SlideShare une entreprise Scribd logo
IAM of Things
Is that even a thing?
21 Mars 2018
Kévin GUÉRIN
kevin.guerin@wavestone.com
Fabien SAUTET
fabien.sautet@wavestone.com
© WAVESTONE 2
Des clients leaders
dans leur secteur
2,500 collaborateurs
sur 4 continents
Parmi les leaders du conseil
indépendant en Europe,
n°1 en France
* Partenariats
Paris | Londres | New York | Hong Kong | Singapour* | Dubaï*
Bruxelles | Luxembourg | Genève | Casablanca
Lyon | Marseille | Nantes
Dans un monde où la capacité à se transformer est la clé du succès,
nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques
© WAVESTONE 3
Réussir sa
transformation numérique
grâce à la confiance numérique
UNE EXPERTISE EPROUVEE
/ Stratégie et Conformité
/ Transformation métier sécurisée
/ Architecture et programme sécurité
/ Identité, Fraude et Services de Confiance
/ Tests d’intrusion & Réponse à incident
/ Continuité d’Activité & Résilience
/ SI Industriel
NOS DIFFERENCIATEURS
/ Connaissance des risques métier
/ Méthodologie AMT pour les
schémas directeurs
/ Radars Innovation et Start-ups
/ CERT-W
/ Bug Bounty by Wavestone
Wavestone Cybersécurité & Confiance numérique
Nos clients
COMEX, Métier,
CDO, CIO, CISO, BCM
400+
Consultants
& Experts
1,000+
Missions par an
dans plus de
20 pays
© WAVESTONE 4
Des millions d’objets connectés
pour autant de nouveaux cas d’usage
© WAVESTONE 5
Des menaces avérées sur l’ensemble des secteurs, des services et des données
IAM OF THINGS, IS THAT EVEN A THING?
Compteur intelligent :
falsification des relevés
de compteur à Porto Rico
par une manipulation
physique
OVH : des centaines de milliers de
caméras IP provoquent un DDOS
en générant 1Tbps de trafic
(botnet Mirai)
Stuxnet : « zero-days » utilisé pour
détruire les centrifugeuses d’enrichissement
d’uranium de Natanz en Iran
Aciérie allemande : une attaque
ciblée a provoqué des dégâts
irréversibles sur l’infrastructure
physique
My Friend Cayla : un jouet pour
enfant piraté via Bluetooth
permettant d’envoyer et de
recevoir des fichiers sonores
Caméra Foscam : une caméra
de surveillance bébé
compromise par un hacker pour
espionner et parler au bébé
Jeep Cherokee : deux
chercheurs ont pris le
contrôle télécommandé de la
voiture et ont pu la détruire
Nest thermostat : un accès
physique au dispositif permet de
modifier facilement le programme à
l’aide d’une clé USB
Cloudpet : vol de données
personnelles et d’enregistrements
sonores réalisés par le jouet
Schneider Electric : le malware
Triton stoppe les opérations d’un
site de production après l’attaque
d’un système de sûreté industriel Hôtel autrichien : un attaquant bloque
le système de clés électroniques et
empêche l’accès aux chambres
SI Industriels
Services
Grand public
© WAVESTONE 6
Des risques prépondérants dans le monde de l’IoT
IAM OF THINGS, IS THAT EVEN A THING?
Absence ou insuffisance des
mécanismes / processus de
détection et réaction, fonctionnalité
de mise à jour à distance non
prévue, etc.
INCAPACITÉ À DÉTECTER,
INVESTIGUER ET
CORRIGER
Stockage de données à caractère
personnel non encadré dans les
objets, non respect des législations
locales sur la sécurité de l’objet, etc.
NON-CONFORMITÉ
RÉGLEMENTAIRE
API de remontée des données non
authentifiées, interception de flux
réseau avec injection de données,
détournement des fonctionnalités de
l’objet, etc.
ALTERATION DES DONNÉES
ET DES TRAITEMENTS
Extraction de la base de données de
la plate-forme, interception de flux
réseau, extraction de la mémoire de
l’objet, etc.
DIVULGATION DE DONNÉES
SENSIBLES /
PERSONNELLES
Déni de service de l’infrastructure,
indisponibilité du réseau,
détérioration de l’objet, etc.
INDISPONIBILITÉ DE TOUT
OU PARTIE DE
L’ÉCOSYSTÈME
Détournement des capacités de
l’objet, destruction de l’objet, impact
sur les hommes et l’environnement,
etc.
EFFET NÉFASTE DANS LE
MONDE PHYSIQUE
Utilisation des objets comme relais
d’attaque, pour masquer des
activités illégales, etc.
ENGAGEMENT DE LA
REPONSABILITÉ DE
L’ENTREPRISE
© WAVESTONE 7confidentiel | © WAVESTONE 7
IAM OF THINGS, IS THAT EVEN A THING?
Quatre postures à adopter selon la nature du projet…
L’entreprise développe
son propre objet
connecté
Créer
L’entreprise acquiert un
objet dans le but de le
déployer
Acquérir
L’entreprise recommande
un objet à ses clients
dans le cadre d’une offre
de service par exemple
Recommander
L’entreprise accueille des
objets tiers sur son SI
(BYOD)
Accueillir
…qui influent sur la capacité d’action sur les principaux risques
© WAVESTONE 8
Une méthodologie liée au cycle de vie de l’objet
pour aborder tous les enjeux sécurité
© WAVESTONE 9
Un projet et des réflexions à structurer autour du cycle de vie de l’objet pour
aborder l’ensemble des thématiques sécurité
• Audit & conformité
• Gouvernance
• Sécurité matérielle, applicative
• Standards / API
• Cloud / Infrastructure
• Détection et réaction
• Sécurité réseaux, matérielle
• Standards / API
• Conformité
• Conformité
Usine et réseau de distribution
Appairage à l’objet
Revente par l’utilisateur
Remise à zéro et repackaging
Utilisation de l’objet
• IAM of Things
• IAM of Things
• IAM of Things
• Identité
• Identité
© WAVESTONE 10
Things are identities too !identities
© WAVESTONE 11
Qu’est-ce que l’IAM of Things (#IAMoT) ?
IAM OF THINGS, IS THAT EVEN A THING?
IAM
Employés, prestataires,
partenaires
~100k
Relation Objet/Employé
• Utilisation d’un dispositif d’alarme
pour travailleur isolé
• Télémaintenance du contrôleur de la
climatisation personnelle d’un client
• Gestion de l’usage de ma flotte de
véhicules d’entreprise
• Réparation par le garagiste de mon
véhicule
• Etc.
Clients, consommateurs
Customer IAM
> 1M
Relation Objet/Consommateur
• Utilisation familiale du pèse-personne
• Délégation de l’usage de mon véhicule
• Authentification sur mon téléviseur pour
accéder à mes listes de lecture favorites
• Etc.
IAM of Things
>>1M
Objets
SI entreprise
Relation Objet/SI entreprise
• Pilotage de mes robots de fabrication
• Remontée des indicateurs de consommation
de mon parc automobile
• Mise à disposition de mises à jour de firmware
ou de paramétrages
• Etc.
Authentification
© WAVESTONE 12
Identité des objets et contrôle
d’accès
Chaque objet requiert des accès aux SI de
l’entreprise
• Quels sont mes objets ?
• Comment s’authentifient-ils ?
Modèle de rôle IAM
Gestionnaire de flotte, mainteneur, employé…
• Quelles interactions avec quels objets ?
• Quelles permissions sur les données ?Modèle de rôle CIAM
Propriétaire, utilisateur principal, délégataire…
• Quelles interactions avec quels objets ?
• Quelles permissions sur les données ?
Processus
Appairage, modification ou suppression de
droits pour gérer les objets, les clients, les
employés, les prestataires…
LA RECETTE DE L’IAM OF THINGS
#IAMoT
© WAVESTONE 13
Des grands principes de sécurisation à adapter aux contraintes
d’environnement, de coût, de performance, de volumétrie… pour
des réponses spécifiques propres à votre contexte.
Attention
© WAVESTONE 14
Fabrication & distribution
Quels enjeux ?
Initialisation du cycle
de vie dans le SI sans
donner de droits d’accès
Quels risques ?
Quelques mauvais
exemples !
Botnet Mirai
Vol d’objets
Création de l’identité de
l’objet (ID matériel ou
logiciel)
Initialisation des secrets
uniques pour l’objet, les
futurs utilisateurs, les
administrateurs, les télé-
mainteneurs,…
Choix des fonctions de
sécurité pour la
protection des secrets
Vols d’objets en usine ou
dans les transports pour recel
sur un marché parallèle
Compromission massive
de mon parc d’objet et
détournement de son usage
principal
Accès non autorisés
au SI pour un objet non
associé à un utilisateur
© WAVESTONE 14
© WAVESTONE 15
Que font nos clients ?
Station énergie
connectée
Identité de l’objet
L’identité et les secrets sont
créés sur le SI et paramétrés en
usine sur l’objet
Statut de l’objet
L’objet est déclaré “En attente
d’appairage” et ne dispose
d’aucun droit sur le SI
Vente de l’objet
L’objet est vendu par un réseau
multicanal et n’obtient des droits
d’accès au SI qu’une fois appairé
Tant qu’il est n’est pas vendu ni associé à un utilisateur et à un contrat,
l’objet n’a aucun droit sur le SI.
Fabrication & distribution
© WAVESTONE 16
Appairage à l’objet
Détection d’un objet
non remis à zéro
(objet d’occasion)
Association fiable d’un (ou
de plusieurs) objet à son
propriétaire/utilisateur
Compromis entre UX
et sécurité lors de
l’association
Activation des droits
de l’objet et de
l’utilisateur sur le SI
Prise de contrôle ou vols
d’objets via un processus
d’appairage peu fiable ou ne
s’assurant pas de la légitimité
de l’utilisateur
Quels risques ?
Quels enjeux ?
Focus sur le cas Ledger Wallet…
© WAVESTONE 16
© WAVESTONE 17
Un catalogue de services
Le propriétaire peut souscrire à
une liste de services requérant
un appairage plus ou moins fort
à l’objet
Un appairage par étape
Plusieurs niveaux d’identification
possible : « CNI », « Certificat
d’immatriculation », « Clé du
véhicule »
Service & niveau de confiance
L’accès à chaque service du
catalogue est évalué selon le
niveau de confiance de l’appairage
Pour privilégier l’UX, l’utilisateur s’appaire en ligne et en self-service sur son
smartphone selon le niveau de confiance requis par les services auxquels il a souscrit
Constructeur automobile
Que font nos clients ?
Appairage à l’objet
© WAVESTONE 18
Utilisation de l’objet Quels risques ?
Quels enjeux ?
Définition d’un modèle de rôle adapté
Authentification et gestion des
changements d’utilisateurs
Vérification de l’identité et des
rôles en ligne/hors ligne
Cloisonnement des
données entre
utilisateurs
Compromission de données sensibles
(personnelles ou métier)
Indisponibilité ou destruction de
l’objet
Détournement de l’usage de
l’objet avec engagement de la
responsabilité de l’entreprise
Non-évolutivité des cas
d’usage de l’objet
Non exploitabilité de l’objet
par un mainteneur
Révocation et modification
possible des secrets de l’objet
Exemple d’un modèle de rôle
© WAVESTONE 18
© WAVESTONE 19
Utilisation de l’objet
Utilisateur
principal
Fournisseurs
de services
Services de
secours
Gestionnaire
de flotte
Constructeur
automobile
Propriétaire
Utilisateur
délégué
Tiers de
confiance
Réseaux
partenaires
CIAM
IAM
Exemple d’un modèle de rôle possible
sur un véhicule connecté
Délègue
Délègue
AutoriseDélègue
Mandate
Mandate
Autorise
© WAVESTONE 20
Revente par l’utilisateur Quels risques ?
Quels enjeux ?
Réinitialisation dans un
état stable et intègre
avant nouvel appairage
Détection et prise en
charge du cas de la revente
entre particulier
Protection des secrets et
données de l’ancien
propriétaire via remise à zéro
de l’objet
Compromission volontaire de données
sensibles par l’ancien propriétaire
Maintien du contrôle volontaire
par l’ancien propriétaire ou vols
d’objets via un processus de
désappairage incomplet
Atteinte au fonctionnement
normal de l’objet par
modification de son code
Encore un mauvais exemple !
© WAVESTONE 20
© WAVESTONE 21
Comment détecter la
revente d’un objet ?
Modification du comportement
de l’utilisateur
Déclaration d’achat par le
nouveau propriétaire (p.e.
avec affichage du statut de
l’objet au démarrage)
Nouveau processus d’appairage
initié
Changement de localisation
Modification des
authentifiants utilisateur
(mdp, biométrie) ou réseau
Vérification du propriétaire
sur une base tiers (p.e. base
étatique pour les
immatriculations)
Résiliation d’un contrat de
service par l’utilisateur
Une approche alternative consiste à ne pas autoriser la revente, via la location d’un
objet qui doit être restitué lors de la résiliation du service
Revente par l’utilisateur
© WAVESTONE 22
Fin de vie & recyclage Quels risques ?
Quels enjeux ?
Désactivation/renouvellement
de l’identité de l’objet dans le SI
Révocation des droits accès
pour l’objet sur le SI
Détection de l’inactivité
de l’objet
Accès illégitime au SI via des identifiants
associés à un objet recyclé
Divulgations de données personnelles de
l'ancien propriétaire
Maintien du contrôle
involontaire par l’ancien
propriétaire via un processus
de recyclage incomplet
Surcoût de licence pour la gestion de
mon parc d’objets
Une étape
obligatoire…
… mais avec peu de recul à l’heure actuelle
© WAVESTONE 22
© WAVESTONE 23
Une approche qui
a déjà fait ses
preuves …
… qui permet
d’adresser
l’ensemble des
thématiques
sécurité …
… et qui souligne
l’omniprésence des
problématiques
d’identité.
POURQUOI UNE MÉTHODOLOGIE CONSTRUITE AUTOUR
DU CYCLE DE VIE ?
Kévin GUÉRIN
M +33 (0) 7 62 97 16 45
kevin.guerin@wavestone.com
wavestone.com
@wavestone_
riskinsight-wavestone.com
@Risk_Insight
securityinsider-solucom.fr
@SecuInsider
M +33 (0) 6 68 40 78 82
fabien.sautet@wavestone.com
Fabien SAUTET
PARIS
LONDRES
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
SAO PAULO *
LUXEMBOURG
MADRID *
MILAN *
BRUXELLES
GENEVE
CASABLANCA
ISTAMBUL *
LYON
MARSEILLE
NANTES
* Partenariats

Contenu connexe

Tendances

The Zero Trust Model of Information Security
The Zero Trust Model of Information Security The Zero Trust Model of Information Security
The Zero Trust Model of Information Security
Tripwire
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
Oumaima Karim
 
InfoVision Corporate Profile
InfoVision Corporate ProfileInfoVision Corporate Profile
InfoVision Corporate Profile
InfoVisionHQ
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
TECHNOLOGYINT
 
IT Asset Management (ITAM) - Hardware Asset Management (HAM)
IT Asset Management (ITAM) - Hardware Asset Management (HAM)IT Asset Management (ITAM) - Hardware Asset Management (HAM)
IT Asset Management (ITAM) - Hardware Asset Management (HAM)
Laurence Tindall
 
Cyber Security: The Strategic View
Cyber Security: The Strategic ViewCyber Security: The Strategic View
Cyber Security: The Strategic View
Cisco Canada
 
Cyber Defense Matrix: Reloaded
Cyber Defense Matrix: ReloadedCyber Defense Matrix: Reloaded
Cyber Defense Matrix: Reloaded
Sounil Yu
 
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Sounil Yu
 
Zero Trust Framework for Network Security​
Zero Trust Framework for Network Security​Zero Trust Framework for Network Security​
Zero Trust Framework for Network Security​
AlgoSec
 
Managed Services - Functional & Customization Support Help Desk
Managed Services - Functional & Customization Support Help DeskManaged Services - Functional & Customization Support Help Desk
Managed Services - Functional & Customization Support Help Desk
Amit Panchal
 
Accenture Labs Innovation Stories
Accenture Labs Innovation StoriesAccenture Labs Innovation Stories
Accenture Labs Innovation Stories
Accenture Technology
 
Extend Network Visibility and Secure Applications and Data in Azure
Extend Network Visibility and Secure Applications and Data in AzureExtend Network Visibility and Secure Applications and Data in Azure
Extend Network Visibility and Secure Applications and Data in Azure
Fidelis Cybersecurity
 
Glpi 9.2-presentation
Glpi 9.2-presentationGlpi 9.2-presentation
Glpi 9.2-presentation
alexandre delaunay
 
NIST Zero Trust Explained
NIST Zero Trust ExplainedNIST Zero Trust Explained
NIST Zero Trust Explained
rtp2009
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité Thibault Tim
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Microsoft Technet France
 
Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016
Aujas
 
The difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information SecurityThe difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information Security
PECB
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020
Guido Marchetti
 
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORKZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
Maganathin Veeraragaloo
 

Tendances (20)

The Zero Trust Model of Information Security
The Zero Trust Model of Information Security The Zero Trust Model of Information Security
The Zero Trust Model of Information Security
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
InfoVision Corporate Profile
InfoVision Corporate ProfileInfoVision Corporate Profile
InfoVision Corporate Profile
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
 
IT Asset Management (ITAM) - Hardware Asset Management (HAM)
IT Asset Management (ITAM) - Hardware Asset Management (HAM)IT Asset Management (ITAM) - Hardware Asset Management (HAM)
IT Asset Management (ITAM) - Hardware Asset Management (HAM)
 
Cyber Security: The Strategic View
Cyber Security: The Strategic ViewCyber Security: The Strategic View
Cyber Security: The Strategic View
 
Cyber Defense Matrix: Reloaded
Cyber Defense Matrix: ReloadedCyber Defense Matrix: Reloaded
Cyber Defense Matrix: Reloaded
 
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
Understanding The Security Vendor Landscape Using the Cyber Defense Matrix (R...
 
Zero Trust Framework for Network Security​
Zero Trust Framework for Network Security​Zero Trust Framework for Network Security​
Zero Trust Framework for Network Security​
 
Managed Services - Functional & Customization Support Help Desk
Managed Services - Functional & Customization Support Help DeskManaged Services - Functional & Customization Support Help Desk
Managed Services - Functional & Customization Support Help Desk
 
Accenture Labs Innovation Stories
Accenture Labs Innovation StoriesAccenture Labs Innovation Stories
Accenture Labs Innovation Stories
 
Extend Network Visibility and Secure Applications and Data in Azure
Extend Network Visibility and Secure Applications and Data in AzureExtend Network Visibility and Secure Applications and Data in Azure
Extend Network Visibility and Secure Applications and Data in Azure
 
Glpi 9.2-presentation
Glpi 9.2-presentationGlpi 9.2-presentation
Glpi 9.2-presentation
 
NIST Zero Trust Explained
NIST Zero Trust ExplainedNIST Zero Trust Explained
NIST Zero Trust Explained
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016
 
The difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information SecurityThe difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information Security
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020
 
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORKZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
 

Similaire à Wavestone - IAM of Things / Identité des objets connectés

Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
Bertrand Carlier
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
University of Geneva
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
Patrick Guimonet
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Microsoft Ideas
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
Aurélie Sondag
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
Mathieu Isaia | TheGreeBow
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
Radouane Mrabet
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
FrenchTechCentral
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Microsoft Technet France
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
Veritas Technologies LLC
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
ITrust - Cybersecurity as a Service
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
Hamza Ben Marzouk
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
FootballLovers9
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
Prof. Jacques Folon (Ph.D)
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
Thawte
 

Similaire à Wavestone - IAM of Things / Identité des objets connectés (20)

Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des ObjetsPing City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Nomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateurNomadisme, Sécurité & Expérience utilisateur
Nomadisme, Sécurité & Expérience utilisateur
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
Tablettes & SmartPhones Windows 8, iOS, Android: Stratégie de protection de l...
 
Track technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformitéTrack technologique gérer les risques et la conformité
Track technologique gérer les risques et la conformité
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
 

Dernier

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 

Dernier (7)

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 

Wavestone - IAM of Things / Identité des objets connectés

  • 1. IAM of Things Is that even a thing? 21 Mars 2018 Kévin GUÉRIN kevin.guerin@wavestone.com Fabien SAUTET fabien.sautet@wavestone.com
  • 2. © WAVESTONE 2 Des clients leaders dans leur secteur 2,500 collaborateurs sur 4 continents Parmi les leaders du conseil indépendant en Europe, n°1 en France * Partenariats Paris | Londres | New York | Hong Kong | Singapour* | Dubaï* Bruxelles | Luxembourg | Genève | Casablanca Lyon | Marseille | Nantes Dans un monde où la capacité à se transformer est la clé du succès, nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques
  • 3. © WAVESTONE 3 Réussir sa transformation numérique grâce à la confiance numérique UNE EXPERTISE EPROUVEE / Stratégie et Conformité / Transformation métier sécurisée / Architecture et programme sécurité / Identité, Fraude et Services de Confiance / Tests d’intrusion & Réponse à incident / Continuité d’Activité & Résilience / SI Industriel NOS DIFFERENCIATEURS / Connaissance des risques métier / Méthodologie AMT pour les schémas directeurs / Radars Innovation et Start-ups / CERT-W / Bug Bounty by Wavestone Wavestone Cybersécurité & Confiance numérique Nos clients COMEX, Métier, CDO, CIO, CISO, BCM 400+ Consultants & Experts 1,000+ Missions par an dans plus de 20 pays
  • 4. © WAVESTONE 4 Des millions d’objets connectés pour autant de nouveaux cas d’usage
  • 5. © WAVESTONE 5 Des menaces avérées sur l’ensemble des secteurs, des services et des données IAM OF THINGS, IS THAT EVEN A THING? Compteur intelligent : falsification des relevés de compteur à Porto Rico par une manipulation physique OVH : des centaines de milliers de caméras IP provoquent un DDOS en générant 1Tbps de trafic (botnet Mirai) Stuxnet : « zero-days » utilisé pour détruire les centrifugeuses d’enrichissement d’uranium de Natanz en Iran Aciérie allemande : une attaque ciblée a provoqué des dégâts irréversibles sur l’infrastructure physique My Friend Cayla : un jouet pour enfant piraté via Bluetooth permettant d’envoyer et de recevoir des fichiers sonores Caméra Foscam : une caméra de surveillance bébé compromise par un hacker pour espionner et parler au bébé Jeep Cherokee : deux chercheurs ont pris le contrôle télécommandé de la voiture et ont pu la détruire Nest thermostat : un accès physique au dispositif permet de modifier facilement le programme à l’aide d’une clé USB Cloudpet : vol de données personnelles et d’enregistrements sonores réalisés par le jouet Schneider Electric : le malware Triton stoppe les opérations d’un site de production après l’attaque d’un système de sûreté industriel Hôtel autrichien : un attaquant bloque le système de clés électroniques et empêche l’accès aux chambres SI Industriels Services Grand public
  • 6. © WAVESTONE 6 Des risques prépondérants dans le monde de l’IoT IAM OF THINGS, IS THAT EVEN A THING? Absence ou insuffisance des mécanismes / processus de détection et réaction, fonctionnalité de mise à jour à distance non prévue, etc. INCAPACITÉ À DÉTECTER, INVESTIGUER ET CORRIGER Stockage de données à caractère personnel non encadré dans les objets, non respect des législations locales sur la sécurité de l’objet, etc. NON-CONFORMITÉ RÉGLEMENTAIRE API de remontée des données non authentifiées, interception de flux réseau avec injection de données, détournement des fonctionnalités de l’objet, etc. ALTERATION DES DONNÉES ET DES TRAITEMENTS Extraction de la base de données de la plate-forme, interception de flux réseau, extraction de la mémoire de l’objet, etc. DIVULGATION DE DONNÉES SENSIBLES / PERSONNELLES Déni de service de l’infrastructure, indisponibilité du réseau, détérioration de l’objet, etc. INDISPONIBILITÉ DE TOUT OU PARTIE DE L’ÉCOSYSTÈME Détournement des capacités de l’objet, destruction de l’objet, impact sur les hommes et l’environnement, etc. EFFET NÉFASTE DANS LE MONDE PHYSIQUE Utilisation des objets comme relais d’attaque, pour masquer des activités illégales, etc. ENGAGEMENT DE LA REPONSABILITÉ DE L’ENTREPRISE
  • 7. © WAVESTONE 7confidentiel | © WAVESTONE 7 IAM OF THINGS, IS THAT EVEN A THING? Quatre postures à adopter selon la nature du projet… L’entreprise développe son propre objet connecté Créer L’entreprise acquiert un objet dans le but de le déployer Acquérir L’entreprise recommande un objet à ses clients dans le cadre d’une offre de service par exemple Recommander L’entreprise accueille des objets tiers sur son SI (BYOD) Accueillir …qui influent sur la capacité d’action sur les principaux risques
  • 8. © WAVESTONE 8 Une méthodologie liée au cycle de vie de l’objet pour aborder tous les enjeux sécurité
  • 9. © WAVESTONE 9 Un projet et des réflexions à structurer autour du cycle de vie de l’objet pour aborder l’ensemble des thématiques sécurité • Audit & conformité • Gouvernance • Sécurité matérielle, applicative • Standards / API • Cloud / Infrastructure • Détection et réaction • Sécurité réseaux, matérielle • Standards / API • Conformité • Conformité Usine et réseau de distribution Appairage à l’objet Revente par l’utilisateur Remise à zéro et repackaging Utilisation de l’objet • IAM of Things • IAM of Things • IAM of Things • Identité • Identité
  • 10. © WAVESTONE 10 Things are identities too !identities
  • 11. © WAVESTONE 11 Qu’est-ce que l’IAM of Things (#IAMoT) ? IAM OF THINGS, IS THAT EVEN A THING? IAM Employés, prestataires, partenaires ~100k Relation Objet/Employé • Utilisation d’un dispositif d’alarme pour travailleur isolé • Télémaintenance du contrôleur de la climatisation personnelle d’un client • Gestion de l’usage de ma flotte de véhicules d’entreprise • Réparation par le garagiste de mon véhicule • Etc. Clients, consommateurs Customer IAM > 1M Relation Objet/Consommateur • Utilisation familiale du pèse-personne • Délégation de l’usage de mon véhicule • Authentification sur mon téléviseur pour accéder à mes listes de lecture favorites • Etc. IAM of Things >>1M Objets SI entreprise Relation Objet/SI entreprise • Pilotage de mes robots de fabrication • Remontée des indicateurs de consommation de mon parc automobile • Mise à disposition de mises à jour de firmware ou de paramétrages • Etc. Authentification
  • 12. © WAVESTONE 12 Identité des objets et contrôle d’accès Chaque objet requiert des accès aux SI de l’entreprise • Quels sont mes objets ? • Comment s’authentifient-ils ? Modèle de rôle IAM Gestionnaire de flotte, mainteneur, employé… • Quelles interactions avec quels objets ? • Quelles permissions sur les données ?Modèle de rôle CIAM Propriétaire, utilisateur principal, délégataire… • Quelles interactions avec quels objets ? • Quelles permissions sur les données ? Processus Appairage, modification ou suppression de droits pour gérer les objets, les clients, les employés, les prestataires… LA RECETTE DE L’IAM OF THINGS #IAMoT
  • 13. © WAVESTONE 13 Des grands principes de sécurisation à adapter aux contraintes d’environnement, de coût, de performance, de volumétrie… pour des réponses spécifiques propres à votre contexte. Attention
  • 14. © WAVESTONE 14 Fabrication & distribution Quels enjeux ? Initialisation du cycle de vie dans le SI sans donner de droits d’accès Quels risques ? Quelques mauvais exemples ! Botnet Mirai Vol d’objets Création de l’identité de l’objet (ID matériel ou logiciel) Initialisation des secrets uniques pour l’objet, les futurs utilisateurs, les administrateurs, les télé- mainteneurs,… Choix des fonctions de sécurité pour la protection des secrets Vols d’objets en usine ou dans les transports pour recel sur un marché parallèle Compromission massive de mon parc d’objet et détournement de son usage principal Accès non autorisés au SI pour un objet non associé à un utilisateur © WAVESTONE 14
  • 15. © WAVESTONE 15 Que font nos clients ? Station énergie connectée Identité de l’objet L’identité et les secrets sont créés sur le SI et paramétrés en usine sur l’objet Statut de l’objet L’objet est déclaré “En attente d’appairage” et ne dispose d’aucun droit sur le SI Vente de l’objet L’objet est vendu par un réseau multicanal et n’obtient des droits d’accès au SI qu’une fois appairé Tant qu’il est n’est pas vendu ni associé à un utilisateur et à un contrat, l’objet n’a aucun droit sur le SI. Fabrication & distribution
  • 16. © WAVESTONE 16 Appairage à l’objet Détection d’un objet non remis à zéro (objet d’occasion) Association fiable d’un (ou de plusieurs) objet à son propriétaire/utilisateur Compromis entre UX et sécurité lors de l’association Activation des droits de l’objet et de l’utilisateur sur le SI Prise de contrôle ou vols d’objets via un processus d’appairage peu fiable ou ne s’assurant pas de la légitimité de l’utilisateur Quels risques ? Quels enjeux ? Focus sur le cas Ledger Wallet… © WAVESTONE 16
  • 17. © WAVESTONE 17 Un catalogue de services Le propriétaire peut souscrire à une liste de services requérant un appairage plus ou moins fort à l’objet Un appairage par étape Plusieurs niveaux d’identification possible : « CNI », « Certificat d’immatriculation », « Clé du véhicule » Service & niveau de confiance L’accès à chaque service du catalogue est évalué selon le niveau de confiance de l’appairage Pour privilégier l’UX, l’utilisateur s’appaire en ligne et en self-service sur son smartphone selon le niveau de confiance requis par les services auxquels il a souscrit Constructeur automobile Que font nos clients ? Appairage à l’objet
  • 18. © WAVESTONE 18 Utilisation de l’objet Quels risques ? Quels enjeux ? Définition d’un modèle de rôle adapté Authentification et gestion des changements d’utilisateurs Vérification de l’identité et des rôles en ligne/hors ligne Cloisonnement des données entre utilisateurs Compromission de données sensibles (personnelles ou métier) Indisponibilité ou destruction de l’objet Détournement de l’usage de l’objet avec engagement de la responsabilité de l’entreprise Non-évolutivité des cas d’usage de l’objet Non exploitabilité de l’objet par un mainteneur Révocation et modification possible des secrets de l’objet Exemple d’un modèle de rôle © WAVESTONE 18
  • 19. © WAVESTONE 19 Utilisation de l’objet Utilisateur principal Fournisseurs de services Services de secours Gestionnaire de flotte Constructeur automobile Propriétaire Utilisateur délégué Tiers de confiance Réseaux partenaires CIAM IAM Exemple d’un modèle de rôle possible sur un véhicule connecté Délègue Délègue AutoriseDélègue Mandate Mandate Autorise
  • 20. © WAVESTONE 20 Revente par l’utilisateur Quels risques ? Quels enjeux ? Réinitialisation dans un état stable et intègre avant nouvel appairage Détection et prise en charge du cas de la revente entre particulier Protection des secrets et données de l’ancien propriétaire via remise à zéro de l’objet Compromission volontaire de données sensibles par l’ancien propriétaire Maintien du contrôle volontaire par l’ancien propriétaire ou vols d’objets via un processus de désappairage incomplet Atteinte au fonctionnement normal de l’objet par modification de son code Encore un mauvais exemple ! © WAVESTONE 20
  • 21. © WAVESTONE 21 Comment détecter la revente d’un objet ? Modification du comportement de l’utilisateur Déclaration d’achat par le nouveau propriétaire (p.e. avec affichage du statut de l’objet au démarrage) Nouveau processus d’appairage initié Changement de localisation Modification des authentifiants utilisateur (mdp, biométrie) ou réseau Vérification du propriétaire sur une base tiers (p.e. base étatique pour les immatriculations) Résiliation d’un contrat de service par l’utilisateur Une approche alternative consiste à ne pas autoriser la revente, via la location d’un objet qui doit être restitué lors de la résiliation du service Revente par l’utilisateur
  • 22. © WAVESTONE 22 Fin de vie & recyclage Quels risques ? Quels enjeux ? Désactivation/renouvellement de l’identité de l’objet dans le SI Révocation des droits accès pour l’objet sur le SI Détection de l’inactivité de l’objet Accès illégitime au SI via des identifiants associés à un objet recyclé Divulgations de données personnelles de l'ancien propriétaire Maintien du contrôle involontaire par l’ancien propriétaire via un processus de recyclage incomplet Surcoût de licence pour la gestion de mon parc d’objets Une étape obligatoire… … mais avec peu de recul à l’heure actuelle © WAVESTONE 22
  • 23. © WAVESTONE 23 Une approche qui a déjà fait ses preuves … … qui permet d’adresser l’ensemble des thématiques sécurité … … et qui souligne l’omniprésence des problématiques d’identité. POURQUOI UNE MÉTHODOLOGIE CONSTRUITE AUTOUR DU CYCLE DE VIE ?
  • 24. Kévin GUÉRIN M +33 (0) 7 62 97 16 45 kevin.guerin@wavestone.com wavestone.com @wavestone_ riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider M +33 (0) 6 68 40 78 82 fabien.sautet@wavestone.com Fabien SAUTET
  • 25. PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats

Notes de l'éditeur

  1. Autorisation de la mise à jour de l’objet en contrôlant l’identité du télémainteneur Solution crypto pour les données ? Exemple de location entre particulier ? Mode anonyme ? Mode prêt de l’objet ?