Plan IOT et SSI, bonnes pratiques - Master Gestion des ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Plan
IOT et SSI, bonnes pratiques
• Les objets connectés, un changement de paradigme
– Prévisions, attentes (pages 2 -12)
– Un peu de souci à se faire (pages 13-25)
– Un peu de chemin à parcourir (pages 26-46)
• Si il nous reste un peu de temps (et de cpu;-)
• La SSI, une introduction
– Concepts, définitions (pages 48-52)
– Exemples simples, simples exemples (pages 53-57)
– La SSI, méthodes et bonnes pratiques (page 58-62)
• Ce n’est pas une conclusion
– mais un début (page 63)
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 1
LES OBJETS CONNECTÉS
UN CHANGEMENT DE PARADIGME
Nous passons d’un « publishing internet » à un
« emitting internet »
– Ph. Wolf directeur de recherche de System-X.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 2
IOT internet of things « objets connectés »
définitions
K. Ashton (2009), reprenant sa conférence
de 1999 au MIT sur RFID (radio frequency identification)
Définitions actuelles
• « Internet avec des objets » CGIEET
• « Extension de l’internet » UIT
• « Réseau des objets physiques qui embarquent des technos
pour communiquer et interagir avec l’environnement »
Gartner Group
• « IDO une série de nouveaux systèmes indépendants
fonctionnent avec leurs propres infrastructures et en partie
internet » Commission des communautés européennes
• et le M2M ?
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 3
Objets connectés
• Prévision du Gartner group 6 milliards d’objets
connectés en 2016 (348m $), 11 milliards en
2018 (547m$), 26 milliards en 2030
• RAND (2012) prévision entre 1,4 et 14,4 Mds $
• Deux domaines
– Grand public : santé, domotique
– Professionnel : véhicules connectés, santé, M2M
• Aujourd’hui 6% des français ont un objet
connecté, en 2018 ils seront 11 millions?
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 4
IOT la perception, les attentes
• Utilisations souhaitées
– 53% pour accès à distance (maison, …)
– 42% être mieux informé pour mieux décider
– Alertes et pense-bête
– Recommandations personnalisées (santé,
conso..)
Mais craintes sur vie privée et la sécurité
– 78% interrogés inquiètes p/r atteinte vie privée
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 5
Etude consommateurs sur les IOT
Laurence Allard, sociologue de l’innovation, à propos de cette étude :
Pas de demande des consommateurs spécifique
Mais en les interrogeant
Surveillance de ses biens (maison) ou de soi-même (pour son bien-être).
• De façon assez paradoxale :
on craint la surveillance par d’autre de ses activités, mais ce qu’on veut,
c’est surveiller son foyer
on a peur que ça nous rende malade (dépendant), mais on veut que la
technologie se développe pour rester bien-portant.
• C’est le phénomène de « poison remède », le numérique en général est
toujours pratiqué dans cette ambivalence
• « je sais que c’est mauvais sur tel aspect, mais je ne peux pas m’en passer ».
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 6
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 7
Des besoins très relatifs 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 8
Les projets de niveau entreprise
• 5 grands projets de ville connectée
– Barcelone, Dubai, Singapour, 100 villes en Inde,
Australie
• Traçabilité et suivi (logistique)
• Capteurs et régulation (ex: smartgrids)
• Transports (voitures, trains, ….)
BARCELONE,
Smart City
• Un plan d’envergure (2012),
profitant de 500 km de FO
– 12 secteurs d’intervention
• Transport, eau, énergie,
ordures, open gov
– 22 programmes et 83 projets
• 670 hots spots dont 62% à moins de 100m
• 19500 capteurs pour l’énergie (ex: régulation auto
lampadaires)
• Poubelles intelligentes
• Arrêt de bus connectés
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 10Barcelone,
www.sentilo.io
application Sentilo
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 11Barcelone, résultats affichés
• 230 m$ de fonds publics pour développer une
industrie locale
• Économie
– 58 m$ sur l’eau
– 37 m$ sur l’électricité
• Gain
– sur parking 50m$
– 47 000 jobs « créés » Danaé, par Artemisia Gentileschi
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 12Un peu de souci à se faire? • Et pour qui sont ces six soucis ? Ces six soucis sont pour mémoire. Ne froncez donc pas les sourcils, Ne faites donc pas une histoire, Mais souriez, car vous aussi, Vous aussi, aurez des soucis. • Robert Desnos
Prise de contrôle d’une JEEP 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 14
• Google Wharf Office Sidney 2013, accès total 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 15
Un usage « imprévu » des objets connectés
• Mars 2013, Spamhaus, entreprise de lutte contre le spam
subit une attaque DDOS de très grande ampleur
– DDOS de 300 Gbps, 4925 serveurs sur 1298 réseaux.
– « faille du protocole NTP » …pourtant corrigée en 2010
• Septembre 2016, attaque DDOS du site de KREBS, expert en
sécurité
– DDOS de 655 Gbps, cameras IP, routeurs, digital video recorders
– Protocole DNS
• Sept 2016, attaque d’OVH
– DDOS de 1,5 Tbps, botnet de 145.607 cameras
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 16Pb global de sécurité Table ronde « Sécurité des systèmes connectés : quelles bonnes pratiques à adopter ? » 21 septembre 2015 Internet des objets (IoT), menace supplémentaire pour la sécurité des entreprises ? « Oui, répond sans hésiter Alain Merle , responsable des programmes sécurité au CEA-Leti. Les dizaines de milliards d’objets qui seront connectés en 2020 vont augmenter les surfaces d’attaques. » « Le phénomène est très inquiétant avec l’IoT, renchérit Bernard Barbier, aujourd’hui RSSI de Capgemini et ancien directeur technique de la DGSE, car la surface d’attaque est en train de doubler ou tripler. » 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 17
Pb de confidentialité de la vie privée
(privacy)
• Où vont les infos des IOT?
• Menaces possibles :
– vol d’identité,
– analyse du comportement,
– surveillance en temps réel,
– traçage de l’activité.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 18Mes infos ça n’intéresse personne ! • Vous êtes sûr ? 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 19
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 20
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 21
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 22
Ca n’intéresse personne? 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 23
Ca n’intéresse personne? 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 24
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 25
Améliorer ? UN PEU DE CHEMIN À PARCOURIR
Nos études ont montré que
la probabilité qu’un
Sécurité des IOT
programme corrigé
fonctionne comme avant la une affaire
correction est seulement
de cinquante pour cent.
Dave Barry.
d’informaticiens ?
• Quelques « sains principes », hélas assez
courants en informatique ;-(( Pour moi, enveloppé dans ce
manteau impénétrable, la
– La sécurité par l’obscurité sécurité était complète!
Pensez-donc, je n’existais
– La sécurité est un coût (a un pas!
coût?) R.L. Stevenson, L’étrange cas
du Dr Jekyll et Mr Hyde.
– KIsS (keep it Stupid Simple)
Nous autres, mordus d'informatique, préférons par-dessus tout passer notre
temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque
chose de productif. Dave Barry.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 27Considérer le niveau de sécurité à
tous les niveaux
• L’objet (hard/soft)
• Les réseaux
– Protocoles
– Architectures
– Performances
• L’utilisateur, l’utilisation
• L’exploitation
– Installation
– Mise à jour
– contrôle
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 29Une base HARD simple
….mais peu protégée
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 30Des systèmes d’exploitation
… avec leurs bogues
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 31Utilisation de protocoles réseau
…non sécurisés
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 32Les réseaux supports
• LORA et SIGFOX, deux « réseaux » spécialisés,
low power pour éviter de saturer la bande
passante des télécoms. Couverture sigfox
Au 12 janvier 2016 LORA
• Bouygues veut 500 villes couvertes en
LoRa,
• Orange annonce 18 agglomérations
couvertes (1300 communes),
• Qowisio mise sur un réseau bi-mode
LPWAN/LoRa,
• Archos lance PicoWAN,
• The Things Network, un réseau LoRa
mondial et gratuit ?
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 33Objets connectés : polémique sur la
sécurité du réseau français Sigfox
• 01net 11/03/2016
• Une étude montre que Sigfox ne chiffre pas ses données et
qu’il est vulnérable aux attaques par usurpation. Pour
autant, le fournisseur estime qu’il n’y a pas péril en la
demeure et qu'il existe des solutions.
• Avertissement
– Nous avons publié hier un article sur la sécurité de Sigfox, le
réseau d’interconnexion des objets connectés. Ce texte s’est
appuyé sur l’analyse du chercheur en sécurité Renaud Lifchitz
que nous avons interrogé. Sigfox a contesté aujourd’hui
certaines conclusions dans cet article. Mais les arguments
avancés par le fournisseur ont été contesté à leur tour par le
chercheur.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 34Objets connectés : les réseaux
LoRaWAN, vulnérables aux attaques
de hackers
• 01net 01/10/2016 à 10h34
• Un chercheur en sécurité a décortiqué la technologie LoRaWAN,
soutenue notamment par Orange et Bouygues Télécom. Il a trouvé
une multitude de failles à tous les niveaux : protocolaires, logicielles,
matérielles.
– En février dernier, Renaud Lifchitz, chercheur en sécurité chez
Digital Security, s’était penché sur Sigfox, découvrant au passage
tout un ensemble de failles plus ou moins critiques comme
l’interception des messages ou l’usurpation d’identité. A l’occasion
de la conférence Hardwear.io, qui s’est déroulée le 20 et 21
septembre à La Haye, le chercheur a présenté une seconde étude,
focalisée cette fois-ci sur les réseaux LoRaWAN, qui s'appuient sur la
technique de modulation LoRa.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 35La maj confiée …aux utilisateurs ? 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 36
Vers une sécurisation des IOT • Plusieurs problématiques 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 37
Les 6 challenges identifiés par la
Commission européenne
• Identification
• Vie privée, protection des données et sécurité
• Architectures
• Ethique
• Standards
• Gouvernance
Europe’s policiy options for a dynamic and
trustworthy development of the Internet of Things.
Smart 2012/2013, document de RAND EUROPE
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 38Enjeux juridiques et éthiques
• Gouvernance Internet des objets?
– Implique standardisation, politique gouvernementale,
autoréglementation
– Neutralité du net, non discrimination, clef de voûte du
développement des IOT?
• Accord entre 47 membres du Conseil de l’Europe
– Balkanisation des normes/standards?
• Objets connectés et droits de la personnalité
– Droits fondamentaux de l’UE
• Protection des données personnelles vous concernant,
données traitées loyalement et sur la base du
consentement, droits d’accès à respecter
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 39Domaines de gouvernance • Comment l’identification d’un objet est-elle structurée? • Qui attribue l’identifiant? • Comment et où des infos sur objet et son historique peuvent-elles être retrouvées? • Comment la sécurité des infos est-elle garantie? • Qui doit rendre des comptes et comment? • Quel cadre éthique et juridique s’appliquer aux différentes parties concernées? 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 40
Quelle responsabilité pour les IOT?
• Responsabilité délictuelle du fait des choses?
• Responsabilité spéciale?
• Pratique juridique
– Évaluation préalable impact / protection données
– Information des utilisateurs
– Capacité adaptation à environnement
– Préoccupation éthique
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 41Sécurité technique et opérationnelle
des IOT
• Un changement de contexte
Prendre garde à
– Environnement de travail
– Volume et nature des points de connexion
– Périmètre du réseau de l’entreprise
– Complexité d’intégration
– Évolution de la Supply Chain IT
– Importance de la localisation
– Volume des données et leur traitement
– Nature des données (diversité)
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 42Quelques guides
• GSMA (2016) IOT Security Guidelines
• ENISA (2015)
– Security and Resilience of Smart Home Environment.
Good Practices and Recommandations
• INHESJ institut national des hautes études de
sécurité et de justice (déc 2014)
– Sécurité des objets connectés. Travaux des auditeurs
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 43Préconisations sécurité IOT
(finalement valables pour toute l’informatique !)
• Intégration sécurité en amont (security by design)
• Besoins métiers et conséquences techniques
• Adaptation gouvernance
• Analyse de risque
• Identification de l’ensemble des techno et risques inhérents
• Prescriptions architecture pour sécurité
• Prescriptions de dispositifs d’exploitation liés à la sécurité
• Intégration dans le projet
• Revue de sécurité en cours de projet
• Contrôle de la faisabilité et efficacité mesures de sécurité
en production
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 44Privacy requirements
La classe FPR (protection des informations personnelles) dans les exigences fonctionnelles des
Critères Communs établit des Politiques de Sécurité des Systèmes d’Information.
Cette classe décrit quatre contraintes:
1. L’intraçabilité d’une ou plusieurs valeurs signifie qu’il n’est pas possible de distinguer de
manière suffisante ces données. Cette notion est définie par la norme ISO 15408 [49].
2. L’anonymat d’une entité signifie que celle-ci n’est pas identifiable au sein d’un ensemble
d’entités. Ce critère est également défini par la norme ISO 15408 [49].
3. Le pseudonymat est synonyme d’intraçabilité et nécessite l’utilisation d’un pseudonyme.
4. La non-observabilité garantit à un individu l’utilisation d’une ressource (ou d’un service)
sans que des tiers soient en mesure d’observer la ressource utilisée. Il n’est donc pas
possible de déterminer si une opération spécifique a été effectuée.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 45Les recommandations immédiates • Changer les valeurs par défaut • Corriger les failles connues • Passer régulièrement des outils de diagnostic • Penser la sécurité de manière globale • Suivre l’évolution des standards et des normes 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 46
Si nous avons encore un peu de
temps (et de cpu;-)
• La SSI, une introduction
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 47Un peu de définitions
• Sûreté
– Propriété de ce qui fonctionne de manière fiable
et conforme à son type.
• Sécurité
– Situation objective, reposant sur des conditions
matérielles, économiques, politiques, qui entraîne
l'absence de dangers pour les personnes ou de
menaces pour les biens et qui détermine la
confiance.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 48Sécurité des systèmes d’information (SSI) Une caractérisation • Disponibilité • Intégrité • Confidentialité • Traçabilité 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 49
Menaces, vulnérabilité & risques
• Menaces = ce qui vous menace (expression du
projet de nuire à autrui. )
– Naturelles, techniques, terroristes
• Vulnérabilités = ce qui peut être attaqué
(synonyme faiblesse)
• Risques= Éventualité d'un événement futur, ne
dépendant pas exclusivement de la volonté
des parties et pouvant causer des dommages
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 50Qui est menacé?
• Menaces
– Sur le gouvernement, la société
• Cyberattaques
• Cyberguerre?
– Sur les entreprises (cybercriminalité)
– Sur les individus (cybercriminalité)
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 51https://threatmap.checkpoint.com/ThreatPortal/livemap.html 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 52
Un simple exemple 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 53
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 54
Envoi d’un mail anonyme • En s’octroyant l’adresse d’un autre. 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 55
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 56
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 57
Cybercriminalité • extorsions de fond; • fraude liée à la carte de crédit; • menaces répréhensibles diverses, de type «vengeance»; • fraude commerciale; • abus de confiance et escroqueries diverses; • détournements de mineurs; • usurpation d'identités. 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 58
• « Le cyberespace est définitivement différent du monde physique naturel car il obéit à des lois d’une autre nature. » • « Les réseaux numériques n’ont pas de frontière, sont extensibles à l’infini et sont à la fois de nature très physique (machines, tuyaux) et de nature abstraite et virtuelle. » • Ph. Wolf ANSSI 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 59
Sécurité, méthodes et démarche
• Analyse de risques
– Quelles menaces veut-on couvrir?
– Quelles sont nos vulnérabilités
– Quels sont nos risques
• Démarche
– Security by design
– Démarche progressive d’amélioration
– Démarche continue
– défense en profondeur
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 60Les principales difficultés rencontrées • des correctifs de sécurité non appliqués • des mots de passe insuffisamment complexes • l’absence de séparation entre utilisateur et administrateur des réseaux • l’absence de surveillance des systèmes d’information (analyse des journaux) • l’ouverture d’accès externes incontrôlés (nomadisme, télétravail, etc.) • une sensibilisation insuffisante des utilisateurs et des dirigeants face à la menace. 24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 61
Dix règles de base de l’ANSSI
1. Utiliser des mots de passe de qualité.
2. Avoir un système d’exploitation et des logiciels à jour.
3. Effectuer des sauvegardes régulières.
4. Désactiver par défaut les composants ActiveX et JavaScript.
5. Ne pas cliquer trop vite sur des liens. Il vaut mieux saisir soi-même l’adresse du
site dans la barre d’adresse du navigateur.
6. Ne jamais utiliser un compte administrateur pour naviguer.
7. Contrôler la diffusion d’informations personnelles (ex: coordonnées bancaires).
8. Ne jamais relayer des canulars ou chaînes de lettres.
9. Ne pas faire confiance machinalement au nom d’un expéditeur ne jamais
répondre à un inconnu sans un minimum de précaution.
10. Soyez vigilant avant d’ouvrir des pièces jointes à un courriel, privilégiez l’envoi
de pièces jointes au format « inerte » possible, comme RTF ou PDF par
exemple.
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 62Citations
• Si, en effet, Internet a beaucoup à offrir à qui sait
ce qu’il cherche, le même Internet est tout aussi
capable de compléter l’abrutissement de ceux et
celles qui y naviguent sans boussole.
– Laurent Laplante, Journaliste
• L’ordinateur vous permet de faire plus d’erreurs
plus vite que n’importe quelle autre invention de
l’histoire de l’humanité, à l’exception possible des
armes à feu et de la téquila.
– Mitch Ratcliffe, Technology Review, 1992
24/11/2016 La sécurité du numérique/DAUPHINE 9 déc 63Vous pouvez aussi lire
