of 63 /63
Plan IOT et SSI, bonnes pratiques Les objets connectés, un changement de paradigme Prévisions, attentes (pages 2 -12) Un peu de souci à se faire (pages 13-25) Un peu de chemin à parcourir (pages 26-46) Si il nous reste un peu de temps (et de cpu;-) La SSI, une introduction Concepts, définitions (pages 48-52) Exemples simples, simples exemples (pages 53-57) La SSI, méthodes et bonnes pratiques (page 58-62) Ce n’est pas une conclusion mais un début (page 63) 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 1

IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux domaines –Grand public : santé, domotique –Professionnel : véhicules connectés,

  • Author
    others

  • View
    0

  • Download
    0

Embed Size (px)

Text of IOT et SSI, bonnes pratiques€¦ · •RAND (2012) prévision entre 1,4 et 14,4 Mds $ •Deux...

  • Plan IOT et SSI, bonnes pratiques

    • Les objets connectés, un changement de paradigme – Prévisions, attentes (pages 2 -12)

    – Un peu de souci à se faire (pages 13-25) – Un peu de chemin à parcourir (pages 26-46)

    • Si il nous reste un peu de temps (et de cpu;-) • La SSI, une introduction

    – Concepts, définitions (pages 48-52) – Exemples simples, simples exemples (pages 53-57)

    – La SSI, méthodes et bonnes pratiques (page 58-62)

    • Ce n’est pas une conclusion – mais un début (page 63)

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 1

  • LES OBJETS CONNECTÉS UN CHANGEMENT DE PARADIGME

    Nous passons d’un « publishing internet » à un « emitting internet »

    – Ph. Wolf directeur de recherche de System-X.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 2

  • IOT internet of things « objets connectés » définitions

    K. Ashton (2009), reprenant sa conférence

    de 1999 au MIT sur RFID (radio frequency identification)

    Définitions actuelles

    • « Internet avec des objets » CGIEET

    • « Extension de l’internet » UIT

    • « Réseau des objets physiques qui embarquent des technos pour communiquer et interagir avec l’environnement » Gartner Group

    • « IDO une série de nouveaux systèmes indépendants fonctionnent avec leurs propres infrastructures et en partie internet » Commission des communautés européennes

    • et le M2M ?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 3

  • Objets connectés

    • Prévision du Gartner group 6 milliards d’objets connectés en 2016 (348m $), 11 milliards en 2018 (547m$), 26 milliards en 2030

    • RAND (2012) prévision entre 1,4 et 14,4 Mds $

    • Deux domaines – Grand public : santé, domotique

    – Professionnel : véhicules connectés, santé, M2M

    • Aujourd’hui 6% des français ont un objet connecté, en 2018 ils seront 11 millions?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 4

  • IOT la perception, les attentes • Utilisations souhaitées

    – 53% pour accès à distance (maison, …)

    – 42% être mieux informé pour mieux décider

    – Alertes et pense-bête

    – Recommandations personnalisées (santé, conso..)

    Mais craintes sur vie privée et la sécurité

    – 78% interrogés inquiètes p/r atteinte vie privée

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 5

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 6

    Etude consommateurs sur les IOT

    Laurence Allard, sociologue de l’innovation, à propos de cette étude : Pas de demande des consommateurs spécifique Mais en les interrogeant

    Surveillance de ses biens (maison) ou de soi-même (pour son bien-être).

    • De façon assez paradoxale :

    on craint la surveillance par d’autre de ses activités, mais ce qu’on veut, c’est surveiller son foyer

    on a peur que ça nous rende malade (dépendant), mais on veut que la technologie se développe pour rester bien-portant.

    • C’est le phénomène de « poison remède », le numérique en général est toujours pratiqué dans cette ambivalence

    • « je sais que c’est mauvais sur tel aspect, mais je ne peux pas m’en passer ».

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 7

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 8

    Des besoins très relatifs

  • Les projets de niveau entreprise

    • 5 grands projets de ville connectée

    – Barcelone, Dubai, Singapour, 100 villes en Inde, Australie

    • Traçabilité et suivi (logistique)

    • Capteurs et régulation (ex: smartgrids)

    • Transports (voitures, trains, ….)

  • BARCELONE, Smart City

    • Un plan d’envergure (2012), profitant de 500 km de FO

    – 12 secteurs d’intervention • Transport, eau, énergie, ordures, open gov

    – 22 programmes et 83 projets

    • 670 hots spots dont 62% à moins de 100m • 19500 capteurs pour l’énergie (ex: régulation auto

    lampadaires) • Poubelles intelligentes • Arrêt de bus connectés

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 10

  • Barcelone, application Sentilo

    www.sentilo.io

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 11

    http://www.sentilo.io/

  • Barcelone, résultats affichés

    • 230 m$ de fonds publics pour développer une industrie locale

    • Économie

    – 58 m$ sur l’eau

    – 37 m$ sur l’électricité

    • Gain

    – sur parking 50m$

    – 47 000 jobs « créés » Danaé, par Artemisia Gentileschi

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 12

    https://fr.wikipedia.org/wiki/Artemisia_Gentileschihttps://fr.wikipedia.org/wiki/Artemisia_Gentileschihttps://fr.wikipedia.org/wiki/Artemisia_Gentileschi

  • Un peu de souci à se faire?

    • Et pour qui sont ces six soucis ? Ces six soucis sont pour mémoire. Ne froncez donc pas les sourcils, Ne faites donc pas une histoire, Mais souriez, car vous aussi, Vous aussi, aurez des soucis.

    • Robert Desnos

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 14

    Prise de contrôle d’une JEEP

  • • Google Wharf Office Sidney 2013, accès total

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 15

  • Un usage « imprévu » des objets connectés

    • Mars 2013, Spamhaus, entreprise de lutte contre le spam subit une attaque DDOS de très grande ampleur

    – DDOS de 300 Gbps, 4925 serveurs sur 1298 réseaux.

    – « faille du protocole NTP » …pourtant corrigée en 2010

    • Septembre 2016, attaque DDOS du site de KREBS, expert en sécurité

    – DDOS de 655 Gbps, cameras IP, routeurs, digital video recorders

    – Protocole DNS

    • Sept 2016, attaque d’OVH

    – DDOS de 1,5 Tbps, botnet de 145.607 cameras

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 16

  • Pb global de sécurité

    Table ronde « Sécurité des systèmes connectés : quelles bonnes pratiques à adopter ? » 21 septembre 2015

    Internet des objets (IoT), menace supplémentaire pour la sécurité des entreprises ?

    « Oui, répond sans hésiter Alain Merle , responsable des programmes sécurité au CEA-Leti. Les dizaines de milliards d’objets qui seront connectés en 2020 vont augmenter les surfaces d’attaques. »

    « Le phénomène est très inquiétant avec l’IoT, renchérit Bernard Barbier, aujourd’hui RSSI de Capgemini et ancien directeur technique de la DGSE, car la surface d’attaque est en train de doubler ou tripler. »

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 17

  • Pb de confidentialité de la vie privée (privacy)

    • Où vont les infos des IOT?

    • Menaces possibles :

    – vol d’identité,

    – analyse du comportement,

    – surveillance en temps réel,

    – traçage de l’activité.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 18

  • Mes infos ça n’intéresse personne !

    • Vous êtes sûr ?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 19

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 20

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 21

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 22

  • Ca n’intéresse personne?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 23

  • Ca n’intéresse personne?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 24

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 25

    http://www.geekculture.com/joyoftech/joyarchives/subscription.html

  • UN PEU DE CHEMIN À PARCOURIR

    Améliorer ?

  • • Quelques « sains principes », hélas assez courants en informatique ;-((

    – La sécurité par l’obscurité

    – La sécurité est un coût (a un coût?)

    – KIsS (keep it Stupid Simple)

    Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif. Dave Barry.

    Nos études ont montré que la probabilité qu’un programme corrigé fonctionne comme avant la correction est seulement de cinquante pour cent. Dave Barry.

    Pour moi, enveloppé dans ce manteau impénétrable, la sécurité était complète!

    Pensez-donc, je n’existais pas!

    R.L. Stevenson, L’étrange cas du Dr Jekyll et Mr Hyde.

    Sécurité des IOT une affaire

    d’informaticiens ?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 27

  • Considérer le niveau de sécurité à tous les niveaux

    • L’objet (hard/soft) • Les réseaux

    – Protocoles – Architectures – Performances

    • L’utilisateur, l’utilisation • L’exploitation

    – Installation – Mise à jour – contrôle

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 29

  • Une base HARD simple ….mais peu protégée

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 30

  • Des systèmes d’exploitation … avec leurs bogues

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 31

  • Utilisation de protocoles réseau …non sécurisés

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 32

  • Les réseaux supports

    • LORA et SIGFOX, deux « réseaux » spécialisés, low power pour éviter de saturer la bande passante des télécoms.

    Au 12 janvier 2016 LORA • Bouygues veut 500 villes couvertes en

    LoRa, • Orange annonce 18 agglomérations

    couvertes (1300 communes), • Qowisio mise sur un réseau bi-mode

    LPWAN/LoRa, • Archos lance PicoWAN, • The Things Network, un réseau LoRa

    mondial et gratuit ?

    Couverture sigfox

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 33

  • Objets connectés : polémique sur la sécurité du réseau français Sigfox

    • 01net 11/03/2016

    • Une étude montre que Sigfox ne chiffre pas ses données et qu’il est vulnérable aux attaques par usurpation. Pour autant, le fournisseur estime qu’il n’y a pas péril en la demeure et qu'il existe des solutions.

    • Avertissement – Nous avons publié hier un article sur la sécurité de Sigfox, le

    réseau d’interconnexion des objets connectés. Ce texte s’est appuyé sur l’analyse du chercheur en sécurité Renaud Lifchitz que nous avons interrogé. Sigfox a contesté aujourd’hui certaines conclusions dans cet article. Mais les arguments avancés par le fournisseur ont été contesté à leur tour par le chercheur.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 34

    http://www.01net.com/

  • Objets connectés : les réseaux LoRaWAN, vulnérables aux attaques

    de hackers • 01net 01/10/2016 à 10h34

    • Un chercheur en sécurité a décortiqué la technologie LoRaWAN, soutenue notamment par Orange et Bouygues Télécom. Il a trouvé une multitude de failles à tous les niveaux : protocolaires, logicielles, matérielles.

    – En février dernier, Renaud Lifchitz, chercheur en sécurité chez Digital Security, s’était penché sur Sigfox, découvrant au passage tout un ensemble de failles plus ou moins critiques comme l’interception des messages ou l’usurpation d’identité. A l’occasion de la conférence Hardwear.io, qui s’est déroulée le 20 et 21 septembre à La Haye, le chercheur a présenté une seconde étude, focalisée cette fois-ci sur les réseaux LoRaWAN, qui s'appuient sur la technique de modulation LoRa.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 35

    http://www.01net.com/http://www.01net.com/actualites/objets-connectes-le-reseau-francais-sigfox-une-passoire-en-matiere-de-securite-957875.htmlhttp://hardwear.io/renaud-lifchitz-speaker/

  • La maj confiée …aux utilisateurs ?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 36

  • Vers une sécurisation des IOT

    • Plusieurs problématiques

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 37

  • Les 6 challenges identifiés par la Commission européenne

    • Identification

    • Vie privée, protection des données et sécurité

    • Architectures

    • Ethique

    • Standards

    • Gouvernance

    Europe’s policiy options for a dynamic and trustworthy development of the Internet of Things. Smart 2012/2013, document de RAND EUROPE

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 38

  • Enjeux juridiques et éthiques

    • Gouvernance Internet des objets? – Implique standardisation, politique gouvernementale,

    autoréglementation – Neutralité du net, non discrimination, clef de voûte du

    développement des IOT? • Accord entre 47 membres du Conseil de l’Europe

    – Balkanisation des normes/standards?

    • Objets connectés et droits de la personnalité – Droits fondamentaux de l’UE

    • Protection des données personnelles vous concernant, données traitées loyalement et sur la base du consentement, droits d’accès à respecter

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 39

  • Domaines de gouvernance

    • Comment l’identification d’un objet est-elle structurée?

    • Qui attribue l’identifiant?

    • Comment et où des infos sur objet et son historique peuvent-elles être retrouvées?

    • Comment la sécurité des infos est-elle garantie?

    • Qui doit rendre des comptes et comment?

    • Quel cadre éthique et juridique s’appliquer aux différentes parties concernées?

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 40

  • Quelle responsabilité pour les IOT?

    • Responsabilité délictuelle du fait des choses?

    • Responsabilité spéciale?

    • Pratique juridique

    – Évaluation préalable impact / protection données

    – Information des utilisateurs

    – Capacité adaptation à environnement

    – Préoccupation éthique

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 41

  • Sécurité technique et opérationnelle des IOT

    • Un changement de contexte

    Prendre garde à – Environnement de travail

    – Volume et nature des points de connexion

    – Périmètre du réseau de l’entreprise

    – Complexité d’intégration

    – Évolution de la Supply Chain IT

    – Importance de la localisation

    – Volume des données et leur traitement

    – Nature des données (diversité) 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 42

  • Quelques guides

    • GSMA (2016) IOT Security Guidelines

    • ENISA (2015)

    – Security and Resilience of Smart Home Environment. Good Practices and Recommandations

    • INHESJ institut national des hautes études de sécurité et de justice (déc 2014)

    – Sécurité des objets connectés. Travaux des auditeurs

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 43

  • Préconisations sécurité IOT (finalement valables pour toute l’informatique !)

    • Intégration sécurité en amont (security by design)

    • Besoins métiers et conséquences techniques

    • Adaptation gouvernance

    • Analyse de risque

    • Identification de l’ensemble des techno et risques inhérents

    • Prescriptions architecture pour sécurité

    • Prescriptions de dispositifs d’exploitation liés à la sécurité

    • Intégration dans le projet

    • Revue de sécurité en cours de projet

    • Contrôle de la faisabilité et efficacité mesures de sécurité en production

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 44

  • Privacy requirements La classe FPR (protection des informations personnelles) dans les exigences fonctionnelles des Critères Communs établit des Politiques de Sécurité des Systèmes d’Information. Cette classe décrit quatre contraintes:

    1. L’intraçabilité d’une ou plusieurs valeurs signifie qu’il n’est pas possible de distinguer de

    manière suffisante ces données. Cette notion est définie par la norme ISO 15408 [49].

    2. L’anonymat d’une entité signifie que celle-ci n’est pas identifiable au sein d’un ensemble

    d’entités. Ce critère est également défini par la norme ISO 15408 [49].

    3. Le pseudonymat est synonyme d’intraçabilité et nécessite l’utilisation d’un pseudonyme.

    4. La non-observabilité garantit à un individu l’utilisation d’une ressource (ou d’un service)

    sans que des tiers soient en mesure d’observer la ressource utilisée. Il n’est donc pas

    possible de déterminer si une opération spécifique a été effectuée.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 45

  • Les recommandations immédiates

    • Changer les valeurs par défaut

    • Corriger les failles connues

    • Passer régulièrement des outils de diagnostic

    • Penser la sécurité de manière globale

    • Suivre l’évolution des standards et des normes

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 46

  • Si nous avons encore un peu de temps (et de cpu;-)

    • La SSI, une introduction

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 47

  • Un peu de définitions

    • Sûreté

    – Propriété de ce qui fonctionne de manière fiable et conforme à son type.

    • Sécurité

    – Situation objective, reposant sur des conditions matérielles, économiques, politiques, qui entraîne l'absence de dangers pour les personnes ou de menaces pour les biens et qui détermine la confiance.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 48

  • Sécurité des systèmes d’information (SSI)

    Une caractérisation

    • Disponibilité

    • Intégrité

    • Confidentialité

    • Traçabilité

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 49

  • Menaces, vulnérabilité & risques

    • Menaces = ce qui vous menace (expression du projet de nuire à autrui. )

    – Naturelles, techniques, terroristes

    • Vulnérabilités = ce qui peut être attaqué (synonyme faiblesse)

    • Risques= Éventualité d'un événement futur, ne dépendant pas exclusivement de la volonté des parties et pouvant causer des dommages

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 50

  • Qui est menacé?

    • Menaces

    – Sur le gouvernement, la société

    • Cyberattaques

    • Cyberguerre?

    – Sur les entreprises (cybercriminalité)

    – Sur les individus (cybercriminalité)

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 51

  • https://threatmap.checkpoint.com/ThreatPortal/livemap.html

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 52

    https://threatmap.checkpoint.com/ThreatPortal/livemap.html

  • Un simple exemple

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 53

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 54

  • Envoi d’un mail anonyme

    • En s’octroyant l’adresse d’un autre.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 55

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 56

  • 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 57

  • Cybercriminalité

    • extorsions de fond;

    • fraude liée à la carte de crédit;

    • menaces répréhensibles diverses, de type «vengeance»;

    • fraude commerciale;

    • abus de confiance et escroqueries diverses;

    • détournements de mineurs;

    • usurpation d'identités.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 58

  • • « Le cyberespace est définitivement différent du monde physique naturel car il obéit à des lois d’une autre nature. »

    • « Les réseaux numériques n’ont pas de frontière, sont extensibles à l’infini et sont à la fois de nature très physique (machines, tuyaux) et de nature abstraite et virtuelle. »

    • Ph. Wolf ANSSI

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 59

  • Sécurité, méthodes et démarche

    • Analyse de risques – Quelles menaces veut-on couvrir?

    – Quelles sont nos vulnérabilités

    – Quels sont nos risques

    • Démarche – Security by design

    – Démarche progressive d’amélioration

    – Démarche continue

    – défense en profondeur

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 60

  • Les principales difficultés rencontrées

    • des correctifs de sécurité non appliqués • des mots de passe insuffisamment complexes • l’absence de séparation entre utilisateur et

    administrateur des réseaux • l’absence de surveillance des systèmes d’information

    (analyse des journaux) • l’ouverture d’accès externes incontrôlés (nomadisme,

    télétravail, etc.) • une sensibilisation insuffisante des utilisateurs et des

    dirigeants face à la menace.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 61

  • Dix règles de base de l’ANSSI 1. Utiliser des mots de passe de qualité.

    2. Avoir un système d’exploitation et des logiciels à jour.

    3. Effectuer des sauvegardes régulières.

    4. Désactiver par défaut les composants ActiveX et JavaScript.

    5. Ne pas cliquer trop vite sur des liens. Il vaut mieux saisir soi-même l’adresse du site dans la barre d’adresse du navigateur.

    6. Ne jamais utiliser un compte administrateur pour naviguer.

    7. Contrôler la diffusion d’informations personnelles (ex: coordonnées bancaires).

    8. Ne jamais relayer des canulars ou chaînes de lettres.

    9. Ne pas faire confiance machinalement au nom d’un expéditeur ne jamais répondre à un inconnu sans un minimum de précaution.

    10. Soyez vigilant avant d’ouvrir des pièces jointes à un courriel, privilégiez l’envoi de pièces jointes au format « inerte » possible, comme RTF ou PDF par exemple.

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 62

  • Citations

    • Si, en effet, Internet a beaucoup à offrir à qui sait ce qu’il cherche, le même Internet est tout aussi capable de compléter l’abrutissement de ceux et celles qui y naviguent sans boussole. – Laurent Laplante, Journaliste

    • L’ordinateur vous permet de faire plus d’erreurs plus vite que n’importe quelle autre invention de l’histoire de l’humanité, à l’exception possible des armes à feu et de la téquila. – Mitch Ratcliffe, Technology Review, 1992

    24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 63