Programme Embedded-SEC 2021 Jeudi 25 mars
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Programme Embedded-SEC 2021 Jeudi 25 mars 9H15- 9H55 (Q&A 5 mn) Speaker : Gil Bernabeu GlobalPlatform Technical Director and Technical Advisor for the Standardization and Technology Department at Thales. In this role, he supports Gemalto’s marketing and product groups to deploy trusted and convenient digital services. Société/organisme : GlobalPlatform Titre : Initiatives to help the IoT ecosystem build, certify and deploy trustworthy devices. Résumé : Within this presentation, GlobalPlatform will explain how standardized secure component technologies and certifications can be used to develop, deploy and securely manage digital services and devices that meet specific business, security, regulatory and data protection needs. It will introduce the following initiatives: The IoTopia Framework – a practical implementation guide for the secure, remote lifecycle management of connected devices, from initial design through to decommissioning. The SESIP Methodology – a common and optimized approach for evaluating the security of connected products, by composition of certified parts and reuse of certification across different evaluations. Trusted Platform Service APIs – a standardized way to access secure services and attestation mechanisms within a device, making it easier to leverage security technology offered by secure components. GlobalPlatform and RISC-V – how the two organizations are collaborating, how to build a successful TEE based on RISC-V architecture, and the value it delivers for IoT devices.
10 H – 10H 40 (Q&A 5mn) Speaker : Dr. Gisela Meister Senior Consultant Eurosmart, rapporteur pour le comité technique ETSI TC Cyber sur l'évaluation de la cybersécurité pour l'IoT grand public. Elle préside le groupe de normalisation DIN sur les « Exigences de sécurité for pour les équipements IoT » Société/organisme : ETSI Titre : The European Standardization series on consumer IoT security ETSI EN 303645 Résumé : ETSI EN 303 645 is designed to prevent large-scale, prevalent attacks against smart devices that cybersecurity experts see every day, by establishing a security baseline for connected consumer products and provides a basis for future IoT certification schemes. ETSI EN 303 645 supports a good security baseline for connected consumer products, provisioning a set of 13 recommendations, with the top three being: no default passwords, implement a vulnerability disclosure policy, and keep software updated. There are also specific data protection provisions for consumer IoT devices. The assessment specification TS 103701 specifies baseline conformance assessments for assessing consumer IoT products against the provisions of ETSI EN 303 645. It sets out mandatory and recommended assessments, intended to be used by testing labs and certifying bodies that provide assurance on the security of relevant products, as well as manufacturers that wish to carry out a self- assessment. The proposed document is intended as input to a future EU common cybersecurity certification scheme as proposed in the Cybersecurity Act. The implementation guide draft TR 103621, gives easy-to-use guidance to help manufacturers and other stakeholders to meet the provisions defined for Consumer IoT devices in ETSI EN 303 645. It includes a non-exhaustive set of example implementations that meet the provisions in the EN.
10 H 45 – 11H 25 Speaker: Nicolas Devillard Security Architect at Arm Société/organisme : Arm Titre : Platform Security Architecture for Automotive Résumé : Les processeurs sont présents partout dans le monde de l’automobile, depuis le tableau de bord jusqu’aux plus petits capteurs dans les véhicules actuels, et au cœur de la conduite automatique pour les véhicules autonomes demain. Avec cette augmentation de la quantité de calcul disponible à bord arrivent les considérations sur la sécurité numérique : qui sont les attaquants de ces nouvelles plateformes, comment se protéger en profondeur, et que propose Arm sur ce sujet ? Cette présentation propose une mise en contexte des nouveaux besoins en matière de sécurité numérique automobile et survolera les points principaux mis en œuvre par la Platform Security Architecture.
11 H 30 – 11 H 55 Speaker : A venir Société/organisme : Vector Titre : A venir Résumé : A venir
12 H – 12 H 25 (Q&A 5 mn) Speaker : Frédéric Maraval Product Manager Société/organisme : ISIT Titre : Allier sureté de fonctionnement et cybersécurité : une solution par l’architecture et la séparation des domaines Résumé : L’avènement de la connectivité fait qu’aujourd’hui des mondes séparés tels que l’IT et l’OT se retrouvent entremêlés et que par conséquence des systèmes critiques autrefois isolés se retrouvent sous la menace d’attaques extérieures. Sureté de fonctionnement et cybersécurité sont aujourd’hui indissociables lorsqu’on doit concevoir un équipement. Mais comment répondre aux exigences, parfois antagonistes, de ces deux domaines surtout lorsque l’écosystème dans lequel va évoluer le système que l’on doit concevoir n’est pas entièrement maitrisé ? Une solution est la séparation et l’isolation des applicatifs au sein de l’équipement. Dans cette présentation seront couvertes les notions d’origine et principe de la séparation, la notion de “least privilege”, la virtualisation matérielle et la séparation de noyaux, hyperviseur monolithique vs. séparateur de noyaux, principes du séparateur LynxSecure, avantages et bénéfices des séparateurs de noyaux.
12 H 30 – 12 H 55 (Q&A 5mn) Speaker : Pierre Henry Thevenon Ingénieur de recherche Société/Organisme : CEA-Leti – Tiempo Secure Titre : La solution iRMC Résumé : Lauréate du projet Grand Défi Cyber-sécurité initié par le gouvernement, la collaboration entre Tiempo Secure, fournisseur d’éléments sécurisés certifiés intégrés dans des “System-on-Chip” (SoC), et la direction de recherche technologique du CEA, travaillant sur l’analyse, la sécurisation et la certification sécuritaire des objets et systèmes, a pour objectif de concevoir un “integrated Monitoring & Recovery Component” (iMRC). Cette nouvelle génération d’éléments sécurisés doit être capable de veiller sur le bon fonctionnement du SoC dans lequel il est intégré, de garantir l’établissement régulier d’une connexion sécurisée avec une application de monitorage pilotée par un module de sécurité matérielle (HSM) géré dans le cloud, et de réparer le SoC en cas d’attaque identifiée sur le processeur applicatif. `
13 H 30 – 13 H 55 (Q&A 5 mn) Speaker : Yan-Tarō Clochard. Directeur commercial pour la région de l’Asie du Nord et en charge de Secure-IC au Japon (Secure-IC K.K.) dont il est le fondateur. Il est également directeur du corporate marketing de l'entreprise. Société/organisme : Secure-IC Titre : Security from chip to edge to cloud Résumé : De nombreux objets connectés et systèmes embarqués sont conçus pour être opérationnels pendant de nombreuses années. Cela implique de la part des fabricants et des fournisseurs de services de maintenir la sécurité de ces objets et systèmes tout au long de leur cycle de vie. Quelles sont les possibilités offertes aux fabricants de composants et d’appareils, ainsi qu’aux fournisseurs de services, pour qu’ils maintiennent la sécurité de leurs dispositifs face à des attaques cyber de plus en plus perfectionnées ? Comment gérer les évolutions au cours du cycle de vie des appareils ? Comment garantir la protection des communications et des données entre eux mais aussi via des services hébergés de type cloud ? Et révoquer des accès si besoin ? Secure-IC illustrera au travers de cas d’exemples certains de ces challenges et donnera des éléments de réponse quant aux problématiques mentionnées.
14 H – 14 H 25 (Q&A) Speaker : Claire Loiseaux Société/organisme : Internet-of-Trust Titre : Sécurité et Certification IoT, état des lieux Résumé : Nous nous concentrerons ici sur les niveaux de sécurité et les certifications adaptés à la grande majorité des produits et systèmes IoT. L'objectif est de mieux comprendre quels mécanismes de sécurité sont accessibles et disponibles au niveau matériel et logiciel. Nous examinerons les exigences de sécurité disponibles, sous forme de normes, de listes de contrôle ou de profils de protection sur les différentes méthodes d'évaluation disponibles et sur des labels de sécurité pouvant être obtenus auprès d'entités privées ou étatiques. Dans le cadre de cette présentation nous nous intéresserons essentiellement aux niveaux de sécurité et aux certifications adaptés à la grande majorité des produits et systèmes IoT, à savoir : Platform Security Architecture (PSA) Certified, Security Evaluation Standard for IoT Platforms (SESIP), schémas de type CSPN, etc. L’objectif étant de mieux comprendre quels sont les mécanismes de sécurité accessibles et disponible au niveau des composants matériels - Security Element (SE), System-on-Chip (SOC), mécanismes d’isolation hardware – et des couches logicielles basses - firmware et couches cryptographiques, OS sécurisé, hyperviseur, containers et des services de sécurité: filtrage, stockage sécurisé, monitoring.
14 H 30 – 14 H 55 (Q&A 5 mn) Speaker : Alan Grau VP of IoT/Embedded Solutions Société/organisme : Sectigo Titre : What Do IoT Device Developers Need to Know About the Emerging IoT Security Regulations Résumé : IoT Cybersecurity Act of 2020 and other IoT cybersecurity legislation and industry standards; Recent attacks against IoT Devices (show how critical vertical are getting hit); How OEMs can ensure their IoT devices are compliant with cybersecurity legislation. Some other items will be treated : Security requirements for IoT devices, Penetration testing: finding security flaws in IoT devices, Firmware scanning: how security tools detect known vulnerabilities, out- of-date open source components, hard-code encryption keys, expired certificates, and potential zero-day vulnerabilities.
15 H – 15 H 25 Speaker : Jean-Pierre Delesse Société/organisme : Trusted Objects Titre : Software IP Protection for IoT devices Résumé : IoT markets are getting mature and there is a growing number of IoT devices deployed all over the world. As volumes are growing, corporation are also considering outsourcing their manufacturing operations. For IoT devices that embed a programmable MCU, a high value lies in the embedded software with for instance artificial intelligence IPs being more and more ported at the edge devices. As result there are growing concerns about software IP protection for IoT devices at the different stages of the lifecycle. The purpose of the presentation is to review the different ways to protect software IP in IoT devices during the whole lifecycle. We will look at the gaps that still exist on integration easiness, cost effectiveness or interoperability. We also introduce a new concept of IP protection product and services based on a digital security technology. Considering the specific IP protection during the manufacturing operation, we will show some uses cases where state of the art technologies are filling the gap.
15 H 30 – 15 H 55 (Q&A 5 mn) Speaker : Walter Capitan Director of Technical Product Management from GrammaTech Société/organisme : GrammaTech Titre : When Source Code is Unavailable - The Hidden Side of Software Composition Analysis (SCA) Résumé : Many SCA solutions require source code for their bill-of-materials and vulnerability analysis. However, source code is not always available for much of the supply chain you use in your applications. This third-party content is often delivered as binaries and includes re-used open source or commercial components, many of which have known vulnerabilities that may be unknown to you. Getting a complete software bill-of-materials to fully understand your security exposure is becoming critical. In this presentation you can learn how these hidden vulnerabilities can cause major security headaches, discover a new class of SCA products have emerged to meet this challenge and hear success stories from GrammaTech on how to implement binary SCA.
16 H – 16 H 25 (Q&A 5 mn) Speaker : Denis Praca Société/organisme : ETSI SCP/Thales Titre : New generation of secure element (SSP) Résumé : A venir
16 H 30 – 16 H 55 (Q&A 5 mn) Speaker : Dr Shahram Mossayebi Co-founder and CEO of Crypto Quantique Before founding Crypto Quantique, Shahram worked as a self-employed cybersecurity consultant and as a security solutions architect at CyNation, a risk management company. Recognizing the need for a holistic solution that is easy- to-use at scale, yet delivers robust and reliable security for everything from connected cars to high-end consumer goods, he founded Crypto Quantique Titre : Bridging the scaling gap: how IoT security can be scaled at speed. Résumé : Crypto Quantique has developed Q: Architecture - a scalable architecture for quickly and securely connecting IoT devices to the cloud. Q :Architecture has two complementary elements, which will be described in this presentation. 1. QDID is hardware IP that generates random, unforgeable cryptographic keys on-demand in silicon. It does this by measuring quantum effects in chips produced using standard CMOS processes. Keys do not need to be stored and can be reconstructed on-demand, and It eliminates the need for key injection and its associated cost, complexity, and security compromise. 2. QuarkLink is a universal IoT security platform for connecting devices to in- house or cloud servers. Originally designed to work with QDID, it is also available as a standalone product to be used with other Roots-of-Trust. Its unique feature is its breadth of capability in one tool. It provides a secure provisioning, including cryptographic keys and firmware, automated secure onboarding to any platform and simultaneously to multiple platforms, and security monitoring, including firmware encryption, signing and secure updates over-the-air, and certificate and key renewal and revocation
17 H – 17 H 30 Speaker Société/organisme : WISeKey Titre : A venir Résumé : A venir
Vous pouvez aussi lire