63
Plan IOT et SSI, bonnes pratiques Les objets connectés, un changement de paradigme Prévisions, attentes (pages 2 -12) Un peu de souci à se faire (pages 13-25) Un peu de chemin à parcourir (pages 26-46) Si il nous reste un peu de temps (et de cpu;-) La SSI, une introduction Concepts, définitions (pages 48-52) Exemples simples, simples exemples (pages 53-57) La SSI, méthodes et bonnes pratiques (page 58-62) Ce n’est pas une conclusion mais un début (page 63) 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 1

IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Plan IOT et SSI, bonnes pratiques

• Les objets connectés, un changement de paradigme – Prévisions, attentes (pages 2 -12)

– Un peu de souci à se faire (pages 13-25) – Un peu de chemin à parcourir (pages 26-46)

• Si il nous reste un peu de temps (et de cpu;-) • La SSI, une introduction

– Concepts, définitions (pages 48-52) – Exemples simples, simples exemples (pages 53-57)

– La SSI, méthodes et bonnes pratiques (page 58-62)

• Ce n’est pas une conclusion – mais un début (page 63)

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 1

Page 2: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

LES OBJETS CONNECTÉS UN CHANGEMENT DE PARADIGME

Nous passons d’un « publishing internet » à un « emitting internet »

– Ph. Wolf directeur de recherche de System-X.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 2

Page 3: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

IOT internet of things « objets connectés » définitions

K. Ashton (2009), reprenant sa conférence

de 1999 au MIT sur RFID (radio frequency identification)

Définitions actuelles

• « Internet avec des objets » CGIEET

• « Extension de l’internet » UIT

• « Réseau des objets physiques qui embarquent des technos pour communiquer et interagir avec l’environnement » Gartner Group

• « IDO une série de nouveaux systèmes indépendants fonctionnent avec leurs propres infrastructures et en partie internet » Commission des communautés européennes

• et le M2M ?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 3

Page 4: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Objets connectés

• Prévision du Gartner group 6 milliards d’objets connectés en 2016 (348m $), 11 milliards en 2018 (547m$), 26 milliards en 2030

• RAND (2012) prévision entre 1,4 et 14,4 Mds $

• Deux domaines – Grand public : santé, domotique

– Professionnel : véhicules connectés, santé, M2M

• Aujourd’hui 6% des français ont un objet connecté, en 2018 ils seront 11 millions?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 4

Page 5: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

IOT la perception, les attentes • Utilisations souhaitées

– 53% pour accès à distance (maison, …)

– 42% être mieux informé pour mieux décider

– Alertes et pense-bête

– Recommandations personnalisées (santé, conso..)

Mais craintes sur vie privée et la sécurité

– 78% interrogés inquiètes p/r atteinte vie privée

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 5

Page 6: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 6

Etude consommateurs sur les IOT

Laurence Allard, sociologue de l’innovation, à propos de cette étude : Pas de demande des consommateurs spécifique Mais en les interrogeant

Surveillance de ses biens (maison) ou de soi-même (pour son bien-être).

• De façon assez paradoxale :

on craint la surveillance par d’autre de ses activités, mais ce qu’on veut, c’est surveiller son foyer

on a peur que ça nous rende malade (dépendant), mais on veut que la technologie se développe pour rester bien-portant.

• C’est le phénomène de « poison remède », le numérique en général est toujours pratiqué dans cette ambivalence

• « je sais que c’est mauvais sur tel aspect, mais je ne peux pas m’en passer ».

Page 7: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 7

Page 8: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 8

Des besoins très relatifs

Page 9: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Les projets de niveau entreprise

• 5 grands projets de ville connectée

– Barcelone, Dubai, Singapour, 100 villes en Inde, Australie

• Traçabilité et suivi (logistique)

• Capteurs et régulation (ex: smartgrids)

• Transports (voitures, trains, ….)

Page 10: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

BARCELONE, Smart City

• Un plan d’envergure (2012), profitant de 500 km de FO

– 12 secteurs d’intervention • Transport, eau, énergie, ordures, open gov

– 22 programmes et 83 projets

• 670 hots spots dont 62% à moins de 100m • 19500 capteurs pour l’énergie (ex: régulation auto

lampadaires) • Poubelles intelligentes • Arrêt de bus connectés

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 10

Page 11: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Barcelone, application Sentilo

www.sentilo.io

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 11

Page 12: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Barcelone, résultats affichés

• 230 m$ de fonds publics pour développer une industrie locale

• Économie

– 58 m$ sur l’eau

– 37 m$ sur l’électricité

• Gain

– sur parking 50m$

– 47 000 jobs « créés » Danaé, par Artemisia Gentileschi

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 12

Page 13: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Un peu de souci à se faire?

• Et pour qui sont ces six soucis ? Ces six soucis sont pour mémoire. Ne froncez donc pas les sourcils, Ne faites donc pas une histoire, Mais souriez, car vous aussi, Vous aussi, aurez des soucis.

• Robert Desnos

Page 14: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 14

Prise de contrôle d’une JEEP

Page 15: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

• Google Wharf Office Sidney 2013, accès total

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 15

Page 16: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Un usage « imprévu » des objets connectés

• Mars 2013, Spamhaus, entreprise de lutte contre le spam subit une attaque DDOS de très grande ampleur

– DDOS de 300 Gbps, 4925 serveurs sur 1298 réseaux.

– « faille du protocole NTP » …pourtant corrigée en 2010

• Septembre 2016, attaque DDOS du site de KREBS, expert en sécurité

– DDOS de 655 Gbps, cameras IP, routeurs, digital video recorders

– Protocole DNS

• Sept 2016, attaque d’OVH

– DDOS de 1,5 Tbps, botnet de 145.607 cameras

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 16

Page 17: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Pb global de sécurité

Table ronde « Sécurité des systèmes connectés : quelles bonnes pratiques à adopter ? » 21 septembre 2015

Internet des objets (IoT), menace supplémentaire pour la sécurité des entreprises ?

« Oui, répond sans hésiter Alain Merle , responsable des programmes sécurité au CEA-Leti. Les dizaines de milliards d’objets qui seront connectés en 2020 vont augmenter les surfaces d’attaques. »

« Le phénomène est très inquiétant avec l’IoT, renchérit Bernard Barbier, aujourd’hui RSSI de Capgemini et ancien directeur technique de la DGSE, car la surface d’attaque est en train de doubler ou tripler. »

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 17

Page 18: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Pb de confidentialité de la vie privée (privacy)

• Où vont les infos des IOT?

• Menaces possibles :

– vol d’identité,

– analyse du comportement,

– surveillance en temps réel,

– traçage de l’activité.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 18

Page 19: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Mes infos ça n’intéresse personne !

• Vous êtes sûr ?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 19

Page 20: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 20

Page 21: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 21

Page 22: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 22

Page 23: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Ca n’intéresse personne?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 23

Page 24: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Ca n’intéresse personne?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 24

Page 25: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 25

Page 26: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

UN PEU DE CHEMIN À PARCOURIR

Améliorer ?

Page 27: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

• Quelques « sains principes », hélas assez courants en informatique ;-((

– La sécurité par l’obscurité

– La sécurité est un coût (a un coût?)

– KIsS (keep it Stupid Simple)

Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif. Dave Barry.

Nos études ont montré que la probabilité qu’un programme corrigé fonctionne comme avant la correction est seulement de cinquante pour cent. Dave Barry.

Pour moi, enveloppé dans ce manteau impénétrable, la sécurité était complète!

Pensez-donc, je n’existais pas!

R.L. Stevenson, L’étrange cas du Dr Jekyll et Mr Hyde.

Sécurité des IOT une affaire

d’informaticiens ?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 27

Page 28: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,
Page 29: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Considérer le niveau de sécurité à tous les niveaux

• L’objet (hard/soft) • Les réseaux

– Protocoles – Architectures – Performances

• L’utilisateur, l’utilisation • L’exploitation

– Installation – Mise à jour – contrôle

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 29

Page 30: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Une base HARD simple ….mais peu protégée

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 30

Page 31: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Des systèmes d’exploitation … avec leurs bogues

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 31

Page 32: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Utilisation de protocoles réseau …non sécurisés

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 32

Page 33: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Les réseaux supports

• LORA et SIGFOX, deux « réseaux » spécialisés, low power pour éviter de saturer la bande passante des télécoms.

Au 12 janvier 2016 LORA • Bouygues veut 500 villes couvertes en

LoRa, • Orange annonce 18 agglomérations

couvertes (1300 communes), • Qowisio mise sur un réseau bi-mode

LPWAN/LoRa, • Archos lance PicoWAN, • The Things Network, un réseau LoRa

mondial et gratuit ?

Couverture sigfox

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 33

Page 34: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Objets connectés : polémique sur la sécurité du réseau français Sigfox

• 01net 11/03/2016

• Une étude montre que Sigfox ne chiffre pas ses données et qu’il est vulnérable aux attaques par usurpation. Pour autant, le fournisseur estime qu’il n’y a pas péril en la demeure et qu'il existe des solutions.

• Avertissement – Nous avons publié hier un article sur la sécurité de Sigfox, le

réseau d’interconnexion des objets connectés. Ce texte s’est appuyé sur l’analyse du chercheur en sécurité Renaud Lifchitz que nous avons interrogé. Sigfox a contesté aujourd’hui certaines conclusions dans cet article. Mais les arguments avancés par le fournisseur ont été contesté à leur tour par le chercheur.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 34

Page 35: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Objets connectés : les réseaux LoRaWAN, vulnérables aux attaques

de hackers • 01net 01/10/2016 à 10h34

• Un chercheur en sécurité a décortiqué la technologie LoRaWAN, soutenue notamment par Orange et Bouygues Télécom. Il a trouvé une multitude de failles à tous les niveaux : protocolaires, logicielles, matérielles.

– En février dernier, Renaud Lifchitz, chercheur en sécurité chez Digital Security, s’était penché sur Sigfox, découvrant au passage tout un ensemble de failles plus ou moins critiques comme l’interception des messages ou l’usurpation d’identité. A l’occasion de la conférence Hardwear.io, qui s’est déroulée le 20 et 21 septembre à La Haye, le chercheur a présenté une seconde étude, focalisée cette fois-ci sur les réseaux LoRaWAN, qui s'appuient sur la technique de modulation LoRa.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 35

Page 36: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

La maj confiée …aux utilisateurs ?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 36

Page 37: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Vers une sécurisation des IOT

• Plusieurs problématiques

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 37

Page 38: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Les 6 challenges identifiés par la Commission européenne

• Identification

• Vie privée, protection des données et sécurité

• Architectures

• Ethique

• Standards

• Gouvernance

Europe’s policiy options for a dynamic and trustworthy development of the Internet of Things. Smart 2012/2013, document de RAND EUROPE

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 38

Page 39: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Enjeux juridiques et éthiques

• Gouvernance Internet des objets? – Implique standardisation, politique gouvernementale,

autoréglementation – Neutralité du net, non discrimination, clef de voûte du

développement des IOT? • Accord entre 47 membres du Conseil de l’Europe

– Balkanisation des normes/standards?

• Objets connectés et droits de la personnalité – Droits fondamentaux de l’UE

• Protection des données personnelles vous concernant, données traitées loyalement et sur la base du consentement, droits d’accès à respecter

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 39

Page 40: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Domaines de gouvernance

• Comment l’identification d’un objet est-elle structurée?

• Qui attribue l’identifiant?

• Comment et où des infos sur objet et son historique peuvent-elles être retrouvées?

• Comment la sécurité des infos est-elle garantie?

• Qui doit rendre des comptes et comment?

• Quel cadre éthique et juridique s’appliquer aux différentes parties concernées?

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 40

Page 41: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Quelle responsabilité pour les IOT?

• Responsabilité délictuelle du fait des choses?

• Responsabilité spéciale?

• Pratique juridique

– Évaluation préalable impact / protection données

– Information des utilisateurs

– Capacité adaptation à environnement

– Préoccupation éthique

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 41

Page 42: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Sécurité technique et opérationnelle des IOT

• Un changement de contexte

Prendre garde à – Environnement de travail

– Volume et nature des points de connexion

– Périmètre du réseau de l’entreprise

– Complexité d’intégration

– Évolution de la Supply Chain IT

– Importance de la localisation

– Volume des données et leur traitement

– Nature des données (diversité) 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 42

Page 43: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Quelques guides

• GSMA (2016) IOT Security Guidelines

• ENISA (2015)

– Security and Resilience of Smart Home Environment. Good Practices and Recommandations

• INHESJ institut national des hautes études de sécurité et de justice (déc 2014)

– Sécurité des objets connectés. Travaux des auditeurs

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 43

Page 44: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Préconisations sécurité IOT (finalement valables pour toute l’informatique !)

• Intégration sécurité en amont (security by design)

• Besoins métiers et conséquences techniques

• Adaptation gouvernance

• Analyse de risque

• Identification de l’ensemble des techno et risques inhérents

• Prescriptions architecture pour sécurité

• Prescriptions de dispositifs d’exploitation liés à la sécurité

• Intégration dans le projet

• Revue de sécurité en cours de projet

• Contrôle de la faisabilité et efficacité mesures de sécurité en production

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 44

Page 45: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Privacy requirements La classe FPR (protection des informations personnelles) dans les exigences fonctionnelles des Critères Communs établit des Politiques de Sécurité des Systèmes d’Information. Cette classe décrit quatre contraintes:

1. L’intraçabilité d’une ou plusieurs valeurs signifie qu’il n’est pas possible de distinguer de

manière suffisante ces données. Cette notion est définie par la norme ISO 15408 [49].

2. L’anonymat d’une entité signifie que celle-ci n’est pas identifiable au sein d’un ensemble

d’entités. Ce critère est également défini par la norme ISO 15408 [49].

3. Le pseudonymat est synonyme d’intraçabilité et nécessite l’utilisation d’un pseudonyme.

4. La non-observabilité garantit à un individu l’utilisation d’une ressource (ou d’un service)

sans que des tiers soient en mesure d’observer la ressource utilisée. Il n’est donc pas

possible de déterminer si une opération spécifique a été effectuée.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 45

Page 46: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Les recommandations immédiates

• Changer les valeurs par défaut

• Corriger les failles connues

• Passer régulièrement des outils de diagnostic

• Penser la sécurité de manière globale

• Suivre l’évolution des standards et des normes

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 46

Page 47: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Si nous avons encore un peu de temps (et de cpu;-)

• La SSI, une introduction

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 47

Page 48: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Un peu de définitions

• Sûreté

– Propriété de ce qui fonctionne de manière fiable et conforme à son type.

• Sécurité

– Situation objective, reposant sur des conditions matérielles, économiques, politiques, qui entraîne l'absence de dangers pour les personnes ou de menaces pour les biens et qui détermine la confiance.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 48

Page 49: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Sécurité des systèmes d’information (SSI)

Une caractérisation

• Disponibilité

• Intégrité

• Confidentialité

• Traçabilité

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 49

Page 50: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Menaces, vulnérabilité & risques

• Menaces = ce qui vous menace (expression du projet de nuire à autrui. )

– Naturelles, techniques, terroristes

• Vulnérabilités = ce qui peut être attaqué (synonyme faiblesse)

• Risques= Éventualité d'un événement futur, ne dépendant pas exclusivement de la volonté des parties et pouvant causer des dommages

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 50

Page 51: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Qui est menacé?

• Menaces

– Sur le gouvernement, la société

• Cyberattaques

• Cyberguerre?

– Sur les entreprises (cybercriminalité)

– Sur les individus (cybercriminalité)

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 51

Page 52: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

https://threatmap.checkpoint.com/ThreatPortal/livemap.html

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 52

Page 53: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Un simple exemple

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 53

Page 54: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 54

Page 55: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Envoi d’un mail anonyme

• En s’octroyant l’adresse d’un autre.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 55

Page 56: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 56

Page 57: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 57

Page 58: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Cybercriminalité

• extorsions de fond;

• fraude liée à la carte de crédit;

• menaces répréhensibles diverses, de type «vengeance»;

• fraude commerciale;

• abus de confiance et escroqueries diverses;

• détournements de mineurs;

• usurpation d'identités.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 58

Page 59: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

• « Le cyberespace est définitivement différent du monde physique naturel car il obéit à des lois d’une autre nature. »

• « Les réseaux numériques n’ont pas de frontière, sont extensibles à l’infini et sont à la fois de nature très physique (machines, tuyaux) et de nature abstraite et virtuelle. »

• Ph. Wolf ANSSI

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 59

Page 60: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Sécurité, méthodes et démarche

• Analyse de risques – Quelles menaces veut-on couvrir?

– Quelles sont nos vulnérabilités

– Quels sont nos risques

• Démarche – Security by design

– Démarche progressive d’amélioration

– Démarche continue

– défense en profondeur

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 60

Page 61: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Les principales difficultés rencontrées

• des correctifs de sécurité non appliqués • des mots de passe insuffisamment complexes • l’absence de séparation entre utilisateur et

administrateur des réseaux • l’absence de surveillance des systèmes d’information

(analyse des journaux) • l’ouverture d’accès externes incontrôlés (nomadisme,

télétravail, etc.) • une sensibilisation insuffisante des utilisateurs et des

dirigeants face à la menace.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 61

Page 62: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Dix règles de base de l’ANSSI 1. Utiliser des mots de passe de qualité.

2. Avoir un système d’exploitation et des logiciels à jour.

3. Effectuer des sauvegardes régulières.

4. Désactiver par défaut les composants ActiveX et JavaScript.

5. Ne pas cliquer trop vite sur des liens. Il vaut mieux saisir soi-même l’adresse du site dans la barre d’adresse du navigateur.

6. Ne jamais utiliser un compte administrateur pour naviguer.

7. Contrôler la diffusion d’informations personnelles (ex: coordonnées bancaires).

8. Ne jamais relayer des canulars ou chaînes de lettres.

9. Ne pas faire confiance machinalement au nom d’un expéditeur ne jamais répondre à un inconnu sans un minimum de précaution.

10. Soyez vigilant avant d’ouvrir des pièces jointes à un courriel, privilégiez l’envoi de pièces jointes au format « inerte » possible, comme RTF ou PDF par exemple.

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 62

Page 63: IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

Citations

• Si, en effet, Internet a beaucoup à offrir à qui sait ce qu’il cherche, le même Internet est tout aussi capable de compléter l’abrutissement de ceux et celles qui y naviguent sans boussole. – Laurent Laplante, Journaliste

• L’ordinateur vous permet de faire plus d’erreurs plus vite que n’importe quelle autre invention de l’histoire de l’humanité, à l’exception possible des armes à feu et de la téquila. – Mitch Ratcliffe, Technology Review, 1992

24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 63