Programme Embedded-SEC 2021 Jeudi 25 mars

La page est créée Michel Lebrun
 
CONTINUER À LIRE
Programme Embedded-SEC 2021
                        Jeudi 25 mars

9H15- 9H55 (Q&A 5 mn)

Speaker : Gil Bernabeu

GlobalPlatform Technical Director and Technical Advisor for the Standardization
and Technology Department at Thales. In this role, he supports Gemalto’s
marketing and product groups to deploy trusted and convenient digital services.

Société/organisme : GlobalPlatform

Titre : Initiatives to help the IoT ecosystem build, certify and deploy
trustworthy devices.

Résumé : Within this presentation, GlobalPlatform will explain how standardized
secure component technologies and certifications can be used to develop, deploy
and securely manage digital services and devices that meet specific business,
security, regulatory and data protection needs. It will introduce the following
initiatives:
The IoTopia Framework – a practical implementation guide for the secure, remote
lifecycle management of connected devices, from initial design through to
decommissioning.
The SESIP Methodology – a common and optimized approach for evaluating the
security of connected products, by composition of certified parts and reuse of
certification across different evaluations.
 Trusted Platform Service APIs – a standardized way to access secure services and
attestation mechanisms within a device, making it easier to leverage security
technology offered by secure components.
 GlobalPlatform and RISC-V – how the two organizations are collaborating, how
to build a successful TEE based on RISC-V architecture, and the value it delivers
for IoT devices.
10 H – 10H 40 (Q&A 5mn)

Speaker : Dr. Gisela Meister
Senior Consultant Eurosmart, rapporteur pour le comité technique ETSI TC Cyber
sur l'évaluation de la cybersécurité pour l'IoT grand public. Elle préside le groupe
de normalisation DIN sur les « Exigences de sécurité for pour les équipements
IoT »

Société/organisme : ETSI

Titre : The European Standardization series on consumer IoT security ETSI
EN 303645

Résumé : ETSI EN 303 645 is designed to prevent large-scale, prevalent attacks
against smart devices that cybersecurity experts see every day, by establishing a
security baseline for connected consumer products and provides a basis for future
IoT certification schemes.
ETSI EN 303 645 supports a good security baseline for connected consumer
products, provisioning a set of 13 recommendations, with the top three being: no
default passwords, implement a vulnerability disclosure policy, and keep software
updated. There are also specific data protection provisions for consumer IoT
devices.
The assessment specification TS 103701 specifies baseline conformance
assessments for assessing consumer IoT products against the provisions of ETSI
EN 303 645. It sets out mandatory and recommended assessments, intended to be
used by testing labs and certifying bodies that provide assurance on the security of
relevant products, as well as manufacturers that wish to carry out a self-
assessment. The proposed document is intended as input to a future EU common
cybersecurity certification scheme as proposed in the Cybersecurity Act.
The implementation guide draft TR 103621, gives easy-to-use guidance to help
manufacturers and other stakeholders to meet the provisions defined for
Consumer IoT devices in ETSI EN 303 645. It includes a non-exhaustive set of
example implementations that meet the provisions in the EN.
10 H 45 – 11H 25

Speaker: Nicolas Devillard
Security Architect at Arm

Société/organisme : Arm

Titre : Platform Security Architecture for Automotive

Résumé : Les processeurs sont présents partout dans le monde de l’automobile,
depuis le tableau de bord jusqu’aux plus petits capteurs dans les véhicules actuels,
et au cœur de la conduite automatique pour les véhicules autonomes demain. Avec
cette augmentation de la quantité de calcul disponible à bord arrivent les
considérations sur la sécurité numérique : qui sont les attaquants de ces nouvelles
plateformes, comment se protéger en profondeur, et que propose Arm sur ce sujet
? Cette présentation propose une mise en contexte des nouveaux besoins en
matière de sécurité numérique automobile et survolera les points principaux mis
en œuvre par la Platform Security Architecture.
11 H 30 – 11 H 55

Speaker : A venir

Société/organisme : Vector

Titre : A venir

Résumé : A venir
12 H – 12 H 25 (Q&A 5 mn)

Speaker : Frédéric Maraval
Product Manager

Société/organisme : ISIT

Titre : Allier sureté de fonctionnement et cybersécurité : une solution par
l’architecture et la séparation des domaines

Résumé : L’avènement de la connectivité fait qu’aujourd’hui des mondes séparés
tels que l’IT et l’OT se retrouvent entremêlés et que par conséquence des systèmes
critiques autrefois isolés se retrouvent sous la menace d’attaques extérieures.
Sureté de fonctionnement et cybersécurité sont aujourd’hui indissociables
lorsqu’on doit concevoir un équipement. Mais comment répondre aux exigences,
parfois antagonistes, de ces deux domaines surtout lorsque l’écosystème dans
lequel va évoluer le système que l’on doit concevoir n’est pas entièrement
maitrisé ? Une solution est la séparation et l’isolation des applicatifs au sein de
l’équipement.
Dans cette présentation seront couvertes les notions d’origine et principe de la
séparation, la notion de “least privilege”, la virtualisation matérielle et la
séparation de noyaux, hyperviseur monolithique vs. séparateur de noyaux,
principes du séparateur LynxSecure, avantages et bénéfices des séparateurs de
noyaux.
12 H 30 – 12 H 55 (Q&A 5mn)

Speaker : Pierre Henry Thevenon
Ingénieur de recherche

Société/Organisme : CEA-Leti – Tiempo Secure

Titre : La solution iRMC

Résumé : Lauréate du projet Grand Défi Cyber-sécurité initié par le
gouvernement, la collaboration entre Tiempo Secure, fournisseur d’éléments
sécurisés certifiés intégrés dans des “System-on-Chip” (SoC), et la direction de
recherche technologique du CEA, travaillant sur l’analyse, la sécurisation et la
certification sécuritaire des objets et systèmes, a pour objectif de concevoir un
“integrated Monitoring & Recovery Component” (iMRC). Cette nouvelle
génération d’éléments sécurisés doit être capable de veiller sur le bon
fonctionnement du SoC dans lequel il est intégré, de garantir l’établissement
régulier d’une connexion sécurisée avec une application de monitorage pilotée par
un module de sécurité matérielle (HSM) géré dans le cloud, et de réparer le SoC
en cas d’attaque identifiée sur le processeur applicatif.

`
13 H 30 – 13 H 55 (Q&A 5 mn)

Speaker : Yan-Tarō Clochard.

Directeur commercial pour la région de l’Asie du Nord et en charge de Secure-IC
au Japon (Secure-IC K.K.) dont il est le fondateur. Il est également directeur du
corporate marketing de l'entreprise.

Société/organisme : Secure-IC

Titre : Security from chip to edge to cloud

Résumé : De nombreux objets connectés et systèmes embarqués sont conçus pour
être opérationnels pendant de nombreuses années. Cela implique de la part des
fabricants et des fournisseurs de services de maintenir la sécurité de ces objets et
systèmes tout au long de leur cycle de vie.
Quelles sont les possibilités offertes aux fabricants de composants et d’appareils,
ainsi qu’aux fournisseurs de services, pour qu’ils maintiennent la sécurité de leurs
dispositifs face à des attaques cyber de plus en plus perfectionnées ? Comment
gérer les évolutions au cours du cycle de vie des appareils ? Comment garantir la
protection des communications et des données entre eux mais aussi via des
services hébergés de type cloud ? Et révoquer des accès si besoin ? Secure-IC
illustrera au travers de cas d’exemples certains de ces challenges et donnera des
éléments de réponse quant aux problématiques mentionnées.
14 H – 14 H 25 (Q&A)

Speaker : Claire Loiseaux

Société/organisme : Internet-of-Trust

Titre : Sécurité et Certification IoT, état des lieux

Résumé : Nous nous concentrerons ici sur les niveaux de sécurité et les
certifications adaptés à la grande majorité des produits et systèmes IoT. L'objectif
est de mieux comprendre quels mécanismes de sécurité sont accessibles et
disponibles au niveau matériel et logiciel. Nous examinerons les exigences de
sécurité disponibles, sous forme de normes, de listes de contrôle ou de profils de
protection sur les différentes méthodes d'évaluation disponibles et sur des labels
de sécurité pouvant être obtenus auprès d'entités privées ou étatiques.
Dans le cadre de cette présentation nous nous intéresserons essentiellement aux
niveaux de sécurité et aux certifications adaptés à la grande majorité des produits
et systèmes IoT, à savoir : Platform Security Architecture (PSA) Certified,
Security Evaluation Standard for IoT Platforms (SESIP), schémas de type CSPN,
etc.
L’objectif étant de mieux comprendre quels sont les mécanismes de sécurité
accessibles et disponible au niveau des composants matériels - Security Element
(SE), System-on-Chip (SOC), mécanismes d’isolation hardware – et des couches
logicielles basses - firmware et couches cryptographiques, OS sécurisé,
hyperviseur, containers et des services de sécurité: filtrage, stockage sécurisé,
monitoring.
14 H 30 – 14 H 55 (Q&A 5 mn)

Speaker : Alan Grau
VP of IoT/Embedded Solutions

Société/organisme : Sectigo

Titre : What Do IoT Device Developers Need to Know About the Emerging
IoT Security Regulations

Résumé : IoT Cybersecurity Act of 2020 and other IoT cybersecurity legislation
and industry standards; Recent attacks against IoT Devices (show how critical
vertical are getting hit); How OEMs can ensure their IoT devices are compliant
with cybersecurity legislation. Some other items will be treated : Security
requirements for IoT devices, Penetration testing: finding security flaws in IoT
devices, Firmware scanning: how security tools detect known vulnerabilities, out-
of-date open source components, hard-code encryption keys, expired certificates,
and potential zero-day vulnerabilities.
15 H – 15 H 25

Speaker : Jean-Pierre Delesse

Société/organisme : Trusted Objects

Titre : Software IP Protection for IoT devices

Résumé : IoT markets are getting mature and there is a growing number of IoT
devices deployed all over the world. As volumes are growing, corporation are also
considering outsourcing their manufacturing operations. For IoT devices that
embed a programmable MCU, a high value lies in the embedded software with for
instance artificial intelligence IPs being more and more ported at the edge devices.
As result there are growing concerns about software IP protection for IoT devices
at the different stages of the lifecycle.
The purpose of the presentation is to review the different ways to protect software
IP in IoT devices during the whole lifecycle. We will look at the gaps that still
exist on integration easiness, cost effectiveness or interoperability.
We also introduce a new concept of IP protection product and services based on a
digital security technology. Considering the specific IP protection during the
manufacturing operation, we will show some uses cases where state of the art
technologies are filling the gap.
15 H 30 – 15 H 55 (Q&A 5 mn)

Speaker : Walter Capitan
Director of Technical Product Management from GrammaTech

Société/organisme : GrammaTech

Titre : When Source Code is Unavailable - The Hidden Side of Software
Composition Analysis (SCA)

Résumé : Many SCA solutions require source code for their bill-of-materials and
vulnerability analysis. However, source code is not always available for much of
the supply chain you use in your applications. This third-party content is often
delivered as binaries and includes re-used open source or commercial
components, many of which have known vulnerabilities that may be unknown to
you. Getting a complete software bill-of-materials to fully understand your
security exposure is becoming critical.
In this presentation you can learn how these hidden vulnerabilities can cause
major security headaches, discover a new class of SCA products have emerged to
meet this challenge and hear success stories from GrammaTech on how to
implement binary SCA.
16 H – 16 H 25 (Q&A 5 mn)

Speaker : Denis Praca

Société/organisme : ETSI SCP/Thales

Titre : New generation of secure element (SSP)

Résumé : A venir
16 H 30 – 16 H 55 (Q&A 5 mn)

Speaker : Dr Shahram Mossayebi
Co-founder and CEO of Crypto Quantique
Before founding Crypto Quantique, Shahram worked as a self-employed
cybersecurity consultant and as a security solutions architect at CyNation, a risk
management company. Recognizing the need for a holistic solution that is easy-
to-use at scale, yet delivers robust and reliable security for everything from
connected cars to high-end consumer goods, he founded Crypto Quantique

Titre : Bridging the scaling gap: how IoT security can be scaled at speed.

Résumé : Crypto Quantique has developed Q: Architecture - a scalable
architecture for quickly and securely connecting IoT devices to the cloud. Q
:Architecture has two complementary elements, which will be described in this
presentation.

1. QDID is hardware IP that generates random, unforgeable cryptographic keys
on-demand in silicon. It does this by measuring quantum effects in chips produced
using standard CMOS processes. Keys do not need to be stored and can be
reconstructed on-demand, and It eliminates the need for key injection and its
associated cost, complexity, and security compromise.

2. QuarkLink is a universal IoT security platform for connecting devices to in-
house or cloud servers. Originally designed to work with QDID, it is also
available as a standalone product to be used with other Roots-of-Trust. Its unique
feature is its breadth of capability in one tool. It provides a secure provisioning,
including cryptographic keys and firmware, automated secure onboarding to any
platform and simultaneously to multiple platforms, and security monitoring,
including firmware encryption, signing and secure updates over-the-air, and
certificate and key renewal and revocation
17 H – 17 H 30

Speaker

Société/organisme : WISeKey

Titre : A venir

Résumé : A venir
Vous pouvez aussi lire