Pascal THIERRY, profile picture
Téléchargé parPascal THIERRY
334 vues

Sécurité de l'IoT

La sécurité de l'internet des objets (IoT) est cruciale face à l'augmentation des menaces numériques, et elle repose sur la confiance et la protection des données des utilisateurs. Orange s'engage à concevoir des solutions IoT sécurisées en intégrant la cybersécurité dès la phase de conception, tout en surveillant en continu les systèmes pour prévenir les vulnérabilités. En collaborant avec divers partenaires et en participant à la standardisation des technologies, Orange vise à garantir une sécurité optimale pour tous les acteurs de l'écosystème IoT.

Mobile
Sujets connexes:
ISO 27001 Overview

Intégrer la présentation

Télécharger pour lire hors ligne
Sécurité de l’IoT
L’avenir de l’IoT, une histoire de confiance Dans un environnement où les menaces liées au numérique ne cessent de croître, la confiance est un prérequis indispensable à la réussite sociétale et commerciale de l’Internet des Objets. Celle-ci se construit par la conception de solutions IoT sécurisées et respectueuses des données et de la vie privée des utilisateurs. Nous pensons que l’Internet des Objets (IoT) doit être accessible à tous et adapté à chacun, tout en s’appuyant sur des réseaux et des plateformes sécurisés et fiables. C’est pourquoi, chez Orange, nous identifions les menaces et étudions les risques propres aux systèmes IoT afin de proposer à nos clients et partenaires des offres aux conditions de sécurité optimales, que celles-ci concernent les objets, les infrastructures réseaux, les plateformes ou les applications. Des Smart Cities à l’Industrie 4.0, de la maison à la voiture connectées, nous apportons également aux entreprises notre expertise en cybersécurité dans des projets de plus en plus nombreux et sensibles, notamment depuis 2016 à travers les activités d’Orange Cyberdéfense. Puisque la sécurité de l’Internet des Objets est l’affaire de l’ensemble des acteurs de l’écosystème, nos experts sécurité investissent les différents champs technologiques et sociétaux du monde de l’IoT à travers leurs travaux de recherche ainsi que leurs contributions à la standardisation, participant de ce fait activement à l’évolution de l’état de l’art au bénéfice de tous les acteurs industriels et des utilisateurs. 3
Des logiciels malveillants scannent en permanence Internet à la recherche de systèmes vulnérables (par ex. non mis à jour) et ouverts (par ex. possédant un mot de passe trivial) comme certaines caméras connectées. Une fois le système identifié, il est infecté et enrôlé dans un botnet pour participer à des attaques de type déni de service massivement distribué. Les botnets d’objets atteignent des records de bande passante. Leurs agressions peuvent être dirigées contre des infrastructures majeures des réseaux Internet, comme le DNS de Dyn en 2016. Une simple caméra connectée, porte ouverte aux attaques par déni de service Tandis que la cybersécurité est devenue une condition sine qua non du bon fonctionnement des réseaux et services numériques, les caractéristiques spécifiques du domaine de l’IoT présentent aujourd’hui encore de nombreuses faiblesses : L’exploitation de ces faiblesses peut être source de véritables menaces pour les services IoT qui y sont liés, permettant par exemple de désorganiser une usine, espionner un domicile, ouvrir une porte, dévier une voiture ou encore arrêter un pacemaker. Les objets peuvent aussi être piratés dans le but de s’introduire dans des systèmes d’information, ou pour leurs seules capacités de calcul et de communication, à l’instar des réseaux d’objets infectés par le malware Mirai en 2016. Ces faiblesses, dues en grande partie au statut des objets et à leur utilisation, représentent autant de problématiques adressées par les équipes sécurité d’Orange. L’opportunité pour les hackers d’agir sur le monde réel, qui engendre de nouveaux comportements malveillants comme l’espionnage, la mise hors service ou la prise de contrôle à distance de certains objets et systèmes. 5 4 La génération d’innombrable données personnelles qui doivent être rigoureusement protégées dans le cadre des droits des utilisateurs au respect de leur vie privée et à la maîtrise de leurs données, en particulier depuis la mise en œuvre de la RGPD. 3 Le déploiement massif d’objets construits sur un même socle qui transforme toute vulnérabilité en une menace à grande échelle. 2 Le positionnement des objets comme point d’entrée vers les réseaux Internet et les systèmes d’informations personnels (LAN domestique) et professionnels (LAN entreprise) des utilisateurs. En effet, la dissémination d’objets dans divers lieux, et la capacité d’y accéder aussi bien en local qu’à distance, étendent la surface d’attaque des réseaux et systèmes amplifiant de fait les risques encourus. 1 L’absence d’une culture forte en matière de sécurité qui vulnérabilise certaines solutions et entraîne des défauts d’implémentation. Un fait constaté par les experts d’Orange qui, au fil de leurs analyses et audits, ont régulièrement retrouvé des objets à peine protégés par un mot de passe unique ou trivial, des ports ouverts, des interfaces radios sans protection, des noyaux obsolètes dans les firmwares ou encore des clés secrètes en clair... L’Internet des Objets, à la fois vecteur et victime de la menace numérique 4
5 « La sécurité, le respect de la vie privée et la confiance sont les prérequis d’un développement rapide, efficace et harmonieux de l’Internet des Objets. » Aujourd’hui, de nombreux acteurs – qu’ils soient publics ou privés, industriels ou civils – ont perçu l’enjeu propre à la sécurité de l’IoT, tant pour son développement économique qu’au regard de son impact sociétal. À ce titre, les équipes sécurité d’Orange se mobilisent dans le cadre de nombreux projets internes ainsi que des projets initiés par des partenaires. Elles garantissent la mise en œuvre à un instant donné du meilleur niveau de sécurité compte tenu des objectifs du service et de l’état de l’art du domaine, tout en contribuant, en amont, à l’évolution des technologies de l’IoT vers plus de sécurité.
A travers la connectivité offerte par ses réseaux cellulaire et LPWA (comme LoRa), ainsi que la gestion des objets et des données via Datavenue (plateformes de médiation Live Objects et DataShare), Orange est présent sur l’ensemble de la chaîne de service IoT adressant sur chaque maillon la sécurité et la protection des services IoT, ainsi que des données concernées. Notre engagement : Fournir des solutions IoT sécurisées à tous les niveaux Notre démarche : Prendre en compte tous les risques en amont de la phase de conception Chez Orange, nous pensons que la sécurité doit être prise en compte à chaque étape d’un projet, de sa conception à son opération. Depuis 2010, nous mettons ainsi en pratique notre Charte sur la protection des données personnelles et de la vie privée et appliquons à l’IoT les méthodes du « Security by Design ». Basées sur le standard ISO 27001, ces méthodes intègrent également la mise en conformité avec la réglementation européenne sur la protection des données (RGPD). Au cours de chaque projet sont évaluées les menaces qui pèsent sur le client final, les partenaires ou les infrastructures d’Orange afin d’adapter le niveau de sécurité aux risques identifiés. En complément des audits de l’organisation et des processus de sécurité, des audits techniques internes des produits et services du Groupe sont réalisés pour contrôler la sécurité effective mise en œuvre. En phase opérationnelle, les services font l’objet d’une supervision de sécurité et d’amélioration continue en fonction des anomalies détectées. « Un IoT mal sécurisé est une menace pour les nouveaux services, les données générées et pour l’Internet en général. La sécurité de l’IoT est l’affaire de tous les acteurs de la chaîne de valeur. » Nos réponses s’adaptent aux besoins spécifiques de l’IoT Un processus d’évaluation propre aux objets Pour assurer la sécurité des objets proposés dans ses différents catalogues à destination des entreprises et du grand public nous avons monté une équipe et mis en place un processus d’évaluation spécifique, comprenant un cahier des charges de la sécurité ainsi que l’audit matériel et logiciel des objets pour les cas d’usage les plus sensibles. Au-delà des objets, les applications web et mobiles sont également auditées. La standardisation de la sécurité des réseaux Nous avons vocation à connecter tous les objets. Notre Groupe a construit pour cela un réseau LPWA (LoRa), dont la couverture est désormais nationale en France. En parallèle, ses réseaux cellulaires sont mis à niveau pour répondre aux besoins de l’IoT (évolution de la 4G vers le LTE-M). Les composants radio et cœur de ces réseaux sont systématiquement audités. Un important travail est fait en normalisation pour standardiser la sécurité de ces équipements. Des plateformes IoT conformes à la RGPD Au sein de notre ensemble de solutions pour l’IoT Datavenue, les plateformes de médiation d’Orange (Live Objects pour la gestion des objets et la collecte des données ; DataShare pour le partage, par l’utilisateur, de ses données entre différents services) sont conçues pour permettre à nos clients en mode B2B, B2C ou B2B2C d’être conformes à leurs obligations relatives à la RGPD, tout en garantissant un niveau de sécurité adapté aux principales verticales de l’IoT. Nous plaçons la sécurité au cœur de nos offres pour l’Internet des Objets 6
Surveillance des objets d’une entreprise Que ce soient des objets utilisés dans des environnements industriels (automates, tablettes…), des objets connectés à un réseau d’entreprise (caméras de surveillances…), ou des objets mobiles (voitures connectées, mobiles professionnels, montres…), Orange Cyberdefense a les capacités de surveiller les trafics des multiples objets de ses clients, de corréler les informations du trafic avec les informations de malveillances sur Internet, et d’alerter et réagir en cas de comportement suspicieux. 4 Accompagnement dans l’implémentation de solutions de détection et de défense • Gestion de l’identité et des secrets des objets ; • Analyse comportementale des objets dans le réseau ; • Mise en œuvre de solutions spécifiques pour la sécurisation de certains réseaux. 3 • Audits des réseaux utilisés et des évènements radio ; • Audits de bout en bout. Orange Cyberdefense a, dans ce sens, accompagné un fabricant de domotique pour réaliser des audits techniques sur des boîtiers servant à contrôler à distance les systèmes de chauffage grand public. Analyse sous l’angle sécurité de la solution envisagée Ce travail se fait en quatre temps : • Audit du matériel et du logiciel des objets : par exemple de l’automate qui contrôle un système de refroidissement d’une usine à l’objet connecté dans la maison qui contrôle la température ambiante ; • Audits des plateformes : les plateformes de gestion des objets sont nombreuses sur le marché, et le choix du client est analysé en termes de sécurité ; 2 Un accompagnement sur mesure A chaque cas d’usage son analyse. Un bouton connecté qui permet de dire qu’il n’y a plus de canettes dans un distributeur n’est pas comparable à un pacemaker ou à un contrôleur d’ascenseur : la mise en œuvre de la sécurité dépend toujours d’un risque identifié. D’autres facteurs influencent l’accompagnement. Orange Cyberdefense a ainsi accompagné un client du BTP dans le cadre de la construction d’un nouveau bâtiment connecté. Les solutions pour la « Gestion Technique des Bâtiments » nécessitaient une prise en compte de l’organisation du client et de ses processus (cahier des charges, projet de mise en œuvre, pilotage du projet) ce qui a permis une sécurisation sur toute la chaîne. 1 Qu’ils utilisent des infrastructures IoT d’Orange ou les leurs, les clients B2B d’Orange Cyberdefense se voient proposer un accompagnement de bout en bout sur les questions relatives à la sécurité, allant du conseil à la supervision des infrastructures et services. Pour cela, Orange Cyberdefense applique à chaque projet client les méthodologies de l’IT classique, et prend en compte les spécificités de l’IoT : Orange Cyberdéfense, notre expert en sécurité IoT au service des clients entreprises 7
« Nous offrons des réseaux et des plateformes pour l’Internet des Objets qui implémentent les meilleurs standards de sécurité et sont adaptés à tous les usages. » 8
Dans le domaine des réseaux, Orange a participé à la spécification de la sécurité du protocole de communication des objets LoRaWAN, au sein de la LoRa Alliance, en y partageant les résultats des analyses cryptographiques et les propositions d’améliorations faites par les chercheurs des Orange Labs. OneM2M est un organisme visant à standardiser un middleware IoT utilisable par les objets comme les plateformes, indépendamment des verticales et des services. Orange y est très actif au sujet de l’élaboration des fonctions de sécurité de bout en bout comme par exemple la mise à jour du logiciel des objets. Le Groupe a ainsi contribué à la prise en compte d’éléments de sécurité, comme la carte (e)SIM, et participe désormais à la mise en route du processus de certification oneM2M par le Global Certification Forum. « La sécurité de l’Internet des Objets est un terrain d’expertise et d’innovation pour Orange. » Une amélioration continue des technologies de sécurité de l’IoT La sécurité de l’Internet des Objets ne se pense pas seulement au moment de la construction des offres. Chez Orange, nous pensons qu’il est essentiel de l’anticiper et de la faire évoluer en amont, dans des standards qui profiteront « by design » à toute l’industrie et aux utilisateurs. La sécurité de l’IoT est ainsi un terrain d’innovations au cœur de nos programmes de recherche Orange contribue à la définition et l’homogénéisation des standards de sécurité de l’IoT à travers son investissement auprès de plusieurs organismes : ETSI, 3GPP, LoRa Alliance, oneM2M et GSMA. Auprès de la GSMA, Orange a par exemple activement contribué à l’élaboration d’un référentiel de sécurité – récemment mis à jour pour le RGPD – allant des objets aux applications en passant par les réseaux. Celui-ci est désormais utilisé pour décliner les processus internes d’analyse de risque pour l’IoT. Convaincu du bien-fondé de ce document, Orange invite tous ses partenaires, et plus particulièrement les fabricants d’objets, à l’utiliser pour le développement de leurs produits. Il est disponible sur le portail de la GSMA ou directement sur le portail Orange Developer. En complément, Orange Espagne et Orange Cyberdéfense ont développé l’expertise nécessaire à l’accompagnement de leurs clients dans l’analyse des risques de leurs projets, ainsi que dans l’intégration et la mise en œuvre des exigences de ce référentiel. Ils sont référencés pour cela par la GSMA. Nous contribuons à l’élaboration des standards de sécurité 9
C’est avec une vision à long terme que la Recherche d’Orange investit largement sur l’Internet des Objets, en portant une attention particulière aux technologies de sécurité adaptées aux nouveaux usages. Tout un pan de notre Recherche s’intéresse ainsi aux briques de sécurité fondamentales adaptées aux objets, et notamment aux objets de faible capacité : cryptographie légère, procédé de mise à jour de faible empreinte mémoire, architectures matérielles et logicielles de bas niveau ayant des propriétés de sécurité prouvées formellement, etc. Un autre sujet de Recherche concerne les nouveaux usages (Automobile, Energie, Santé, Agriculture …) tirant bénéfice de la proximité géographique des équipements réseau (technologie Fog, bordure du réseau 5G) par exemple pour leur faible latence, et des infrastructures virtualisées (SDN/NFV). Ces architectures apportent de nouveaux challenges de sécurité liés notamment à la responsabilité de l’opérateur dans une infrastructure composée de multiples parties et fonctions. Elle invite à inventer de nouveaux schémas de certification adaptés aux risques de l’IoT et à la complexité des infrastructures virtualisées. Autre axe prometteur de la Recherche menée par Orange : les mécanismes de supervision du comportement des objets. A partir de techniques de machine learning utilisées pour apprendre le comportement des objets, l’objectif est de détecter l’exploitation de vulnérabilités dans un réseau domestique ou un réseau d’entreprise, afin d’y apporter les réponses adaptées. Ces travaux nourrissent à la fois la recherche académique, les projets collaboratifs (par exemple le Projet Européen Celtic ODSI, ou le Projet 5G Croco) et les contributions en normalisation. Nous sommes fortement impliqués dans la recherche Thing’in, un moteur de recherche de l’IoT sécurisé La plateforme intégrative Thing’in illustre bien le souci d’Orange de respecter la vie privée des utilisateurs et de leur donner le contrôle de leurs données. Ce moteur de recherche du Web of Things permet aux usagers de retrouver des objets via des requêtes ciblant, entre autres, leur nature, leur position, leur contexte ou la sémantique qui leur est attachée. Pour protéger les données générées, Thing’in met en œuvre des mécanismes de sécurité destinés à réguler, d’une part, l’utilisation des API de la plateforme (via des mécanismes de contrôle d’accès), et à définir, d’autre part, des niveaux de visibilité différents sur les avatars d’objets ou leurs attributs (identifiant, position, description). Deux utilisateurs ne verront donc pas de la même façon un même objet. A l’instar des réseaux sociaux, l’Internet des Objets permet de partager et de déléguer des droits sur des objets de manière ouverte (à une large échelle d’utilisateurs, voire publiquement) ou restreinte (dans des groupes limités ou fermés d’utilisateurs). La recherche d’Orange travaille à l’élaboration de solutions permettant la délégation de droits sur des objets dans des plateformes IoT existantes ou à venir. Les futures plateformes pourront, par exemple, intégrer des systèmes de gestion de contrôle d’accès basés sur les protocoles standards du Web (OAuth et ses extensions comme User Managed Access UMA) ou sur des systèmes de type Blockchain. La diversité des usages et des contextes nécessitera une variété de solutions qu’une plateforme IoT pourra rendre agnostique aux services. Déléguer des droits sur des objets de manière sécurisée 10
« Des objets aux données en passant par les réseaux et les plateformes, de ses propres services à ceux de ses partenaires, des technologies présentes à celles du futur, Orange investit tous les champs de la sécurité de l’Internet des Objets pour rester encore et toujours l’acteur de confiance de nos clients. » 11
Sécurité de l'IoT

Contenu connexe

PDF
Application mobile bancaire sous la plateforme Android
parKhaled Fayala
 
PPTX
Sécurité de l'IoT | Internet des objets - Formation d'une journée
parTactika inc.
 
PDF
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
parYasmine Lachheb
 
PPTX
Présentation des IoT
parLakhdar Meftah
 
PPTX
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
PDF
Internet des objets (IoT)
parbruno-dambrun
 
PDF
QCM Sécurité Informatique
parZakariyaa AIT ELMOUDEN
 
PDF
CONCEPTION ET REALISATION D’UN RESEAU DE CAPTEURS SANS FILS APPLICATION : AGR...
parabdelaligougou1
 
Application mobile bancaire sous la plateforme Android
parKhaled Fayala
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
parTactika inc.
 
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
parYasmine Lachheb
 
Présentation des IoT
parLakhdar Meftah
 
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
Internet des objets (IoT)
parbruno-dambrun
 
QCM Sécurité Informatique
parZakariyaa AIT ELMOUDEN
 
CONCEPTION ET REALISATION D’UN RESEAU DE CAPTEURS SANS FILS APPLICATION : AGR...
parabdelaligougou1
 

Tendances

PDF
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
parRiadh K.
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
Conception et développement d’une place de marché B2C
parNassim Bahri
 
PDF
Présentation Méthode EBIOS Risk Manager
parComsoce
 
PPTX
Projet de fin d'etude sur le parc informatique
parHicham Ben
 
PDF
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
PDF
Internet Of Things
parTahraoui Samir
 
PDF
Rapport du Projet de Fin d'année Génie informatique
parayoub daoudi
 
PDF
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
PDF
Conception et développement d'une application Android pour TUNISAIR
parSkander Driss
 
PDF
Rapport de projet de fin d'année
parkaies Labiedh
 
PDF
Introduction au Cloud Computing
parFICEL Hemza
 
PPTX
Présentation de mon PFE
parNadir Haouari
 
PDF
Rapport_PFE_Securite (1).pdf
parAhmedDhib6
 
PPTX
Soutenance mémoire- IoT
parSalma Andoh
 
PDF
Conception et Réalisation Application Web Laravel PFE BTS
parFaissoilMkavavo
 
DOC
Rapport de stage nagios
parhindif
 
PDF
Le Management de la sécurité des SI
parDIALLO Boubacar
 
PDF
Projet administration-sécurité-réseaux
parRabeb Boumaiza
 
PDF
Rapport de projet de fin d'étude licence informatique et multimédia
parNazih Heni
 
Rapport PFE : Développement D'une application de gestion des cartes de fidéli...
parRiadh K.
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
Conception et développement d’une place de marché B2C
parNassim Bahri
 
Présentation Méthode EBIOS Risk Manager
parComsoce
 
Projet de fin d'etude sur le parc informatique
parHicham Ben
 
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
Internet Of Things
parTahraoui Samir
 
Rapport du Projet de Fin d'année Génie informatique
parayoub daoudi
 
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
Conception et développement d'une application Android pour TUNISAIR
parSkander Driss
 
Rapport de projet de fin d'année
parkaies Labiedh
 
Introduction au Cloud Computing
parFICEL Hemza
 
Présentation de mon PFE
parNadir Haouari
 
Rapport_PFE_Securite (1).pdf
parAhmedDhib6
 
Soutenance mémoire- IoT
parSalma Andoh
 
Conception et Réalisation Application Web Laravel PFE BTS
parFaissoilMkavavo
 
Rapport de stage nagios
parhindif
 
Le Management de la sécurité des SI
parDIALLO Boubacar
 
Projet administration-sécurité-réseaux
parRabeb Boumaiza
 
Rapport de projet de fin d'étude licence informatique et multimédia
parNazih Heni
 

Similaire à Sécurité de l'IoT

PPTX
Internet Of Things Security
parHamza Ben Marzouk
 
PDF
Internet des objets : quels défis pour la protection des données personnelles ?
parRadouane Mrabet
 
PDF
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
parCITC-EuraRFID
 
PDF
Econocom - Livre Blanc IoT
parJean-Luc Lemire
 
PDF
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
parCapgemini
 
PDF
Ping City Tour Paris - Identité des Objets
parBertrand Carlier
 
PDF
Sécurité des IoT
parPierre Levesque
 
PPTX
Wavestone - IAM of Things / Identité des objets connectés
parKévin Guérin
 
PDF
Sécuriser votre environnement de l'Internet des objets (IoT)
parColloqueRISQ
 
PPTX
MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?
parTechnofutur TIC
 
PDF
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
parIBM France Lab
 
PDF
Les objets connectés
parAntoine Vigneron
 
PPTX
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
parWitekio
 
PDF
IoT, Sécurité et Santé: un cocktail détonnant ?
parAntoine Vigneron
 
PDF
earlegal #12 - Technologies émergentes et protection des données : à quoi fai...
parLexing - Belgium
 
DOC
NV-chapitre-3 (2).doc
parKhalfallahWafa
 
PPTX
Internet_des Objets iot_Presentation.pptx
parRabaaouiAmmar
 
PDF
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
parDig-IT
 
PDF
Inria | Livre blanc Internet des objets (novembre 2021)
parInria
 
PDF
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?
parTelecomValley
 
Internet Of Things Security
parHamza Ben Marzouk
 
Internet des objets : quels défis pour la protection des données personnelles ?
parRadouane Mrabet
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
parCITC-EuraRFID
 
Econocom - Livre Blanc IoT
parJean-Luc Lemire
 
CWIN18 Paris_Introduction Nathalie Kosciusko-Morizet
parCapgemini
 
Ping City Tour Paris - Identité des Objets
parBertrand Carlier
 
Sécurité des IoT
parPierre Levesque
 
Wavestone - IAM of Things / Identité des objets connectés
parKévin Guérin
 
Sécuriser votre environnement de l'Internet des objets (IoT)
parColloqueRISQ
 
MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?
parTechnofutur TIC
 
IBM Bluemix Paris Meetup #21-20170131 Meetup @Ingima - Iot & Sécurité
parIBM France Lab
 
Les objets connectés
parAntoine Vigneron
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
parWitekio
 
IoT, Sécurité et Santé: un cocktail détonnant ?
parAntoine Vigneron
 
earlegal #12 - Technologies émergentes et protection des données : à quoi fai...
parLexing - Belgium
 
NV-chapitre-3 (2).doc
parKhalfallahWafa
 
Internet_des Objets iot_Presentation.pptx
parRabaaouiAmmar
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
parDig-IT
 
Inria | Livre blanc Internet des objets (novembre 2021)
parInria
 
QUELLE SÉCURITÉ POUR UNE VILLE DU FUTUR ?
parTelecomValley
 

Sécurité de l'IoT

  • 1.
  • 3.
    L’avenir de l’IoT, unehistoire de confiance Dans un environnement où les menaces liées au numérique ne cessent de croître, la confiance est un prérequis indispensable à la réussite sociétale et commerciale de l’Internet des Objets. Celle-ci se construit par la conception de solutions IoT sécurisées et respectueuses des données et de la vie privée des utilisateurs. Nous pensons que l’Internet des Objets (IoT) doit être accessible à tous et adapté à chacun, tout en s’appuyant sur des réseaux et des plateformes sécurisés et fiables. C’est pourquoi, chez Orange, nous identifions les menaces et étudions les risques propres aux systèmes IoT afin de proposer à nos clients et partenaires des offres aux conditions de sécurité optimales, que celles-ci concernent les objets, les infrastructures réseaux, les plateformes ou les applications. Des Smart Cities à l’Industrie 4.0, de la maison à la voiture connectées, nous apportons également aux entreprises notre expertise en cybersécurité dans des projets de plus en plus nombreux et sensibles, notamment depuis 2016 à travers les activités d’Orange Cyberdéfense. Puisque la sécurité de l’Internet des Objets est l’affaire de l’ensemble des acteurs de l’écosystème, nos experts sécurité investissent les différents champs technologiques et sociétaux du monde de l’IoT à travers leurs travaux de recherche ainsi que leurs contributions à la standardisation, participant de ce fait activement à l’évolution de l’état de l’art au bénéfice de tous les acteurs industriels et des utilisateurs. 3
  • 4.
    Des logiciels malveillantsscannent en permanence Internet à la recherche de systèmes vulnérables (par ex. non mis à jour) et ouverts (par ex. possédant un mot de passe trivial) comme certaines caméras connectées. Une fois le système identifié, il est infecté et enrôlé dans un botnet pour participer à des attaques de type déni de service massivement distribué. Les botnets d’objets atteignent des records de bande passante. Leurs agressions peuvent être dirigées contre des infrastructures majeures des réseaux Internet, comme le DNS de Dyn en 2016. Une simple caméra connectée, porte ouverte aux attaques par déni de service Tandis que la cybersécurité est devenue une condition sine qua non du bon fonctionnement des réseaux et services numériques, les caractéristiques spécifiques du domaine de l’IoT présentent aujourd’hui encore de nombreuses faiblesses : L’exploitation de ces faiblesses peut être source de véritables menaces pour les services IoT qui y sont liés, permettant par exemple de désorganiser une usine, espionner un domicile, ouvrir une porte, dévier une voiture ou encore arrêter un pacemaker. Les objets peuvent aussi être piratés dans le but de s’introduire dans des systèmes d’information, ou pour leurs seules capacités de calcul et de communication, à l’instar des réseaux d’objets infectés par le malware Mirai en 2016. Ces faiblesses, dues en grande partie au statut des objets et à leur utilisation, représentent autant de problématiques adressées par les équipes sécurité d’Orange. L’opportunité pour les hackers d’agir sur le monde réel, qui engendre de nouveaux comportements malveillants comme l’espionnage, la mise hors service ou la prise de contrôle à distance de certains objets et systèmes. 5 4 La génération d’innombrable données personnelles qui doivent être rigoureusement protégées dans le cadre des droits des utilisateurs au respect de leur vie privée et à la maîtrise de leurs données, en particulier depuis la mise en œuvre de la RGPD. 3 Le déploiement massif d’objets construits sur un même socle qui transforme toute vulnérabilité en une menace à grande échelle. 2 Le positionnement des objets comme point d’entrée vers les réseaux Internet et les systèmes d’informations personnels (LAN domestique) et professionnels (LAN entreprise) des utilisateurs. En effet, la dissémination d’objets dans divers lieux, et la capacité d’y accéder aussi bien en local qu’à distance, étendent la surface d’attaque des réseaux et systèmes amplifiant de fait les risques encourus. 1 L’absence d’une culture forte en matière de sécurité qui vulnérabilise certaines solutions et entraîne des défauts d’implémentation. Un fait constaté par les experts d’Orange qui, au fil de leurs analyses et audits, ont régulièrement retrouvé des objets à peine protégés par un mot de passe unique ou trivial, des ports ouverts, des interfaces radios sans protection, des noyaux obsolètes dans les firmwares ou encore des clés secrètes en clair... L’Internet des Objets, à la fois vecteur et victime de la menace numérique 4
  • 5.
    5 « La sécurité, lerespect de la vie privée et la confiance sont les prérequis d’un développement rapide, efficace et harmonieux de l’Internet des Objets. » Aujourd’hui, de nombreux acteurs – qu’ils soient publics ou privés, industriels ou civils – ont perçu l’enjeu propre à la sécurité de l’IoT, tant pour son développement économique qu’au regard de son impact sociétal. À ce titre, les équipes sécurité d’Orange se mobilisent dans le cadre de nombreux projets internes ainsi que des projets initiés par des partenaires. Elles garantissent la mise en œuvre à un instant donné du meilleur niveau de sécurité compte tenu des objectifs du service et de l’état de l’art du domaine, tout en contribuant, en amont, à l’évolution des technologies de l’IoT vers plus de sécurité.
  • 6.
    A travers laconnectivité offerte par ses réseaux cellulaire et LPWA (comme LoRa), ainsi que la gestion des objets et des données via Datavenue (plateformes de médiation Live Objects et DataShare), Orange est présent sur l’ensemble de la chaîne de service IoT adressant sur chaque maillon la sécurité et la protection des services IoT, ainsi que des données concernées. Notre engagement : Fournir des solutions IoT sécurisées à tous les niveaux Notre démarche : Prendre en compte tous les risques en amont de la phase de conception Chez Orange, nous pensons que la sécurité doit être prise en compte à chaque étape d’un projet, de sa conception à son opération. Depuis 2010, nous mettons ainsi en pratique notre Charte sur la protection des données personnelles et de la vie privée et appliquons à l’IoT les méthodes du « Security by Design ». Basées sur le standard ISO 27001, ces méthodes intègrent également la mise en conformité avec la réglementation européenne sur la protection des données (RGPD). Au cours de chaque projet sont évaluées les menaces qui pèsent sur le client final, les partenaires ou les infrastructures d’Orange afin d’adapter le niveau de sécurité aux risques identifiés. En complément des audits de l’organisation et des processus de sécurité, des audits techniques internes des produits et services du Groupe sont réalisés pour contrôler la sécurité effective mise en œuvre. En phase opérationnelle, les services font l’objet d’une supervision de sécurité et d’amélioration continue en fonction des anomalies détectées. « Un IoT mal sécurisé est une menace pour les nouveaux services, les données générées et pour l’Internet en général. La sécurité de l’IoT est l’affaire de tous les acteurs de la chaîne de valeur. » Nos réponses s’adaptent aux besoins spécifiques de l’IoT Un processus d’évaluation propre aux objets Pour assurer la sécurité des objets proposés dans ses différents catalogues à destination des entreprises et du grand public nous avons monté une équipe et mis en place un processus d’évaluation spécifique, comprenant un cahier des charges de la sécurité ainsi que l’audit matériel et logiciel des objets pour les cas d’usage les plus sensibles. Au-delà des objets, les applications web et mobiles sont également auditées. La standardisation de la sécurité des réseaux Nous avons vocation à connecter tous les objets. Notre Groupe a construit pour cela un réseau LPWA (LoRa), dont la couverture est désormais nationale en France. En parallèle, ses réseaux cellulaires sont mis à niveau pour répondre aux besoins de l’IoT (évolution de la 4G vers le LTE-M). Les composants radio et cœur de ces réseaux sont systématiquement audités. Un important travail est fait en normalisation pour standardiser la sécurité de ces équipements. Des plateformes IoT conformes à la RGPD Au sein de notre ensemble de solutions pour l’IoT Datavenue, les plateformes de médiation d’Orange (Live Objects pour la gestion des objets et la collecte des données ; DataShare pour le partage, par l’utilisateur, de ses données entre différents services) sont conçues pour permettre à nos clients en mode B2B, B2C ou B2B2C d’être conformes à leurs obligations relatives à la RGPD, tout en garantissant un niveau de sécurité adapté aux principales verticales de l’IoT. Nous plaçons la sécurité au cœur de nos offres pour l’Internet des Objets 6
  • 7.
    Surveillance des objetsd’une entreprise Que ce soient des objets utilisés dans des environnements industriels (automates, tablettes…), des objets connectés à un réseau d’entreprise (caméras de surveillances…), ou des objets mobiles (voitures connectées, mobiles professionnels, montres…), Orange Cyberdefense a les capacités de surveiller les trafics des multiples objets de ses clients, de corréler les informations du trafic avec les informations de malveillances sur Internet, et d’alerter et réagir en cas de comportement suspicieux. 4 Accompagnement dans l’implémentation de solutions de détection et de défense • Gestion de l’identité et des secrets des objets ; • Analyse comportementale des objets dans le réseau ; • Mise en œuvre de solutions spécifiques pour la sécurisation de certains réseaux. 3 • Audits des réseaux utilisés et des évènements radio ; • Audits de bout en bout. Orange Cyberdefense a, dans ce sens, accompagné un fabricant de domotique pour réaliser des audits techniques sur des boîtiers servant à contrôler à distance les systèmes de chauffage grand public. Analyse sous l’angle sécurité de la solution envisagée Ce travail se fait en quatre temps : • Audit du matériel et du logiciel des objets : par exemple de l’automate qui contrôle un système de refroidissement d’une usine à l’objet connecté dans la maison qui contrôle la température ambiante ; • Audits des plateformes : les plateformes de gestion des objets sont nombreuses sur le marché, et le choix du client est analysé en termes de sécurité ; 2 Un accompagnement sur mesure A chaque cas d’usage son analyse. Un bouton connecté qui permet de dire qu’il n’y a plus de canettes dans un distributeur n’est pas comparable à un pacemaker ou à un contrôleur d’ascenseur : la mise en œuvre de la sécurité dépend toujours d’un risque identifié. D’autres facteurs influencent l’accompagnement. Orange Cyberdefense a ainsi accompagné un client du BTP dans le cadre de la construction d’un nouveau bâtiment connecté. Les solutions pour la « Gestion Technique des Bâtiments » nécessitaient une prise en compte de l’organisation du client et de ses processus (cahier des charges, projet de mise en œuvre, pilotage du projet) ce qui a permis une sécurisation sur toute la chaîne. 1 Qu’ils utilisent des infrastructures IoT d’Orange ou les leurs, les clients B2B d’Orange Cyberdefense se voient proposer un accompagnement de bout en bout sur les questions relatives à la sécurité, allant du conseil à la supervision des infrastructures et services. Pour cela, Orange Cyberdefense applique à chaque projet client les méthodologies de l’IT classique, et prend en compte les spécificités de l’IoT : Orange Cyberdéfense, notre expert en sécurité IoT au service des clients entreprises 7
  • 8.
    « Nous offrons desréseaux et des plateformes pour l’Internet des Objets qui implémentent les meilleurs standards de sécurité et sont adaptés à tous les usages. » 8
  • 9.
    Dans le domainedes réseaux, Orange a participé à la spécification de la sécurité du protocole de communication des objets LoRaWAN, au sein de la LoRa Alliance, en y partageant les résultats des analyses cryptographiques et les propositions d’améliorations faites par les chercheurs des Orange Labs. OneM2M est un organisme visant à standardiser un middleware IoT utilisable par les objets comme les plateformes, indépendamment des verticales et des services. Orange y est très actif au sujet de l’élaboration des fonctions de sécurité de bout en bout comme par exemple la mise à jour du logiciel des objets. Le Groupe a ainsi contribué à la prise en compte d’éléments de sécurité, comme la carte (e)SIM, et participe désormais à la mise en route du processus de certification oneM2M par le Global Certification Forum. « La sécurité de l’Internet des Objets est un terrain d’expertise et d’innovation pour Orange. » Une amélioration continue des technologies de sécurité de l’IoT La sécurité de l’Internet des Objets ne se pense pas seulement au moment de la construction des offres. Chez Orange, nous pensons qu’il est essentiel de l’anticiper et de la faire évoluer en amont, dans des standards qui profiteront « by design » à toute l’industrie et aux utilisateurs. La sécurité de l’IoT est ainsi un terrain d’innovations au cœur de nos programmes de recherche Orange contribue à la définition et l’homogénéisation des standards de sécurité de l’IoT à travers son investissement auprès de plusieurs organismes : ETSI, 3GPP, LoRa Alliance, oneM2M et GSMA. Auprès de la GSMA, Orange a par exemple activement contribué à l’élaboration d’un référentiel de sécurité – récemment mis à jour pour le RGPD – allant des objets aux applications en passant par les réseaux. Celui-ci est désormais utilisé pour décliner les processus internes d’analyse de risque pour l’IoT. Convaincu du bien-fondé de ce document, Orange invite tous ses partenaires, et plus particulièrement les fabricants d’objets, à l’utiliser pour le développement de leurs produits. Il est disponible sur le portail de la GSMA ou directement sur le portail Orange Developer. En complément, Orange Espagne et Orange Cyberdéfense ont développé l’expertise nécessaire à l’accompagnement de leurs clients dans l’analyse des risques de leurs projets, ainsi que dans l’intégration et la mise en œuvre des exigences de ce référentiel. Ils sont référencés pour cela par la GSMA. Nous contribuons à l’élaboration des standards de sécurité 9
  • 10.
    C’est avec unevision à long terme que la Recherche d’Orange investit largement sur l’Internet des Objets, en portant une attention particulière aux technologies de sécurité adaptées aux nouveaux usages. Tout un pan de notre Recherche s’intéresse ainsi aux briques de sécurité fondamentales adaptées aux objets, et notamment aux objets de faible capacité : cryptographie légère, procédé de mise à jour de faible empreinte mémoire, architectures matérielles et logicielles de bas niveau ayant des propriétés de sécurité prouvées formellement, etc. Un autre sujet de Recherche concerne les nouveaux usages (Automobile, Energie, Santé, Agriculture …) tirant bénéfice de la proximité géographique des équipements réseau (technologie Fog, bordure du réseau 5G) par exemple pour leur faible latence, et des infrastructures virtualisées (SDN/NFV). Ces architectures apportent de nouveaux challenges de sécurité liés notamment à la responsabilité de l’opérateur dans une infrastructure composée de multiples parties et fonctions. Elle invite à inventer de nouveaux schémas de certification adaptés aux risques de l’IoT et à la complexité des infrastructures virtualisées. Autre axe prometteur de la Recherche menée par Orange : les mécanismes de supervision du comportement des objets. A partir de techniques de machine learning utilisées pour apprendre le comportement des objets, l’objectif est de détecter l’exploitation de vulnérabilités dans un réseau domestique ou un réseau d’entreprise, afin d’y apporter les réponses adaptées. Ces travaux nourrissent à la fois la recherche académique, les projets collaboratifs (par exemple le Projet Européen Celtic ODSI, ou le Projet 5G Croco) et les contributions en normalisation. Nous sommes fortement impliqués dans la recherche Thing’in, un moteur de recherche de l’IoT sécurisé La plateforme intégrative Thing’in illustre bien le souci d’Orange de respecter la vie privée des utilisateurs et de leur donner le contrôle de leurs données. Ce moteur de recherche du Web of Things permet aux usagers de retrouver des objets via des requêtes ciblant, entre autres, leur nature, leur position, leur contexte ou la sémantique qui leur est attachée. Pour protéger les données générées, Thing’in met en œuvre des mécanismes de sécurité destinés à réguler, d’une part, l’utilisation des API de la plateforme (via des mécanismes de contrôle d’accès), et à définir, d’autre part, des niveaux de visibilité différents sur les avatars d’objets ou leurs attributs (identifiant, position, description). Deux utilisateurs ne verront donc pas de la même façon un même objet. A l’instar des réseaux sociaux, l’Internet des Objets permet de partager et de déléguer des droits sur des objets de manière ouverte (à une large échelle d’utilisateurs, voire publiquement) ou restreinte (dans des groupes limités ou fermés d’utilisateurs). La recherche d’Orange travaille à l’élaboration de solutions permettant la délégation de droits sur des objets dans des plateformes IoT existantes ou à venir. Les futures plateformes pourront, par exemple, intégrer des systèmes de gestion de contrôle d’accès basés sur les protocoles standards du Web (OAuth et ses extensions comme User Managed Access UMA) ou sur des systèmes de type Blockchain. La diversité des usages et des contextes nécessitera une variété de solutions qu’une plateforme IoT pourra rendre agnostique aux services. Déléguer des droits sur des objets de manière sécurisée 10
  • 11.
    « Des objets auxdonnées en passant par les réseaux et les plateformes, de ses propres services à ceux de ses partenaires, des technologies présentes à celles du futur, Orange investit tous les champs de la sécurité de l’Internet des Objets pour rester encore et toujours l’acteur de confiance de nos clients. » 11