreux périphériques tels que des imprimantes ou des caméras • http://iotscanner.bullguard.com/ Sécurité de l'IoT 49
  • 50. http://iotscanner.bullguard.com/ • Scanner IoT • Vérification si votre adresse IP est répertoriée dans Shodan Sécurité de l'IoT 50
  • 51. Analyse de sécurité IoT de la firme OpenDNS The 2015 Internet of Things in the Enterprise Report • Trois principaux risques • IoT introduit des nouvelles surfaces d’exposition aux menaces • IoT est parfois (souvent ?) hors de la juridiction des départements TI et de l’utilisateur • IoT est souvent laissé sans surveillance et sans processus de mise à jour et d’application des correctifs logiciels et de sécurité • Les dispositifs ou infrastructures IoT sont exposés à des attaques connues comme FREAK et Heartbleed • Les industries de l’IoT de par les vulnérabilités de leurs plateformes exposent leurs clients • Les appareils de consommation de masse tels que Dropcam, appareils de fitness Fitbit, périphériques de stockage NAS "My Cloud", Samsung Smart TV et divers dispositifs médicaux connectés se connectent en continu sur des serveurs aux États-Unis, en Asie et en Europe, même lorsqu'ils ne sont pas utilisation • Sondage de 500 professionnels en TI et sécurité : 23% n’implantent aucunes mesures de sécurité spécifiques pour l’IoT Sécurité de l'IoT 51
  • 52. État de situation de la sécurité de l’IoT par HP Sécurité de l'IoT 52
  • 53. Enjeux de sécurité de l’IoT • Disponibilité, Intégrité et confidentialité des services reposant sur IoT • Ex. alimentation électrique, objets médicaux • Prise en compte de la sécurité dès la conception d’une solution • Variation des risques selon le domaine d’utilisation • Domaine médical, militaire, etc • Préservation de la vie privée versus la traçabilité, profilage et usage illicite • Croissement des données et des usages autres que ceux prévus • Impossibilité de protéger les données par une utilisation en « arrière boutique » • Attaques ciblées sur les systèmes IoT • Verrouillage de l’utilisateur vers une technologie IoT • Impact sur prestation des services de santé et IoT • Prolifération des senseurs et données, données personnelles, fiabilité des données, formats et normes, risques sur la santé • Perte de contrôle sur l’utilisation et la propriété des données personnelles • Difficulté de déterminer la législation applicable Sécurité de l'IoT 53
  • 54. Qu’est-ce que la vie privée ?  Tout ce qu’une personne veut garder secret en s’aménageant «une zone à l’abri de l’ingérence d’autrui»  «la volonté de l’individu à vouloir se protéger»  «le pouvoir d’interdire à des tiers d’avoir accès à sa vie personnelle, afin d’en préserver l’anonymat. Le droit de l’individu de passer inaperçu» Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf Sécurité de l'IoT 54
  • 55. « La vie privée pourrait en réalité être une anomalie. » Vint Cerf • Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'Internet … • En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'Internet (Chief Internet Evangelist) Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726 Source de la bio : http://fr.wikipedia.org/wiki/Vint_Cerf Sécurité de l'IoT 55
  • 56. Repérer et traiter les renseignements personnels • Identifier les lois et règlements qui doivent s’appliquer • Établir une politique en ce qui concerne les renseignements personnels • Identifier les informations que le dispositif recueille, d'où elles proviennent • Elle est utilisée pourquoi, avec qui elle est partagée et à quelles fins • Les objectifs «secondaires» (comme le marketing ou le ciblage) • Limiter la collecte et la conservation de l'information à ce qui est raisonnable et nécessaires pour faire fonctionner l'appareil. • Décrire les pratiques de gestion des renseignements personnels de façon simple et claire • Obtenir le consentement • Analyser les risques • Comprendre les limitations techniques de l'appareil qui peuvent avoir une incidence sur la sécurité. • Comprendre l'environnement de menace existant. Sécurité de l'IoT 56
  • 57. Sécurité de l’information • La sécurité de l’information regroupe l’ensemble des moyens organisationnels, technologiques, humains et juridiques permettant de gérer les risques et leurs impacts à l’égard de la disponibilité de l’information, de sa confidentialité et de son intégrité. • La sécurité des systèmes d'information vise les objectifs suivants (DIC) : • La disponibilité : Un système doit fonctionner sans faille durant les plages d'utilisation prévues et garantir l'accès aux services et ressources installées avec le temps de réponse attendu. • L'intégrité : Les données doivent être intactes, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. • La confidentialité : Seules les personnes autorisées et avec les habilitations requises ont accès aux informations.
  • 58. Sécurité des systèmes d'information • D'autres aspects peuvent aussi être considérés comme des objectifs de la sécurité des systèmes l'information, tels que : • La traçabilité : garantie que les accès et tentatives d'accès aux éléments considérés sont journalisés et que les journaux sont conservées et exploitables. • L'authentification : Validation de l’identité des utilisateurs (et systèmes) afin de gérer les accès aux informations et les services et maintenir la confiance. • La non-répudiation (irrévocabilité) et l'imputation : Aucun utilisateur (système) ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur. Sécurité des systèmes d'information, wikipédia Sécurité de l'IoT 58
  • 59. Équilibre entre la sécurité, les exigences d’affaires et la technologie • Une sécurité de l’information efficiente et efficace est un équilibre entre ces trois éléments Sécurité de l'IoT 59 Exigences d’affaires Exigences de sécurité Coût et capacité technologiques
  • 60. Normes et la sécurité IoT IoT Security Standard (ISS) • Grandes normes de sécurité • ISO 27001 et ISO 27002 • Normes spécifiques • NERC-CIP : réseau électrique nord-américain • IEC-62443 : contrôle et automatisation de type industriel • IEEE P1363 PKI - Public-Key cryptography, • IEEE P1619 chiffrement dispositifs amovibles et fixes • IEEE P2600 protection imprimante et copieur • IEEE 802.1AE & IEEE 802.1X sécurité réseau • NIST • Bonnes pratiques • ENISA, CSA, OWASP Sécurité de l'IoT 60
  • 61. Impact(s) sur les actifs Risque : les menaces et les mesures technologiques de sécurité RISQUE Vulnérabilité(s) Mesure(s) de sécurité Menace(s) Agents Sécurité de l'IoT 61
  • 62. Agent Humain Non-humain Désastre Malveillant Non-malveillant InterneExterne Pirate, criminel, terroriste, cyber-vandale Employé malveillant Erreur, ignorance, méconnaissance Panne, bris matériel ou logiciel Événement naturel, Guerre, émeute, etc Probabilité : Événement extérieur, imprévisible, irrésistible et insurmontable de nature à dégager de toute responsabilité, usure, fin de vie de matériel Les éléments déclencheurs Motivation : criminelle, politique, économique, vandalisme, recherche de publicité, etc.      🌪🐞 Sécurité de l'IoT 62
  • 63. Menaces Cibles Identifiant/compte Processus Données Composant Ordinateur Réseau Protocole réseau Vulnérabilités Design Implantation Configuration Résultats Élévation de privilège Accès à l'information Corruption d'information Déni de service Usage de ressources  Menace : Événement potentiel et appréhendé, de probabilité non nulle, susceptible de porter atteinte à la sécurité informatique (OQLF)  Une menace exploite une ou des vulnérabilités afin d’atteindre une cible grâce à une action  Lorsque l’attaque est réussie, le résultat permet de produire un impact (disponibilité, intégrité et confidentialité) sur la cible (1) Les listes des Actions, Cibles, Vulnérabilités, Résultats (Menaces) sont inspirées d’une taxonomie considérée comme une norme de facto du Sandia National Laboratories, “the Common Language”. https://www.enisa.europa.eu/activities/cert/support/incident-management/files/good-practice-guide-for- incident-management Actions Authentifier Contourner Usurper Saturer Lire Copier Voler Modifier Détruire Détourner Balayer Sonder Sécurité de l'IoT 63
  • 64. Mesures de contrôle ou de sécurité ISO 27002 A.5 Politiques de SI A.5.1 Engagement du management A.6 Organisation de la SI A.6.1 Organisation interne A.6.2 Appareils mobile et télétravail A.7 Sécurité des ressources humaines A.7.1 Avant l'engagement A.7.2 Durant l'emploi A.7.3 Fin ou changement d'emploi A.8 Gestion des actifs A.8.1 Responsabilité envers les actifs A.8.2 Information classifiée A.8.3 Manipulation des actifs A.9 Contrôle d'accès A.9.1 Exigences d'affaires pour le contrôle d'accès A.9.2 Gestion des accès des utilisateurs A.9.3 Responsabilités des utilisateurs A.9.4 Contrôle d'accès aux systèmes et aux applications A.10Cryptographie A.10.1 Contrôles cryptographiques A.11 Sécurité physique et environnementale A.11.1 Aires contrôlées A.11.2 Équipements A.12 Gestion des opérations A.12.1 Responsabilités et processus opérationnelles A.12.2 Protection contre les logiciels malveillants A.12.3 Copie de sécurité A.12.4 Journaux et surveillance A.12.5 Contrôle des logiciels A.12.6 Gestion des vulnérabilités techniques A.12.7 Considérations pour les audits des systèmes A.13 Sécurité des communications A.13.1 Gestion de la sécurité du réseau A.13.2 Transfert des informations A. 14 Acquisition, développement et maintenance des systèmes d'information A.14.1 Exigences de sécurité pour les systèmes d'information A.14.2 Sécurité dans le développement et le support A.14.2.9 Essai d'acceptation des systèmes A.14.3 Données d'essais A.15 Relations avec le fournisseurs A.15.1 La sécurité de l'information du fournisseur A.15.2 Gestion de la délivrance de service du fournisseur A.16 Gestion des incidents de sécurité A.16.1 Gestion des incidents de sécurité A.16.1.7 Collecte de la preuve A.17 Continuité de service et sécurité de l'information A.17.1 Continuité de service A.17.2 Infrastructure redondante A.18 Conformité A.18.1 Conformité au cadre légal et au cadre contractuel A.18.1.5 Conformité légale de l'utilisation de la cryptographie A.18.2 Audit de l'implantation de la sécurité de l'information Sécurité de l'IoT 64
  • 65. Processus de sécurité •Sensibilisation des utilisateurs •Surveillance •Gestion des incidents •Audit •Surveillance •Mise en production •Veille technologique et de sécurité •Gestion des identités et des accès •Gestion des accès privilégiés •Processus de catégorisation •Gestion d’infrastructure Contrôle d’accès Gestion des identités et des habilitations Détection des intrusions Gestion des vulnérabilités Sécurité de l'IoT 65
  • 66. 66 En résumé …  Une mesure ou des mesures de sécurité sont mises en œuvre pour contrer une ou des menaces afin de contrôler, mitiger ou éliminer les risques  Si malgré la mesure de sécurité • La menace réussit à atteindre un actif informationnel • Si cet actif informationnel est vulnérable • Alors cette attaque est réussie • Il aura un impact sur sa disponibilité et/ou intégrité et/ou confidentialité de l’actif Document à circulation restreinte Sécurité de l'IoT
  • 67. Contre quelles attaques devons nous protéger ? Scénarios « importants et émergents » d’attaque (2) Une analyse sérieuse et documentée par l’ENISA de 250 rapports mondiaux a permis l’identification des 15 scénarios d’attaque les plus importants et émergents pour l’année 2013 1. Téléversement sournois 2. Ver/Cheval de Troie 3. Injection de code 4. Trousse d’outils d’exploitation de vulnérabilité 5. Réseau d’ordinateurs « zombies » / Botnets 6. Perte / vol / destruction 7. Vol d’identité 8. Déni de service 9. Hameçonnage 10. Pourriel 11. Logiciel Malveillant accompagné de menace, demande de rançon, etc 12. Perte / fuite d’information confidentielle 13. Perte / fuite d’information sensible 14. Attaque ciblée 15. Sites web pour leurrer (2) Source : ENISA Threat Landscape 2013, European Union Agency for Network and Information Security 67 Sécurité de l'IoT
  • 68. Scénario d’attaque  Les menaces peuvent se combiner entre elles pour former un scénario d’attaque selon une séquence : Reconnaissance  Chargement  Feu  Exploitation  Installation  Commandement/Contrôle  Exécution  Exemples de scénario d’attaque • Balayage par un bot • Exploitation par une attaque par la force brute • Modification de paramètres • Injection de code malveillant • Balayage dans le réseau local • Rattachement à un réseau de botnets (C&C) • Attente d’instruction pour une attaque de DDOS … 68 Sécurité de l'IoT
  • 69. Les surfaces d’attaque Sécurité de l'IoT 69 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services INTERNET Réseaux sociaux Bots CLOUD
  • 70. Vue générale des menaces 70 Client Web  Code malveillant  XSS (cross site scripting) Accès à la ressource Web  Phishing DNS poisoning Infrastructure télécom Déni de service Application & plate- forme  Injection SQL  Code malveillant Déni de service Attaque brute sur l’authentification Infrastructure  Code malveillant Attaque brute sur l’authentification Déni de service Infrastructure télécom Déni de service La sécurité et le Cloud Computing - Clément Gagnon - Tactika inc. clement.gagnon@tactika.com
  • 71. Aperçu des menaces pour le cloud BOF, Injection SQL, Déni de service, Attaque brute sur l’authentification Changement non annoncé ou non planifié Code malveillant, Attaque brute sur l’authentification, Attaque sur l’hyperviseur, Déni de service clement.gagnon@tactika.com Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Sécurité de l'IoT 71
  • 72. Principales mesures de contrôle Contrôle d’accès authentification (forte), réseau Détection des intrusions Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation clement.gagnon@tactika.com Chiffrement, lien sécurisé Relève, redondance Anti-virus, anti-logiciel espion, correctif Anti-virus, anti-logiciel espion, correctifs Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseau Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, anti-virus, anti logiciel-espion, IDS/IPS Sécurité de l'IoT 72
  • 73. Surface d’attaque de l’auto connectée Sécurité de l'IoT 73 GSM Association Non-confidential , Official Document CLP.11 - IoT Security Guidelines Overview Document
  • 74. Surface d’attaque système de transport intelligent Sécurité de l'IoT 74
  • 75. OWASP et IoT • OWASP ou le Open Web Application Security Project « est une organisation caritative enregistrée 501(c)(3) aux États-Unis depuis 2004 et enregistrée en Europe depuis juin 2011 en tant qu’Organisation à but non lucratif qui supporte les infrastructures et projets OWASP. OWASP est aujourd'hui reconnue dans le monde de la sécurité des systèmes d'information pour ses travaux et recommandations liées aux applications Web. » wikipedia • Elle a produit une liste des dix risques de sécurité les plus critiques pour l’IoT. Sécurité de l'IoT 75
  • 76. 10 principaux risques de l’IoT selon OWASP I1. Interface web non sécuritaire I2. Authentification et habilitation faibles I3. Services réseaux non sécuritaires I4. Chiffrement faible ou absent du service réseau I5. Enjeux de protection de la vie privée I6. Interface non sécuritaire des services infonuagiques I7. Interface vulnérable des services mobiles I8. Configuration minimale de la sécurité I9. Logiciel/microcode/système d’exploitation non sécuritaire I10. Sécurité physique déficiente Sécurité de l'IoT 76
  • 77. I1. Interface web non sécuritaire Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès interne et/ou externe par le net Attaque brute, « replay », mots de passe communs ou par défaut, Injection SQL, XSS Absence de verrouillage du compte après de multiples accès infructueux Conséquence de perte de données, prise de contrôle, déni de service, perte de d’imputabilité Équipement compromis et les conséquences envers les clients Mesures de sécurité • Modification du mot de passe d’administration à l’installation • Procédure de récupération des mots de passe robuste • Protection contre les injections SQL et le XSS • Protection du trafic contre l’écoute • Politique stricte de création de mot de passe • Verrouillage de compte après plusieurs tentatives d’accès infructueuses Sécurité de l'IoT 77
  • 78. I2. Authentification et habilitation faibles Sécurité de l'IoT 78 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Tous ceux qui ont accès aux interfaces web, mobile, cloud par Internet Attaque brute, mécanisme de récupération de mot de passe Faible protection des informations, manque de granularité des habilitations Corruption, perte d’imputabilité, déni de service, perte d’intégrité complète ou partielle Vols d’information, comptes compromis modifications. Vol, destruction, infection de données non autorisés Mesures de sécurité • Mécanisme robuste de gestion de l’authentification et de l’habilitation (RBAC, authentification forte) • Imposition d’une politique de complexité des mots de passe • Journalisation • Procédure de récupération des mots de passe robuste • Protection contre les injections SQL et le XSS • Protection du trafic contre l’écoute • Politique stricte de création de mot de passe • Verrouillage de compte après plusieurs tentatives d’accès infructueuses
  • 79. I3. Services réseaux non sécuritaires Sécurité de l'IoT 79 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès interne et/ou externe par le net Attaque sur le protocole (saturation, trafic anormal, etc) sur le dispositif ou comme point d’appui vers un autre dispositif Mauvais code de la pile de protocole, services réseaux non nécessaires qui sont activités Déni de service, possibilité d’escalade de privilège Perte de disponibilité, vol de ressources Mesures de sécurité • Ouvrir uniquement les ports nécessaires • Appliquer les correctifs de sécurité • Faire des tests d’intrusions • Implanter des mesures contre le déni de service • Déactiviter les fonctions non nécessaire : uPnP
  • 80. I4. Chiffrement faible ou absent du service réseau Sécurité de l'IoT 80 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès interne et/ou externe par le net Capture du trafic pour lecture ou modification Trafic transmis en clair sans mécanisme de chiffrement Perte de confidentialité, perte d’intégrité des informations Perte de crédibilité, leurre possible Mesures de sécurité • Forcer l’utilisation du trafic chiffré : SSL/TLS, ssh et etc. • Utiliser uniquement des protocoles normalisés
  • 81. I5. Enjeux de protection de la vie privée Sécurité de l'IoT 81 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Tous les accès aux équipements, aux réseaux, aux applications mobiles et autres, aux services infonuagiques Multiples vecteurs: authentification faible, absence de chiffrement, interface non sécuritaire Mauvais design, code vulnérable, pas de chiffrement, pas de durcissement Perte de confidentialité, perte d’intégrité des informations Perte de crédibilité, fuite d’informations, infractions légales Mesures de sécurité • Collecter uniquement les informations nécessaires, le temps nécessaire et dans les dispositifs requis • Assurer qu’uniquement les individus habilités et nécessaires peuvent accéder les informations personnelles • Assurer une sécurité robuste avec les mesures adéquates
  • 82. I6. Interface non sécuritaire des services infonuagiques Sécurité de l'IoT 82 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès interne et/ou externe par internet Multiples vecteurs: authentification faible, absence de chiffrement, interface non sécuritaire sur l’interface cloud Mécanisme d’authentification faible, absence de chiffrement Perte d’intégrité, compromission des informations et de l’ensemble ou une partie du système Perte de crédibilité, infraction vis à vis de la PRP Mesures de sécurité • Politique robuste de gestion des mots de passe • Verrouillage d’accès après des accès infructueux • Journalisation • Protection contre les XSS et injection SQL • Utilisation de l’authentification forte
  • 83. I7. Interface vulnérable des services mobiles Sécurité de l'IoT 83 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès interne et/ou externe par internet Multiples vecteurs: authentification faible, absence de chiffrement, interface non sécuritaire, mécanisme de récupération de mot de passe Trafic transmis en clair sans mécanisme de chiffrement Perte de confidentialité, perte de contrôle du système Perte de crédibilité, perte de contrôle sur les ressources de la clientèle Mesures de sécurité • Politique robuste de gestion des mots de passe • Verrouillage d’accès après des accès infructueux • Journalisation • Protection contre les XSS et injection SQL • Utilisation de l’authentification forte
  • 84. I8. Configuration minimale de la sécurité insuffisante Sécurité de l'IoT 84 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès au dispositif Privilège trop large, absence de chiffrement, gestion relâchée des mots de passe (mot de passe par défaut) Implantation déficiente de la sécurité, non respect des bonnes pratiques Perte de confidentialité, de disponibilité et potentiellement d’intégrité des informations Perte de crédibilité, perte potentielle de contrôle Mesures de sécurité • Séparation des tâches (administration et utilisation normale) • Chiffrement des informations • Imposition d’une politique robuste de gestion des mots de passe • Journalisation
  • 85. I9. Logiciel/microcode/système d’exploitation non sécuritaire Sécurité de l'IoT 85 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès au dispositif, au réseau et autres systèmes qui contient la mise à jour du des logiciels Multiples vecteurs: authentification faible, absence de chiffrement, interface non sécuritaire, DNS hijacking, non vérification du code Développement non sécuritaire, mauvais design, mise à jour du code déficiente, injection de code malveillant Compromission de système Perte de crédibilité, vol de ressource Mesures de sécurité • Mécanisme de mise à jour sécuritaire et effectif • Code signé et chiffré • Transport chiffré • Pas d’information de compte et mot de passe codé en dur dans le code • Serveur de dépôt du code sécurisé
  • 86. I10. Sécurité physique déficiente Sécurité de l'IoT 86 Agent de menace Vecteur d’attaque Vulnérabilité Impacts techniques Impacts affaires Accès physique au dispositif Insertion de code avec clé USB, carte SD, vol ou destruction Protection de l’accès des locaux et aux ports (interfaces physiques du dispositif) perte d’intégrité, compromission physique du dispositif Perte de crédibilité, vol de données et des ressources Mesures de sécurité • Protéger l’accès physique des dispositifs • Chiffrer les données qui sont statiques • Contrôler l’accès aux ports du dispositifs • Contrôler l’accès aux fonctions d’administration
  • 87. Quelques éléments pour contrôler le IoT • Ségrégation • Réduire l’exposition des actifs critiques ou sensibles • Segmentation du réseau d’entreprise • VLAN, coupe-feu, passerelle • Contrôler • Contrôler l’accès de ces équipements aux réseaux et surtout Internet • Mise à jour, correctif, base de temps, collecte d’intelligence • Couche 3 • Surveiller (journaliser) • Chiffrement pour la confidentialité et l’intégrité Sécurité de l'IoT 87
  • 88. Ségrégation OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD Enjeux • Gestion • Adressage et nommage • Sécurité • Vulnérabilités : uPnP, mise à jour, etc • Contrôle d’accès réseaux: • Accès aux services :DNS, NTP, journaux • Bloquer le trafic malveillant
  • 89. Chiffrement et IoT • Pour quoi le chiffrement • Permet de protéger les communications • Permet de s’assurer de l’intégrité du code et des messages/échanges • Problème du chiffrement • Complexe et compliqué • Algorithmes et mécanismes • Concepts et principes • Mécanismes • Mise en œuvre • Négociation des algorithmes • Manipulation des clés • Nécessite de l’intelligence et du traitement (logiciel) dans chacun des composants impliqués Sécurité de l'IoT 89
  • 90. Notions de base en cryptographie • « Le chiffrement ou cryptage est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement. Ce principe est généralement lié au principe d'accès conditionnel. » wikipédia portez ce vieux whisky au juge blond qui fume EnCt279401eb99cee72eb5919b2fd21957187f895726a79401eb99cee7 2eb5919b2fd28ghJ=pwvQFc7GAgEVg+OxLHijxQ4TZHrTJbIh95fVnAU9b 039RJXI2hKRXMwlJvUdpI5KqvhFTfY+4=IwEmS portez ce vieux whisky au juge blond qui fume clé clé Sécurité de l'IoT 90
  • 91. Cryptographie – bonnes pratiques • Utiliser uniquement des librairies fiables et de sources connues et de confiance • Utiliser des algorithmes reconnues et normalisées • Les algorithmes doivent être robustes • Les clés doivent être choisies aléatoirement et d’une longueur adéquate • Les clés doivent être protégées • La cryptographie est un domaine complexe : automatisation • Si vous ne comprenez pas ce que vous faites alors ne faites rien ! • Algorithmes cryptographiques pour l’information NON CLASSIFIÉ, PROTÉGÉ A et PROTÉGÉ B est un document NON CLASSIFIÉ publié avec l’autorisation du chef du Centre de la sécurité des télécommunications (CST), Gouvernement du Canada • https://www.cse-cst.gc.ca/fr/node/1831/html/26517 Sécurité de l'IoT 91
  • 92. Algorithmes et protocoles • Algorithmes de cryptographie symétrique (à clé secrète) • DES, 3DES, AES, RC4, RC5, MISTY1 • Algorithmes de cryptographie asymétrique (à clé publique et privée) • RSA (chiffrement et signature),DSA (signature),Protocole d'échange de clés Diffie-Hellman (échange de clé) • Fonctions de hachage • MD5, SHA-1, SHA-256 ; • Protocoles de communication • SSH, TLS/SSL, SFTP, etc Sécurité de l'IoT 92
  • 93. Chiffrement avec une clé secrète Symétrique • Une seule clé qui est utilisée pour chiffrer et déchiffrer • Enjeu : la communication de la clé aux parties concernée Bloc 4 - clement.gagnon@tactika.com 93
  • 94. Chiffrement avec une clé secrète et une clé publique Asymétrique Bloc 4 - clement.gagnon@tactika.com 94 PUBLIQUE PRIVÉE • Une clé pour chiffrer et l’autre clé pour déchiffrer et vice et versa
  • 95. Hachage • « Haching », « message digest » • N’est pas du chiffrement, mais une « empreinte » d’un message • Fonctionne à sens unique • Le résultat n’est pas prédictif, 2 messages différents n’auront le même résultat • Utilisé pour vérifier l’intégrité, signer Bloc 4 - clement.gagnon@tactika.com 95 D4 46 4C 57 8A 35 1D 35 86 D0 C5 F0 65 19 B3 38
  • 96. Bloc 4 - clement.gagnon@tactika.com 96 PKI Public key infrastructure ICP Infrastructure à clé publique identification clé publique du détenteur nom du CA signature numérique du CA génération la signature numérique clé privée du CACertificat Autorité de certification Émission, stockage et révocation des clés X.509
  • 97. Chiffrement, clé et PKI Sécurité de l'IoT 97 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD Autorité de certification Émission, stockage et révocation des clés
  • 98. 5. Gestion du risque En affaires, le risque est perçu comme une opportunité ou comme un événement négatif. Une organisation peut démontrer un appétit et une tolérance aux risques dans sa recherche d’opportunités. En sécurité de l’information, le risque est perçu comme une menace qui exploite une vulnérabilité avec des impacts négatifs. Les risques d’un tiers peuvent devenir mes risques ... Si plusieurs tiers sont impliqués, les risques des tiers sont «chainés». Sécurité de l'IoT 98 La perception du risque Impact(s) sur les actifs RISQUE Vulnérabilité(s) Mesure(s) de sécurité Menace(s)  Agents
  • 99. Démarche de gestion du risque ISO27005ISO/CEI 27005:2008 Gestion des risques en sécurité des systèmes d’information Sécurité de l'IoT 99 Traitement du risque Réduction du risque Maintient du risque Refus du risque Partage du risque
  • 100. Une simple méthode de définition du risque! Inspirée d’EBIOS Sécurité de l'IoT 100 Contexte Événements redoutés Scénarios de menaces Risques Mesures de sécurités Quel est l’objet ? Quel est la portée ? Pourquoi comment va-t-on gérer les risques ? Quels scénarios sont possibles ? Quels sont les plus vraisemblables et probables ? Définir une cartographie des risques Évaluer les impacts Comment communiquer le risque ? Comment le traiter ? Quelles mesures doit-on appliquer ? Le risque résiduel est-il acceptable ? Quels événements doit-on craindre ? Quels seraient les plus graves ? Quels sont les plus vraisemblables et probables ?
  • 101. Les mesures minimales de sécurité pour l’utilisateur • Choisir des dispositifs provenant d’une source fiable • Activer le chiffrement pour l’accès de gestion • Gestion des identités et des mots de passe • Modifier les mots de passe par défaut • Durcissement • Appliquer/automatiser les mises à jour et les correctifs • Segmentation • Isoler le sous-réseau et contrôler le trafic • Surveillance • Activer les alertes (et les journaux ) Sécurité de l'IoT 101
  • 102. Les mesures de sécurité pour un fournisseur • Gérer les risques • Avoir une politique de sécurité (PRP ?) • Être doté d’un SMSI fiable et robuste • Processus et infrastructure • Contrôle d’accès • Gestion des identités et des habilitations • Détection des intrusions • Gestion des vulnérabilités • etc • Avoir un niveau de service défini et publié • Disponibilité, soutenir une montée en charge, continuité de service • Être doté d’un processus de gestion des incidents (support aux utilisateurs) Sécurité de l'IoT 102
  • 103. Les mesures de sécurité pour un manufacturier IoT • Gérer les risques • Avoir une politique de sécurité • Être doté d’un SMSI fiable et robuste • Processus et infrastructure • Contrôle d’accès • Gestion des identités et des habilitations • Détection des intrusions • Gestion des vulnérabilités • Avoir un cadre de référence de développement et conception pour la sécurité • S’assurer que les sous-traitants possède un niveau de confiance acceptable • Être doté d’un processus de gestion des incidents (correctifs d’urgence) Sécurité de l'IoT 103
  • 104. 6. Étude de cas Sécurité de l'IoT 104