SlideShare une entreprise Scribd logo
Sécurité
de l’IoT
L’avenir de l’IoT,
une histoire de confiance
Dans un environnement où les menaces liées au numérique ne cessent de croître,
la confiance est un prérequis indispensable à la réussite sociétale et commerciale
de l’Internet des Objets. Celle-ci se construit par la conception de solutions IoT
sécurisées et respectueuses des données et de la vie privée des utilisateurs.
Nous pensons que l’Internet des Objets
(IoT) doit être accessible à tous et adapté à
chacun, tout en s’appuyant sur des réseaux
et des plateformes sécurisés et fiables. C’est
pourquoi, chez Orange, nous identifions les
menaces et étudions les risques propres aux
systèmes IoT afin de proposer à nos clients
et partenaires des offres aux conditions de
sécurité optimales, que celles-ci concernent
les objets, les infrastructures réseaux, les
plateformes ou les applications.
Des Smart Cities à l’Industrie 4.0, de la
maison à la voiture connectées, nous
apportons également aux entreprises notre
expertise en cybersécurité dans des projets
de plus en plus nombreux et sensibles,
notamment depuis 2016 à travers les
activités d’Orange Cyberdéfense.
Puisque la sécurité de l’Internet des Objets
est l’affaire de l’ensemble des acteurs
de l’écosystème, nos experts sécurité
investissent les différents champs
technologiques et sociétaux du monde de
l’IoT à travers leurs travaux de recherche ainsi
que leurs contributions à la standardisation,
participant de ce fait activement à l’évolution
de l’état de l’art au bénéfice de tous les
acteurs industriels et des utilisateurs.
3
Des logiciels malveillants scannent en
permanence Internet à la recherche de systèmes
vulnérables (par ex. non mis à jour) et ouverts
(par ex. possédant un mot de passe trivial)
comme certaines caméras connectées. Une
fois le système identifié, il est infecté et enrôlé
dans un botnet pour participer à des attaques
de type déni de service massivement distribué.
Les botnets d’objets atteignent des records de
bande passante. Leurs agressions peuvent être
dirigées contre des infrastructures majeures
des réseaux Internet, comme le DNS de Dyn en
2016.
Une simple caméra connectée,
porte ouverte aux attaques par
déni de service
Tandis que la cybersécurité est devenue une condition
sine qua non du bon fonctionnement des réseaux et
services numériques, les caractéristiques spécifiques
du domaine de l’IoT présentent aujourd’hui encore de
nombreuses faiblesses :
L’exploitation de ces faiblesses peut être source de
véritables menaces pour les services IoT qui y sont liés,
permettant par exemple de désorganiser une usine,
espionner un domicile, ouvrir une porte, dévier une
voiture ou encore arrêter un pacemaker.
Les objets peuvent aussi être piratés dans le but de
s’introduire dans des systèmes d’information, ou pour
leurs seules capacités de calcul et de communication,
à l’instar des réseaux d’objets infectés par le malware
Mirai en 2016.
Ces faiblesses, dues en grande partie au statut des
objets et à leur utilisation, représentent autant de
problématiques adressées par les équipes sécurité
d’Orange.
L’opportunité pour les hackers d’agir sur
le monde réel, qui engendre de nouveaux
comportements malveillants comme
l’espionnage, la mise hors service ou la prise
de contrôle à distance de certains objets et
systèmes.
5
4 La génération d’innombrable données
personnelles qui doivent être rigoureusement
protégées dans le cadre des droits des
utilisateurs au respect de leur vie privée et à la
maîtrise de leurs données, en particulier depuis
la mise en œuvre de la RGPD.
3 Le déploiement massif d’objets construits
sur un même socle qui transforme toute
vulnérabilité en une menace à grande
échelle.
2 Le positionnement des objets comme
point d’entrée vers les réseaux Internet et
les systèmes d’informations personnels
(LAN domestique) et professionnels (LAN
entreprise) des utilisateurs. En effet, la
dissémination d’objets dans divers lieux, et la
capacité d’y accéder aussi bien en local qu’à
distance, étendent la surface d’attaque des
réseaux et systèmes amplifiant de fait les
risques encourus.
1 L’absence d’une culture forte en matière de
sécurité qui vulnérabilise certaines solutions
et entraîne des défauts d’implémentation. Un
fait constaté par les experts d’Orange qui, au fil
de leurs analyses et audits, ont régulièrement
retrouvé des objets à peine protégés par un
mot de passe unique ou trivial, des ports
ouverts, des interfaces radios sans protection,
des noyaux obsolètes dans les firmwares ou
encore des clés secrètes en clair...
L’Internet des Objets, à la fois vecteur et victime
de la menace numérique
4
5
« La sécurité, le respect de la vie
privée et la confiance sont les
prérequis d’un développement
rapide, efficace et harmonieux de
l’Internet des Objets. »
Aujourd’hui, de nombreux acteurs
– qu’ils soient publics ou privés,
industriels ou civils – ont perçu
l’enjeu propre à la sécurité de
l’IoT, tant pour son développement
économique qu’au regard de son
impact sociétal. À ce titre, les équipes
sécurité d’Orange se mobilisent dans
le cadre de nombreux projets internes
ainsi que des projets initiés par des
partenaires. Elles garantissent la
mise en œuvre à un instant donné du
meilleur niveau de sécurité compte tenu
des objectifs du service et de l’état de
l’art du domaine, tout en contribuant, en
amont, à l’évolution des technologies
de l’IoT vers plus de sécurité.
A travers la connectivité offerte par ses réseaux
cellulaire et LPWA (comme LoRa), ainsi que la gestion
des objets et des données via Datavenue (plateformes
de médiation Live Objects et DataShare), Orange
est présent sur l’ensemble de la chaîne de service
IoT adressant sur chaque maillon la sécurité et la
protection des services IoT, ainsi que des données
concernées.
Notre engagement : Fournir des
solutions IoT sécurisées à tous les
niveaux
Notre démarche : Prendre en compte
tous les risques en amont de la
phase de conception
Chez Orange, nous pensons que la sécurité doit
être prise en compte à chaque étape d’un projet,
de sa conception à son opération. Depuis 2010,
nous mettons ainsi en pratique notre Charte sur la
protection des données personnelles et de la vie
privée et appliquons à l’IoT les méthodes du « Security
by Design ». Basées sur le standard ISO 27001, ces
méthodes intègrent également la mise en conformité
avec la réglementation européenne sur la protection
des données (RGPD). Au cours de chaque projet sont
évaluées les menaces qui pèsent sur le client final,
les partenaires ou les infrastructures d’Orange afin
d’adapter le niveau de sécurité aux risques identifiés.
En complément des audits de l’organisation et des
processus de sécurité, des audits techniques internes
des produits et services du Groupe sont réalisés pour
contrôler la sécurité effective mise en œuvre.
En phase opérationnelle, les services font l’objet d’une
supervision de sécurité et d’amélioration continue en
fonction des anomalies détectées.
« Un IoT mal sécurisé est une
menace pour les nouveaux
services, les données générées
et pour l’Internet en général. La
sécurité de l’IoT est l’affaire de
tous les acteurs de la chaîne de
valeur. »
Nos réponses s’adaptent aux
besoins spécifiques de l’IoT
Un processus d’évaluation propre aux objets
Pour assurer la sécurité des objets proposés dans ses
différents catalogues à destination des entreprises
et du grand public nous avons monté une équipe et
mis en place un processus d’évaluation spécifique,
comprenant un cahier des charges de la sécurité ainsi
que l’audit matériel et logiciel des objets pour les cas
d’usage les plus sensibles. Au-delà des objets, les
applications web et mobiles sont également auditées.
La standardisation de la sécurité des réseaux
Nous avons vocation à connecter tous les objets. Notre
Groupe a construit pour cela un réseau LPWA (LoRa),
dont la couverture est désormais nationale en France.
En parallèle, ses réseaux cellulaires sont mis à niveau
pour répondre aux besoins de l’IoT (évolution de la 4G
vers le LTE-M). Les composants radio et cœur de ces
réseaux sont systématiquement audités. Un important
travail est fait en normalisation pour standardiser la
sécurité de ces équipements.
Des plateformes IoT conformes à la RGPD
Au sein de notre ensemble de solutions pour l’IoT
Datavenue, les plateformes de médiation d’Orange
(Live Objects pour la gestion des objets et la collecte
des données ; DataShare pour le partage, par
l’utilisateur, de ses données entre différents services)
sont conçues pour permettre à nos clients en mode
B2B, B2C ou B2B2C d’être conformes à leurs
obligations relatives à la RGPD, tout en garantissant un
niveau de sécurité adapté aux principales verticales de
l’IoT.
Nous plaçons la sécurité au cœur de nos offres
pour l’Internet des Objets
6
Surveillance des objets d’une
entreprise
Que ce soient des objets utilisés dans des
environnements industriels (automates,
tablettes…), des objets connectés à un réseau
d’entreprise (caméras de surveillances…),
ou des objets mobiles (voitures connectées,
mobiles professionnels, montres…), Orange
Cyberdefense a les capacités de surveiller
les trafics des multiples objets de ses clients,
de corréler les informations du trafic avec les
informations de malveillances sur Internet, et
d’alerter et réagir en cas de comportement
suspicieux.
4
Accompagnement dans
l’implémentation de solutions
de détection et de défense
• Gestion de l’identité et des secrets des
objets ;
• Analyse comportementale des objets dans
le réseau ;
• Mise en œuvre de solutions spécifiques
pour la sécurisation de certains réseaux.
3
• Audits des réseaux utilisés et des
évènements radio ;
• Audits de bout en bout.
Orange Cyberdefense a, dans ce sens,
accompagné un fabricant de domotique pour
réaliser des audits techniques sur des boîtiers
servant à contrôler à distance les systèmes de
chauffage grand public.
Analyse sous l’angle sécurité
de la solution envisagée
Ce travail se fait en quatre temps :
• Audit du matériel et du logiciel des objets :
par exemple de l’automate qui contrôle un
système de refroidissement d’une usine à
l’objet connecté dans la maison qui contrôle
la température ambiante ;
• Audits des plateformes : les plateformes
de gestion des objets sont nombreuses sur
le marché, et le choix du client est analysé
en termes de sécurité ;
2
Un accompagnement sur
mesure
A chaque cas d’usage son analyse. Un
bouton connecté qui permet de dire qu’il
n’y a plus de canettes dans un distributeur
n’est pas comparable à un pacemaker ou
à un contrôleur d’ascenseur : la mise en
œuvre de la sécurité dépend toujours d’un
risque identifié. D’autres facteurs influencent
l’accompagnement. Orange Cyberdefense
a ainsi accompagné un client du BTP dans
le cadre de la construction d’un nouveau
bâtiment connecté. Les solutions pour
la « Gestion Technique des Bâtiments »
nécessitaient une prise en compte de
l’organisation du client et de ses processus
(cahier des charges, projet de mise en œuvre,
pilotage du projet) ce qui a permis une
sécurisation sur toute la chaîne.
1
Qu’ils utilisent des infrastructures IoT d’Orange ou
les leurs, les clients B2B d’Orange Cyberdefense se
voient proposer un accompagnement de bout en
bout sur les questions relatives à la sécurité, allant
du conseil à la supervision des infrastructures et
services.
Pour cela, Orange Cyberdefense applique à chaque
projet client les méthodologies de l’IT classique, et
prend en compte les spécificités de l’IoT :
Orange Cyberdéfense, notre expert en sécurité
IoT au service des clients entreprises
7
« Nous offrons des réseaux et
des plateformes pour l’Internet
des Objets qui implémentent les
meilleurs standards de sécurité et
sont adaptés à tous les usages. »
8
Dans le domaine des réseaux, Orange a participé
à la spécification de la sécurité du protocole de
communication des objets LoRaWAN, au sein
de la LoRa Alliance, en y partageant les résultats
des analyses cryptographiques et les propositions
d’améliorations faites par les chercheurs des Orange
Labs.
OneM2M est un organisme visant à standardiser
un middleware IoT utilisable par les objets comme
les plateformes, indépendamment des verticales
et des services. Orange y est très actif au sujet de
l’élaboration des fonctions de sécurité de bout en
bout comme par exemple la mise à jour du logiciel
des objets. Le Groupe a ainsi contribué à la prise en
compte d’éléments de sécurité, comme la carte (e)SIM,
et participe désormais à la mise en route du processus
de certification oneM2M par le Global Certification
Forum.
« La sécurité de l’Internet des
Objets est un terrain d’expertise
et d’innovation pour Orange. »
Une amélioration continue des technologies de
sécurité de l’IoT
La sécurité de l’Internet des Objets ne se pense
pas seulement au moment de la construction des
offres. Chez Orange, nous pensons qu’il est essentiel
de l’anticiper et de la faire évoluer en amont, dans
des standards qui profiteront « by design » à toute
l’industrie et aux utilisateurs. La sécurité de l’IoT
est ainsi un terrain d’innovations au cœur de nos
programmes de recherche
Orange contribue à la définition et
l’homogénéisation des standards de sécurité
de l’IoT à travers son investissement auprès de
plusieurs organismes : ETSI, 3GPP, LoRa Alliance,
oneM2M et GSMA.
Auprès de la GSMA, Orange a par exemple activement
contribué à l’élaboration d’un référentiel de sécurité
– récemment mis à jour pour le RGPD – allant des
objets aux applications en passant par les réseaux.
Celui-ci est désormais utilisé pour décliner les
processus internes d’analyse de risque pour l’IoT.
Convaincu du bien-fondé de ce document, Orange
invite tous ses partenaires, et plus particulièrement les
fabricants d’objets, à l’utiliser pour le développement
de leurs produits. Il est disponible sur le portail de la
GSMA ou directement sur le portail Orange Developer.
En complément, Orange Espagne et Orange
Cyberdéfense ont développé l’expertise nécessaire à
l’accompagnement de leurs clients dans l’analyse des
risques de leurs projets, ainsi que dans l’intégration et
la mise en œuvre des exigences de ce référentiel. Ils
sont référencés pour cela par la GSMA.
Nous contribuons à l’élaboration des
standards de sécurité
9
C’est avec une vision à long terme que la
Recherche d’Orange investit largement sur
l’Internet des Objets, en portant une attention
particulière aux technologies de sécurité adaptées
aux nouveaux usages.
Tout un pan de notre Recherche s’intéresse ainsi aux
briques de sécurité fondamentales adaptées aux
objets, et notamment aux objets de faible capacité :
cryptographie légère, procédé de mise à jour de faible
empreinte mémoire, architectures matérielles et logicielles
de bas niveau ayant des propriétés de sécurité prouvées
formellement, etc.
Un autre sujet de Recherche concerne les nouveaux
usages (Automobile, Energie, Santé, Agriculture …)
tirant bénéfice de la proximité géographique des
équipements réseau (technologie Fog, bordure du
réseau 5G) par exemple pour leur faible latence, et des
infrastructures virtualisées (SDN/NFV). Ces architectures
apportent de nouveaux challenges de sécurité liés
notamment à la responsabilité de l’opérateur dans une
infrastructure composée de multiples parties et fonctions.
Elle invite à inventer de nouveaux schémas de certification
adaptés aux risques de l’IoT et à la complexité des
infrastructures virtualisées.
Autre axe prometteur de la Recherche menée par Orange :
les mécanismes de supervision du comportement des
objets. A partir de techniques de machine learning
utilisées pour apprendre le comportement des objets,
l’objectif est de détecter l’exploitation de vulnérabilités
dans un réseau domestique ou un réseau d’entreprise,
afin d’y apporter les réponses adaptées.
Ces travaux nourrissent à la fois la recherche académique,
les projets collaboratifs (par exemple le Projet Européen
Celtic ODSI, ou le Projet 5G Croco) et les contributions
en normalisation.
Nous sommes fortement impliqués
dans la recherche
Thing’in, un moteur de
recherche de l’IoT sécurisé
La plateforme intégrative Thing’in illustre bien
le souci d’Orange de respecter la vie privée des
utilisateurs et de leur donner le contrôle de leurs
données. Ce moteur de recherche du Web of
Things permet aux usagers de retrouver des
objets via des requêtes ciblant, entre autres,
leur nature, leur position, leur contexte ou la
sémantique qui leur est attachée. Pour protéger
les données générées, Thing’in met en œuvre
des mécanismes de sécurité destinés à réguler,
d’une part, l’utilisation des API de la plateforme
(via des mécanismes de contrôle d’accès), et
à définir, d’autre part, des niveaux de visibilité
différents sur les avatars d’objets ou leurs
attributs (identifiant, position, description). Deux
utilisateurs ne verront donc pas de la même
façon un même objet.
A l’instar des réseaux sociaux, l’Internet des
Objets permet de partager et de déléguer des
droits sur des objets de manière ouverte (à une
large échelle d’utilisateurs, voire publiquement)
ou restreinte (dans des groupes limités ou
fermés d’utilisateurs). La recherche d’Orange
travaille à l’élaboration de solutions permettant
la délégation de droits sur des objets dans
des plateformes IoT existantes ou à venir. Les
futures plateformes pourront, par exemple,
intégrer des systèmes de gestion de contrôle
d’accès basés sur les protocoles standards
du Web (OAuth et ses extensions comme User
Managed Access UMA) ou sur des systèmes de
type Blockchain. La diversité des usages et des
contextes nécessitera une variété de solutions
qu’une plateforme IoT pourra rendre agnostique
aux services.
Déléguer des droits sur des
objets de manière sécurisée
10
« Des objets aux données
en passant par les réseaux
et les plateformes, de ses
propres services à ceux de ses
partenaires, des technologies
présentes à celles du futur,
Orange investit tous les champs
de la sécurité de l’Internet des
Objets pour rester encore et
toujours l’acteur de confiance de
nos clients. »
11
Sécurité de l'IoT

Contenu connexe

Tendances

Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2
Ben Abdelwahed Slim
 
L'apport du cloud computing avec l'integration EAI
L'apport du cloud computing avec l'integration EAIL'apport du cloud computing avec l'integration EAI
L'apport du cloud computing avec l'integration EAI
Halima Lemoudaa
 
Projet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par  ameny Khedhira & Arij MekkiProjet réalisé par  ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij Mekki
Ameny Khedhira
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseaux
Achille Njomo
 
Rapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework KinectRapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework Kinect
Amine MEGDICHE
 
Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...
Mohamed Aziz Chetoui
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammami
Donia Hammami
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
Borel NZOGANG
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
safwenbenfredj
 
Projet de fin étude ( LFIG : Conception et Développement d'une application W...
Projet de fin étude  ( LFIG : Conception et Développement d'une application W...Projet de fin étude  ( LFIG : Conception et Développement d'une application W...
Projet de fin étude ( LFIG : Conception et Développement d'une application W...
Ramzi Noumairi
 
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
mouafekmazia
 
Pfe conception et développement d'une application web GMAO JEE
Pfe conception et développement d'une application web GMAO JEEPfe conception et développement d'une application web GMAO JEE
Pfe conception et développement d'une application web GMAO JEEOussama Djerba
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
Cynapsys It Hotspot
 
Rapport de projet de fin d'année
Rapport de projet de fin d'année Rapport de projet de fin d'année
Rapport de projet de fin d'année
kaies Labiedh
 
Rapport de stage: mastère ISIC (Business Intelligence)
Rapport de stage: mastère ISIC (Business Intelligence)Rapport de stage: mastère ISIC (Business Intelligence)
Rapport de stage: mastère ISIC (Business Intelligence)
Ines Ben Kahla
 
RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
TombariAhmed
 
Conception et développement d’une place de marché B2C
Conception et développement d’une place de marché B2CConception et développement d’une place de marché B2C
Conception et développement d’une place de marché B2C
Nassim Bahri
 
Rapport PFE - Mise en place d'OpenERP pour IT-Consulting
Rapport PFE - Mise en place d'OpenERP pour IT-ConsultingRapport PFE - Mise en place d'OpenERP pour IT-Consulting
Rapport PFE - Mise en place d'OpenERP pour IT-Consulting
Mohamed Cherkaoui
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2Sofien Benrhouma
 

Tendances (20)

Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2Rapport Pfe Application Web e-commerce Symfony2
Rapport Pfe Application Web e-commerce Symfony2
 
L'apport du cloud computing avec l'integration EAI
L'apport du cloud computing avec l'integration EAIL'apport du cloud computing avec l'integration EAI
L'apport du cloud computing avec l'integration EAI
 
Projet réalisé par ameny Khedhira & Arij Mekki
Projet réalisé par  ameny Khedhira & Arij MekkiProjet réalisé par  ameny Khedhira & Arij Mekki
Projet réalisé par ameny Khedhira & Arij Mekki
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseaux
 
Rapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework KinectRapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework Kinect
 
Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...Conception et développement d'une application de gestion de production et de ...
Conception et développement d'une application de gestion de production et de ...
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammami
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
 
Projet de fin étude ( LFIG : Conception et Développement d'une application W...
Projet de fin étude  ( LFIG : Conception et Développement d'une application W...Projet de fin étude  ( LFIG : Conception et Développement d'une application W...
Projet de fin étude ( LFIG : Conception et Développement d'une application W...
 
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
 
Pfe conception et développement d'une application web GMAO JEE
Pfe conception et développement d'une application web GMAO JEEPfe conception et développement d'une application web GMAO JEE
Pfe conception et développement d'une application web GMAO JEE
 
Présentation cloud computing
Présentation cloud computingPrésentation cloud computing
Présentation cloud computing
 
Rapport de projet de fin d'année
Rapport de projet de fin d'année Rapport de projet de fin d'année
Rapport de projet de fin d'année
 
Rapport de stage: mastère ISIC (Business Intelligence)
Rapport de stage: mastère ISIC (Business Intelligence)Rapport de stage: mastère ISIC (Business Intelligence)
Rapport de stage: mastère ISIC (Business Intelligence)
 
RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
 
Conception et développement d’une place de marché B2C
Conception et développement d’une place de marché B2CConception et développement d’une place de marché B2C
Conception et développement d’une place de marché B2C
 
Rapport PFE - Mise en place d'OpenERP pour IT-Consulting
Rapport PFE - Mise en place d'OpenERP pour IT-ConsultingRapport PFE - Mise en place d'OpenERP pour IT-Consulting
Rapport PFE - Mise en place d'OpenERP pour IT-Consulting
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
Rapport Projet De Fin D'étude Développent d'une application web avec Symfony2
 

Similaire à Sécurité de l'IoT

Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
CITC-EuraRFID
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
Radouane Mrabet
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
Hamza Ben Marzouk
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
Dig-IT
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & Cisco
Exaprobe
 
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Matooma
 
Webcast eth-mat-thw-final
Webcast eth-mat-thw-finalWebcast eth-mat-thw-final
Webcast eth-mat-thw-final
Isabelle JARNIOU
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
Jean-Luc Lemire
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)
ColloqueRISQ
 
NV-chapitre-3 (2).doc
NV-chapitre-3 (2).docNV-chapitre-3 (2).doc
NV-chapitre-3 (2).doc
KhalfallahWafa
 
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
URBANWAVE
 
chap 3 Technologies de communication.pdf
chap 3 Technologies de communication.pdfchap 3 Technologies de communication.pdf
chap 3 Technologies de communication.pdf
Institut Supérieur des Etudes Technologiques de Nabeul
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
Aurélie Sondag
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
Antoine Vigneron
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Microsoft Ideas
 
Introduction à l'IoT.pdf
Introduction à l'IoT.pdfIntroduction à l'IoT.pdf
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
ITrust - Cybersecurity as a Service
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
Antoine Vigneron
 
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Technologia Formation
 
Extract Séminaire mobilité
Extract Séminaire mobilitéExtract Séminaire mobilité
Extract Séminaire mobilité
AiM Services
 

Similaire à Sécurité de l'IoT (20)

Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & Cisco
 
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
Webcast - Ces nouveaux outils qui assurent le succès de vos solutions IOT /M2...
 
Webcast eth-mat-thw-final
Webcast eth-mat-thw-finalWebcast eth-mat-thw-final
Webcast eth-mat-thw-final
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)
 
NV-chapitre-3 (2).doc
NV-chapitre-3 (2).docNV-chapitre-3 (2).doc
NV-chapitre-3 (2).doc
 
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
I connect-lyon-16-septembre-2015- les objets connectés industriels - philippe...
 
chap 3 Technologies de communication.pdf
chap 3 Technologies de communication.pdfchap 3 Technologies de communication.pdf
chap 3 Technologies de communication.pdf
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
 
Introduction à l'IoT.pdf
Introduction à l'IoT.pdfIntroduction à l'IoT.pdf
Introduction à l'IoT.pdf
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
Comment intégrer les objets connectés (IoT – Internet of Things) dans les TI ...
 
Extract Séminaire mobilité
Extract Séminaire mobilitéExtract Séminaire mobilité
Extract Séminaire mobilité
 

Sécurité de l'IoT

  • 2.
  • 3. L’avenir de l’IoT, une histoire de confiance Dans un environnement où les menaces liées au numérique ne cessent de croître, la confiance est un prérequis indispensable à la réussite sociétale et commerciale de l’Internet des Objets. Celle-ci se construit par la conception de solutions IoT sécurisées et respectueuses des données et de la vie privée des utilisateurs. Nous pensons que l’Internet des Objets (IoT) doit être accessible à tous et adapté à chacun, tout en s’appuyant sur des réseaux et des plateformes sécurisés et fiables. C’est pourquoi, chez Orange, nous identifions les menaces et étudions les risques propres aux systèmes IoT afin de proposer à nos clients et partenaires des offres aux conditions de sécurité optimales, que celles-ci concernent les objets, les infrastructures réseaux, les plateformes ou les applications. Des Smart Cities à l’Industrie 4.0, de la maison à la voiture connectées, nous apportons également aux entreprises notre expertise en cybersécurité dans des projets de plus en plus nombreux et sensibles, notamment depuis 2016 à travers les activités d’Orange Cyberdéfense. Puisque la sécurité de l’Internet des Objets est l’affaire de l’ensemble des acteurs de l’écosystème, nos experts sécurité investissent les différents champs technologiques et sociétaux du monde de l’IoT à travers leurs travaux de recherche ainsi que leurs contributions à la standardisation, participant de ce fait activement à l’évolution de l’état de l’art au bénéfice de tous les acteurs industriels et des utilisateurs. 3
  • 4. Des logiciels malveillants scannent en permanence Internet à la recherche de systèmes vulnérables (par ex. non mis à jour) et ouverts (par ex. possédant un mot de passe trivial) comme certaines caméras connectées. Une fois le système identifié, il est infecté et enrôlé dans un botnet pour participer à des attaques de type déni de service massivement distribué. Les botnets d’objets atteignent des records de bande passante. Leurs agressions peuvent être dirigées contre des infrastructures majeures des réseaux Internet, comme le DNS de Dyn en 2016. Une simple caméra connectée, porte ouverte aux attaques par déni de service Tandis que la cybersécurité est devenue une condition sine qua non du bon fonctionnement des réseaux et services numériques, les caractéristiques spécifiques du domaine de l’IoT présentent aujourd’hui encore de nombreuses faiblesses : L’exploitation de ces faiblesses peut être source de véritables menaces pour les services IoT qui y sont liés, permettant par exemple de désorganiser une usine, espionner un domicile, ouvrir une porte, dévier une voiture ou encore arrêter un pacemaker. Les objets peuvent aussi être piratés dans le but de s’introduire dans des systèmes d’information, ou pour leurs seules capacités de calcul et de communication, à l’instar des réseaux d’objets infectés par le malware Mirai en 2016. Ces faiblesses, dues en grande partie au statut des objets et à leur utilisation, représentent autant de problématiques adressées par les équipes sécurité d’Orange. L’opportunité pour les hackers d’agir sur le monde réel, qui engendre de nouveaux comportements malveillants comme l’espionnage, la mise hors service ou la prise de contrôle à distance de certains objets et systèmes. 5 4 La génération d’innombrable données personnelles qui doivent être rigoureusement protégées dans le cadre des droits des utilisateurs au respect de leur vie privée et à la maîtrise de leurs données, en particulier depuis la mise en œuvre de la RGPD. 3 Le déploiement massif d’objets construits sur un même socle qui transforme toute vulnérabilité en une menace à grande échelle. 2 Le positionnement des objets comme point d’entrée vers les réseaux Internet et les systèmes d’informations personnels (LAN domestique) et professionnels (LAN entreprise) des utilisateurs. En effet, la dissémination d’objets dans divers lieux, et la capacité d’y accéder aussi bien en local qu’à distance, étendent la surface d’attaque des réseaux et systèmes amplifiant de fait les risques encourus. 1 L’absence d’une culture forte en matière de sécurité qui vulnérabilise certaines solutions et entraîne des défauts d’implémentation. Un fait constaté par les experts d’Orange qui, au fil de leurs analyses et audits, ont régulièrement retrouvé des objets à peine protégés par un mot de passe unique ou trivial, des ports ouverts, des interfaces radios sans protection, des noyaux obsolètes dans les firmwares ou encore des clés secrètes en clair... L’Internet des Objets, à la fois vecteur et victime de la menace numérique 4
  • 5. 5 « La sécurité, le respect de la vie privée et la confiance sont les prérequis d’un développement rapide, efficace et harmonieux de l’Internet des Objets. » Aujourd’hui, de nombreux acteurs – qu’ils soient publics ou privés, industriels ou civils – ont perçu l’enjeu propre à la sécurité de l’IoT, tant pour son développement économique qu’au regard de son impact sociétal. À ce titre, les équipes sécurité d’Orange se mobilisent dans le cadre de nombreux projets internes ainsi que des projets initiés par des partenaires. Elles garantissent la mise en œuvre à un instant donné du meilleur niveau de sécurité compte tenu des objectifs du service et de l’état de l’art du domaine, tout en contribuant, en amont, à l’évolution des technologies de l’IoT vers plus de sécurité.
  • 6. A travers la connectivité offerte par ses réseaux cellulaire et LPWA (comme LoRa), ainsi que la gestion des objets et des données via Datavenue (plateformes de médiation Live Objects et DataShare), Orange est présent sur l’ensemble de la chaîne de service IoT adressant sur chaque maillon la sécurité et la protection des services IoT, ainsi que des données concernées. Notre engagement : Fournir des solutions IoT sécurisées à tous les niveaux Notre démarche : Prendre en compte tous les risques en amont de la phase de conception Chez Orange, nous pensons que la sécurité doit être prise en compte à chaque étape d’un projet, de sa conception à son opération. Depuis 2010, nous mettons ainsi en pratique notre Charte sur la protection des données personnelles et de la vie privée et appliquons à l’IoT les méthodes du « Security by Design ». Basées sur le standard ISO 27001, ces méthodes intègrent également la mise en conformité avec la réglementation européenne sur la protection des données (RGPD). Au cours de chaque projet sont évaluées les menaces qui pèsent sur le client final, les partenaires ou les infrastructures d’Orange afin d’adapter le niveau de sécurité aux risques identifiés. En complément des audits de l’organisation et des processus de sécurité, des audits techniques internes des produits et services du Groupe sont réalisés pour contrôler la sécurité effective mise en œuvre. En phase opérationnelle, les services font l’objet d’une supervision de sécurité et d’amélioration continue en fonction des anomalies détectées. « Un IoT mal sécurisé est une menace pour les nouveaux services, les données générées et pour l’Internet en général. La sécurité de l’IoT est l’affaire de tous les acteurs de la chaîne de valeur. » Nos réponses s’adaptent aux besoins spécifiques de l’IoT Un processus d’évaluation propre aux objets Pour assurer la sécurité des objets proposés dans ses différents catalogues à destination des entreprises et du grand public nous avons monté une équipe et mis en place un processus d’évaluation spécifique, comprenant un cahier des charges de la sécurité ainsi que l’audit matériel et logiciel des objets pour les cas d’usage les plus sensibles. Au-delà des objets, les applications web et mobiles sont également auditées. La standardisation de la sécurité des réseaux Nous avons vocation à connecter tous les objets. Notre Groupe a construit pour cela un réseau LPWA (LoRa), dont la couverture est désormais nationale en France. En parallèle, ses réseaux cellulaires sont mis à niveau pour répondre aux besoins de l’IoT (évolution de la 4G vers le LTE-M). Les composants radio et cœur de ces réseaux sont systématiquement audités. Un important travail est fait en normalisation pour standardiser la sécurité de ces équipements. Des plateformes IoT conformes à la RGPD Au sein de notre ensemble de solutions pour l’IoT Datavenue, les plateformes de médiation d’Orange (Live Objects pour la gestion des objets et la collecte des données ; DataShare pour le partage, par l’utilisateur, de ses données entre différents services) sont conçues pour permettre à nos clients en mode B2B, B2C ou B2B2C d’être conformes à leurs obligations relatives à la RGPD, tout en garantissant un niveau de sécurité adapté aux principales verticales de l’IoT. Nous plaçons la sécurité au cœur de nos offres pour l’Internet des Objets 6
  • 7. Surveillance des objets d’une entreprise Que ce soient des objets utilisés dans des environnements industriels (automates, tablettes…), des objets connectés à un réseau d’entreprise (caméras de surveillances…), ou des objets mobiles (voitures connectées, mobiles professionnels, montres…), Orange Cyberdefense a les capacités de surveiller les trafics des multiples objets de ses clients, de corréler les informations du trafic avec les informations de malveillances sur Internet, et d’alerter et réagir en cas de comportement suspicieux. 4 Accompagnement dans l’implémentation de solutions de détection et de défense • Gestion de l’identité et des secrets des objets ; • Analyse comportementale des objets dans le réseau ; • Mise en œuvre de solutions spécifiques pour la sécurisation de certains réseaux. 3 • Audits des réseaux utilisés et des évènements radio ; • Audits de bout en bout. Orange Cyberdefense a, dans ce sens, accompagné un fabricant de domotique pour réaliser des audits techniques sur des boîtiers servant à contrôler à distance les systèmes de chauffage grand public. Analyse sous l’angle sécurité de la solution envisagée Ce travail se fait en quatre temps : • Audit du matériel et du logiciel des objets : par exemple de l’automate qui contrôle un système de refroidissement d’une usine à l’objet connecté dans la maison qui contrôle la température ambiante ; • Audits des plateformes : les plateformes de gestion des objets sont nombreuses sur le marché, et le choix du client est analysé en termes de sécurité ; 2 Un accompagnement sur mesure A chaque cas d’usage son analyse. Un bouton connecté qui permet de dire qu’il n’y a plus de canettes dans un distributeur n’est pas comparable à un pacemaker ou à un contrôleur d’ascenseur : la mise en œuvre de la sécurité dépend toujours d’un risque identifié. D’autres facteurs influencent l’accompagnement. Orange Cyberdefense a ainsi accompagné un client du BTP dans le cadre de la construction d’un nouveau bâtiment connecté. Les solutions pour la « Gestion Technique des Bâtiments » nécessitaient une prise en compte de l’organisation du client et de ses processus (cahier des charges, projet de mise en œuvre, pilotage du projet) ce qui a permis une sécurisation sur toute la chaîne. 1 Qu’ils utilisent des infrastructures IoT d’Orange ou les leurs, les clients B2B d’Orange Cyberdefense se voient proposer un accompagnement de bout en bout sur les questions relatives à la sécurité, allant du conseil à la supervision des infrastructures et services. Pour cela, Orange Cyberdefense applique à chaque projet client les méthodologies de l’IT classique, et prend en compte les spécificités de l’IoT : Orange Cyberdéfense, notre expert en sécurité IoT au service des clients entreprises 7
  • 8. « Nous offrons des réseaux et des plateformes pour l’Internet des Objets qui implémentent les meilleurs standards de sécurité et sont adaptés à tous les usages. » 8
  • 9. Dans le domaine des réseaux, Orange a participé à la spécification de la sécurité du protocole de communication des objets LoRaWAN, au sein de la LoRa Alliance, en y partageant les résultats des analyses cryptographiques et les propositions d’améliorations faites par les chercheurs des Orange Labs. OneM2M est un organisme visant à standardiser un middleware IoT utilisable par les objets comme les plateformes, indépendamment des verticales et des services. Orange y est très actif au sujet de l’élaboration des fonctions de sécurité de bout en bout comme par exemple la mise à jour du logiciel des objets. Le Groupe a ainsi contribué à la prise en compte d’éléments de sécurité, comme la carte (e)SIM, et participe désormais à la mise en route du processus de certification oneM2M par le Global Certification Forum. « La sécurité de l’Internet des Objets est un terrain d’expertise et d’innovation pour Orange. » Une amélioration continue des technologies de sécurité de l’IoT La sécurité de l’Internet des Objets ne se pense pas seulement au moment de la construction des offres. Chez Orange, nous pensons qu’il est essentiel de l’anticiper et de la faire évoluer en amont, dans des standards qui profiteront « by design » à toute l’industrie et aux utilisateurs. La sécurité de l’IoT est ainsi un terrain d’innovations au cœur de nos programmes de recherche Orange contribue à la définition et l’homogénéisation des standards de sécurité de l’IoT à travers son investissement auprès de plusieurs organismes : ETSI, 3GPP, LoRa Alliance, oneM2M et GSMA. Auprès de la GSMA, Orange a par exemple activement contribué à l’élaboration d’un référentiel de sécurité – récemment mis à jour pour le RGPD – allant des objets aux applications en passant par les réseaux. Celui-ci est désormais utilisé pour décliner les processus internes d’analyse de risque pour l’IoT. Convaincu du bien-fondé de ce document, Orange invite tous ses partenaires, et plus particulièrement les fabricants d’objets, à l’utiliser pour le développement de leurs produits. Il est disponible sur le portail de la GSMA ou directement sur le portail Orange Developer. En complément, Orange Espagne et Orange Cyberdéfense ont développé l’expertise nécessaire à l’accompagnement de leurs clients dans l’analyse des risques de leurs projets, ainsi que dans l’intégration et la mise en œuvre des exigences de ce référentiel. Ils sont référencés pour cela par la GSMA. Nous contribuons à l’élaboration des standards de sécurité 9
  • 10. C’est avec une vision à long terme que la Recherche d’Orange investit largement sur l’Internet des Objets, en portant une attention particulière aux technologies de sécurité adaptées aux nouveaux usages. Tout un pan de notre Recherche s’intéresse ainsi aux briques de sécurité fondamentales adaptées aux objets, et notamment aux objets de faible capacité : cryptographie légère, procédé de mise à jour de faible empreinte mémoire, architectures matérielles et logicielles de bas niveau ayant des propriétés de sécurité prouvées formellement, etc. Un autre sujet de Recherche concerne les nouveaux usages (Automobile, Energie, Santé, Agriculture …) tirant bénéfice de la proximité géographique des équipements réseau (technologie Fog, bordure du réseau 5G) par exemple pour leur faible latence, et des infrastructures virtualisées (SDN/NFV). Ces architectures apportent de nouveaux challenges de sécurité liés notamment à la responsabilité de l’opérateur dans une infrastructure composée de multiples parties et fonctions. Elle invite à inventer de nouveaux schémas de certification adaptés aux risques de l’IoT et à la complexité des infrastructures virtualisées. Autre axe prometteur de la Recherche menée par Orange : les mécanismes de supervision du comportement des objets. A partir de techniques de machine learning utilisées pour apprendre le comportement des objets, l’objectif est de détecter l’exploitation de vulnérabilités dans un réseau domestique ou un réseau d’entreprise, afin d’y apporter les réponses adaptées. Ces travaux nourrissent à la fois la recherche académique, les projets collaboratifs (par exemple le Projet Européen Celtic ODSI, ou le Projet 5G Croco) et les contributions en normalisation. Nous sommes fortement impliqués dans la recherche Thing’in, un moteur de recherche de l’IoT sécurisé La plateforme intégrative Thing’in illustre bien le souci d’Orange de respecter la vie privée des utilisateurs et de leur donner le contrôle de leurs données. Ce moteur de recherche du Web of Things permet aux usagers de retrouver des objets via des requêtes ciblant, entre autres, leur nature, leur position, leur contexte ou la sémantique qui leur est attachée. Pour protéger les données générées, Thing’in met en œuvre des mécanismes de sécurité destinés à réguler, d’une part, l’utilisation des API de la plateforme (via des mécanismes de contrôle d’accès), et à définir, d’autre part, des niveaux de visibilité différents sur les avatars d’objets ou leurs attributs (identifiant, position, description). Deux utilisateurs ne verront donc pas de la même façon un même objet. A l’instar des réseaux sociaux, l’Internet des Objets permet de partager et de déléguer des droits sur des objets de manière ouverte (à une large échelle d’utilisateurs, voire publiquement) ou restreinte (dans des groupes limités ou fermés d’utilisateurs). La recherche d’Orange travaille à l’élaboration de solutions permettant la délégation de droits sur des objets dans des plateformes IoT existantes ou à venir. Les futures plateformes pourront, par exemple, intégrer des systèmes de gestion de contrôle d’accès basés sur les protocoles standards du Web (OAuth et ses extensions comme User Managed Access UMA) ou sur des systèmes de type Blockchain. La diversité des usages et des contextes nécessitera une variété de solutions qu’une plateforme IoT pourra rendre agnostique aux services. Déléguer des droits sur des objets de manière sécurisée 10
  • 11. « Des objets aux données en passant par les réseaux et les plateformes, de ses propres services à ceux de ses partenaires, des technologies présentes à celles du futur, Orange investit tous les champs de la sécurité de l’Internet des Objets pour rester encore et toujours l’acteur de confiance de nos clients. » 11