MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?

1.©Copyright Matias Consulting Group sprl - 2014

La Sécurité IoT – IoE :Mythe ou Réalité ?

Grégorio [email protected]

Version 1.0b


Introduction La Sécurité Aujourd’hui Quelques références Historiques Solutions et Stratégies … de la théorie à l’exemple …

Introduction


Les chiffres qui donnent le tournis …


Et des $ qui font rêver …


IoT … aujourd’hui et demain !


Les niveaux de IoT

Source : Capgemini Consulting, The Internet of Things: Are Organizations Ready For A Multi-Trillion Dollar Prize?, 2014


La maturité des solutions IoT



Les “blocs” indispensables …


Et donc …


Le Hype … phénomène de mode ?

Source : Gartner, Gartner's Hype Cycle, August 2014


Hype versus Réalité …

Source : Deutsche Bank Markets Research, Industry : The Internet of Things , 6 May 2014

La Sécurité Aujourd’hui


L’ennemi est inconnu …


Les ennemis sont très nombreux …

Source : Symantec, April 2011 : Symantec Internet Security Threat Report : Trends for 2010


Le Hacking devient un sport …


Les PMEs d’abord …



Les Industries d’abord …



L’Argent, toujours l’Argent ….



L’importance et la valeur des données !

Source : Check Point, Security Report, 2014


Et le IoT dans tout cela ?

Multiplicité des Protocoles = Complexité

Le RISQUE (l’IMPACT) est légèrement différent ….

Les Objets n’ont pas assez de « ressources » pour y intégrer des éléments indispensables de sécurité ….

Security by Design ?


Oui mais … cela reste théorique ?Des chercheurs ont réalisé 1 POC démontrant le Hacking de « voitures »

Qualys a identifié une multitude de « backdoors » dans une panoplie d’équipements médicaux

En Janvier 2014, Proofpoint a identifié des objets connectés (télévisions, réfrigérateurs, …) qui étaient utilisés par un hacker pour envoyer du Spam …… et des dizaines de milliers de systèmes de régulation HVAC on-line dont une majorité avec des vulnérabilités exploitables par un Hacker !

Quelques références Historiques


Une ressemblance étonnante …


2010 - des Objets Connectés Critiques… En danger !

Source : Symantec, February 2011 : W32.Stuxnet Dossier – Version 1.4


Les modules réutilisables et les services composés …

Depuis 2012 … découvert (et annoncé) en 2014 !


Linux + Web + CGI = ShellShock (9/2014) ?

IoT : Bash or BusyBox ?

Solutions et Stratégies


La Mission …Sécuriser les objets IoT

Comment sécuriser des « objets » dont la sécurité n’a pas été intégrée à la conception ?Comment sécuriser des « objets » qui n’ont pas les ressources pour faire de la sécurité embarquée ?Comment sécuriser des « objets » qui communiquent de manière autonome ?


Le “Quadrant Magique”

L’AccèsLa

Transaction

L’Identification

Les Données

IoT Sécurité

L’Authentification et le Réseau

Normalisation et Standards Sécurité du Cloud


Wifi encore et toujours : Presque des jumeaux ?

Architecture Réseau

Niveau de Confiance

Couche de Sécurité « agnostique » au Wifi

Authentification & Transaction

Le tout intégré à la Politique de Sécurité de l’Entreprise … si elle existe !


Et pour les menaces inconnues ?

Et aujourd’hui, comment faites-vous pour vous protéger des menaces inconnues ?


La Maturité de l’Organisation en Sécurité …

Source : Cisco, 2014 Midyear Security Report

… de la théorie à l’exemple …


SmartBuilding = IoT ?

Intégration des technologies : HVAC, Electricité, Domotique, Audio-Visuel & Sécurité Physique !


Vidéo-surveillance “Home”Interdire tous les accès des Caméras vers Internet

Isoler les Caméras dans une « zone de sécurité » vers laquelle seuls des utilisateurs authentifiés avec des « devices » sécurisés pourront accéderMettre en œuvre des mécanismes VPN et authentification forte pour accéder à la zone de sécurité de l’extérieurSécuriser le device : user/pwd, Https, fonctionnalités de sécurité intégrées (ex. motion détection avec alerte par mail + enregistrement off-site, …), …

Conclusions


La Maturité n’est pas présente dans l’IoT/IoE

La Sécurité par défaut est Inexistante

L’intégration dans votre « ArchitectureSécurité » est la bonne solution, pour autantqu’une Politique de Sécurité existe

Une portion de la solution de sécurisation vous échappe (ex. Cloud)

Aimez-vous vivredangereusement ?

Questions

MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?

Technology

Transcript of MCG - L'internet de objet, point de vue sécurité, mythe ou réalité ?