Cybersécurité, IOTautomobile et aéronautique
Click here to load reader
-
Upload
antoine-vigneron -
Category
Technology
-
view
31 -
download
1
Transcript of Cybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
Jacques PANTIN Janvier 2017
De nouvelles problématiques de sécurité
• Les menaces – Potentiellement des risques de mort d’homme (il n’y a plus seulement des
problématiques de protection de données personnelles (RGDP, CNIL)) – L’utilisation d’objets, réseaux de ‘zombies’, comme vecteurs d’attaque (cf
les évènements récents avec Mirai) – L’espionnage industriel
• Les vulnérabilités – Des contraintes de coût (‘le composant à 2 $’) qui limitent la mise place de
solutions de sécurité – Des schémas d’architecture de sécurité pas encore pleinement maîtrisés – Le besoin d’une stabilité dans le temps
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Des approches très différentes selon les domaines
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Automobile Aéronautique
Smart buildings Smart cities Domotique
Santé
De nombreux défis
• Un spectre fonctionnel très large et des normes multiples – En automobile
• V2X (Vehicle to Everything) • V2V (Vehicle to Vehicle), V2I (Vehicle to Infrastructure), ITS (Intelligent Transport System) • …
– En aéronautique • Sesar (Single European Sky ATM Research), NextGen • ATA e Business Program (Air Transport Association) • …
• En automobile, une frontière conducteur/véhicule pas encore stabilisée • Des problématiques d’interopérabilité • Une recherche d’ergonomie omniprésente (orthogonale à la mise en
œuvre de ‘réponses sécuritaires’!!) • Des contraintes de côut • Une nécessaire stabilité dans le temps • … Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Une première typologie des risques
• La ‘pollution’ de l’équipement terminal
• La prise de contrôle des concentrateurs (cf l’incident Tesla)
• L’interception des échanges (écoute, altération des msg)
• Le détournement des données
• L’interception des firmwares et logiciels sur les équipements terminaux (espionnage industriel) Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Les objectifs de sécurité
• Avec ISO 26262 (ASIL-Automotive Safety Integry Level)
– S: Sévérité
– E: Exposition
– C: Contrôlabilité
• Avec EBIOS • Disponibilité
• Intégrité
• Confidentialité
• Traçabilité
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
• Avec ISA99 (SAL- Security Assurance Level) • Contrôle d’accés, Contrôle d’usage • Intégrité, Confidentialité, Disponibilité • Restriction sur les flux de données • Réponse adaptée à une incident
Sécurité: les domaines d’action
• Intégrité de l’objet – Intégrité des composants – Absence de malwares
• Sécurité des communications
• Protection des données (en particulier, données
personnelles) – Attaque sur l’objet – Attaque sur les bases d’information
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Nos objectifs: Le safeboot
• Objectif: – La validation de l’intégrité de la configuration
logicielle lors du démarrage de ‘l’objet’ (validation des signatures des composants logiciels critiques, en face d’une configuration de référence)
• Défis: – Niveau de sécurité souvent faible associé à des
solutions d’abord logicielles (pas de eSE) – Outils de gestion de configuration nécessaires – Interopérabilité entre espaces de confiance difficile à
gérer Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Nos objectifs: La traçabilité
• Des acteurs multiples – Equipementiers / Constructeurs / Gestionnaires
de flotte / Mainteneurs – Garagistes
• Des espaces de confiance nécessairement interopérables
• Des principes d’habilitation à la fois sûrs et simples à mettre en œuvre
• Une utilisation de la blockchain??? (usage en micro paiements???)
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Une nouvelle approche de la sécurité
La démarche classique ne suffit plus
– Sécurité et sureté (Security / Safety)
– Security inside (CMM)
– Résilience
– Sécurité et qualité
– ….
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités
Une gouvernance différente
• Des analyses de risques différentes
– Un très bon travail de l’ANSSI
• Pertinence du RSSI d’aujourd’hui??
• Comment prendre en compte la sécurité dans des systèmes techniques?
• Les normes COBIT for info sec, ISO 26262…
Janvier 2017 – DICTIS- Droits de diffusion et de reproduction limités