Post on 06-Jan-2017
1.©Copyright Matias Consulting Group sprl - 2014
La Sécurité IoT – IoE :Mythe ou Réalité ?
Grégorio Matiasg.matias@mcg.be
Version 1.0b
2.©Copyright Matias Consulting Group sprl - 2014
Introduction La Sécurité Aujourd’hui Quelques références Historiques Solutions et Stratégies … de la théorie à l’exemple …
Introduction
4.©Copyright Matias Consulting Group sprl - 2014
Les chiffres qui donnent le tournis …
5.©Copyright Matias Consulting Group sprl - 2014
Et des $ qui font rêver …
6.©Copyright Matias Consulting Group sprl - 2014
IoT … aujourd’hui et demain !
7.©Copyright Matias Consulting Group sprl - 2014
Les niveaux de IoT
Source : Capgemini Consulting, The Internet of Things: Are Organizations Ready For A Multi-Trillion Dollar Prize?, 2014
8.©Copyright Matias Consulting Group sprl - 2014
La maturité des solutions IoT
Source : Capgemini Consulting, The Internet of Things: Are Organizations Ready For A Multi-Trillion Dollar Prize?, 2014
9.©Copyright Matias Consulting Group sprl - 2014
Les “blocs” indispensables …
Source : Capgemini Consulting, The Internet of Things: Are Organizations Ready For A Multi-Trillion Dollar Prize?, 2014
Et donc …
10.©Copyright Matias Consulting Group sprl - 2014
Le Hype … phénomène de mode ?
Source : Gartner, Gartner's Hype Cycle, August 2014
11.©Copyright Matias Consulting Group sprl - 2014
Hype versus Réalité …
Source : Deutsche Bank Markets Research, Industry : The Internet of Things , 6 May 2014
La Sécurité Aujourd’hui
13.©Copyright Matias Consulting Group sprl - 2014
L’ennemi est inconnu …
14.©Copyright Matias Consulting Group sprl - 2014
Les ennemis sont très nombreux …
Source : Symantec, April 2011 : Symantec Internet Security Threat Report : Trends for 2010
15.©Copyright Matias Consulting Group sprl - 2014
Le Hacking devient un sport …
16.©Copyright Matias Consulting Group sprl - 2014
Les PMEs d’abord …
Source : Symantec, April 2014 : Symantec Internet Security Threat Report : Trends for 2013
17.©Copyright Matias Consulting Group sprl - 2014
Les Industries d’abord …
Source : Symantec, April 2014 : Symantec Internet Security Threat Report : Trends for 2013
18.©Copyright Matias Consulting Group sprl - 2014
L’Argent, toujours l’Argent ….
Source : Symantec, April 2014 : Symantec Internet Security Threat Report : Trends for 2013
19.©Copyright Matias Consulting Group sprl - 2014
L’importance et la valeur des données !
Source : Check Point, Security Report, 2014
20.©Copyright Matias Consulting Group sprl - 2014
Et le IoT dans tout cela ?
Multiplicité des Protocoles = Complexité
Le RISQUE (l’IMPACT) est légèrement différent ….
Les Objets n’ont pas assez de « ressources » pour y intégrer des éléments indispensables de sécurité ….
Security by Design ?
21.©Copyright Matias Consulting Group sprl - 2014
Oui mais … cela reste théorique ?Des chercheurs ont réalisé 1 POC démontrant le Hacking de « voitures »
Qualys a identifié une multitude de « backdoors » dans une panoplie d’équipements médicaux
En Janvier 2014, Proofpoint a identifié des objets connectés (télévisions, réfrigérateurs, …) qui étaient utilisés par un hacker pour envoyer du Spam …… et des dizaines de milliers de systèmes de régulation HVAC on-line dont une majorité avec des vulnérabilités exploitables par un Hacker !
Quelques références Historiques
23.©Copyright Matias Consulting Group sprl - 2014
Une ressemblance étonnante …
24.©Copyright Matias Consulting Group sprl - 2014
2010 - des Objets Connectés Critiques… En danger !
Source : Symantec, February 2011 : W32.Stuxnet Dossier – Version 1.4
25.©Copyright Matias Consulting Group sprl - 2014
Les modules réutilisables et les services composés …
Depuis 2012 … découvert (et annoncé) en 2014 !
26.©Copyright Matias Consulting Group sprl - 2014
Linux + Web + CGI = ShellShock (9/2014) ?
IoT : Bash or BusyBox ?
Solutions et Stratégies
28.©Copyright Matias Consulting Group sprl - 2014
La Mission …Sécuriser les objets IoT
Comment sécuriser des « objets » dont la sécurité n’a pas été intégrée à la conception ?Comment sécuriser des « objets » qui n’ont pas les ressources pour faire de la sécurité embarquée ?Comment sécuriser des « objets » qui communiquent de manière autonome ?
29.©Copyright Matias Consulting Group sprl - 2014
Le “Quadrant Magique”
L’AccèsLa
Transaction
L’Identification
Les Données
IoT Sécurité
L’Authentification et le Réseau
Normalisation et Standards Sécurité du Cloud
30.©Copyright Matias Consulting Group sprl - 2014
Wifi encore et toujours : Presque des jumeaux ?
Architecture Réseau
Niveau de Confiance
Couche de Sécurité « agnostique » au Wifi
Authentification & Transaction
Le tout intégré à la Politique de Sécurité de l’Entreprise … si elle existe !
31.©Copyright Matias Consulting Group sprl - 2014
Et pour les menaces inconnues ?
Et aujourd’hui, comment faites-vous pour vous protéger des menaces inconnues ?
32.©Copyright Matias Consulting Group sprl - 2014
La Maturité de l’Organisation en Sécurité …
Source : Cisco, 2014 Midyear Security Report
… de la théorie à l’exemple …
34.©Copyright Matias Consulting Group sprl - 2014
SmartBuilding = IoT ?
Intégration des technologies : HVAC, Electricité, Domotique, Audio-Visuel & Sécurité Physique !
35.©Copyright Matias Consulting Group sprl - 2014
Vidéo-surveillance “Home”Interdire tous les accès des Caméras vers Internet
Isoler les Caméras dans une « zone de sécurité » vers laquelle seuls des utilisateurs authentifiés avec des « devices » sécurisés pourront accéderMettre en œuvre des mécanismes VPN et authentification forte pour accéder à la zone de sécurité de l’extérieurSécuriser le device : user/pwd, Https, fonctionnalités de sécurité intégrées (ex. motion détection avec alerte par mail + enregistrement off-site, …), …
Conclusions
37.©Copyright Matias Consulting Group sprl - 2014
La Maturité n’est pas présente dans l’IoT/IoE
La Sécurité par défaut est Inexistante
L’intégration dans votre « ArchitectureSécurité » est la bonne solution, pour autantqu’une Politique de Sécurité existe
Une portion de la solution de sécurisation vous échappe (ex. Cloud)
Aimez-vous vivredangereusement ?
Questions