Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Compte rendu Partie 1 : les défis de confidentialité et de sécurité pour l'iot

Compte rendu Partie 1 : les défis de confidentialité et de sécurité pour l'iot L'IoT – smartphones, imprimantes multifonctions, maisons connectées, voitures autonomes, etc – est partout. C'est une bonne nouvelle. La mauvaise nouvelle, c'est que : Les pirates informatiques et les cyber-voleurs savent comment attaquer ces appareils pour accéder à vos données ou à vos systèmes de contrôle industriels. Pire encore, de nombreux capteurs, actionneurs, contrôleurs et dispositifs informatiques sont connectés à la plupart des infrastructures essentielles dans le monde. La plupart de ces appareils ont été conçus bien avant que les pirates informatiques et les intrusions électroniques ne pénètrent dans nos consciences. Cela signifie que les réseaux électriques intelligents, les centrales nucléaires, les centres de commandement militaires, les installations intelligentes des villes et les systèmes de transport – pour ne citer que quelques exemples – représentent des cibles importantes pour les pirates et les autres mauvais acteurs. C'est pourquoi les concepteurs, les opérateurs, les fournisseurs et les utilisateurs des systèmes IoT actuels n'ont plus le luxe de privilégier la flexibilité et l'interopérabilité dans leurs conceptions de l'IoT. Désormais, la sécurité et la confidentialité de l’Internet des objets doivent être au centre des préoccupations. Les chercheurs de PARC, une entreprise de Xerox, l'ont remarqué. De ce fait, l'une des missions de PARC consiste à développer des solutions de sécurité innovantes qui empêchent les attaques sur les flottes de périphériques cyber-physiques faisant partie du monde plus vaste de l'Internet des objets. Ersin Uzun et Shantanu Rane, chercheurs à PARC, définissent le problème : Les contrôles industriels : À l'origine limités à leur environnement physique, ces appareils sont désormais connectés à des réseaux informatiques. Un appareil peut devenir une passerelle vers votre réseau si un attaquant présente les bonnes informations d'identification ou trouve un moyen de contourner ces informations. Une surface d'attaque riche : Les avancées en matière de calcul et de connectivité ont engendré des solutions qui automatisent, améliorent et simplifient les tâches clés telles que la collecte des lectures de capteurs sur une ligne de production, la mise en œuvre de chaînes d'approvisionnement intelligentes, qui vérifient la fraîcheur d'une expédition alimentaire, en programmant des coupes et des formes précises que les machines CNC exécutent sur un bloc de métal. Malheureusement, elles présentent également une surface d'attaque exposée, qui peut être exploitée par des pirates informatiques. La sécurité dès la conception est difficile : En effet, le concepteur du système doit comprendre l’attaquant potentiel et les innombrables moyens créatifs dont il dispose pour compromettre un système donné. Des solutions complexes : Les solutions de cybersécurité peuvent être trop complexes pour les capteurs peu coûteux et peu gourmands en énergie dont certaines applications industrielles et d'entreprise ont besoin. Il est nécessaire de développer des solutions de sécurité qui fonctionnent sur un large éventail de fonctionnalités. La résilience : Un système IoT peut être compromis de deux manières : Infecter un composant qui interagit avec d'autres composants ; ou compromettre l'appareil en usurpant une lecture ou en modifiant un facteur critique dans l'environnement externe de l'appareil, tel que la température de la pièce dans laquelle il est placé. Il est important de noter que nous ne pouvons pas compter sur les solutions cryptographiques pour répondre à toutes les attaques possibles. Partie 2 : les types de données à protéger pour l'IOT Les 4 types de données Avec les premières années d'analyse et de développement des projets et des technologies liées à l'Internet des Objets, il est possible de résumer les données associées aux objets connectés en 4 types de données. La démarche est importante, car elle est un guide pour le déploiement des solutions de Big Data associées à l'IoT.  Les données d'état Ce sont les données logiquement les plus répandues, car elles sont naturellement associées à l'objet connecté. Elles permettent de mettre en place une base de référence et serviront de plus en plus comme matière première pour alimenter les moteurs d'algorithmes des solutions de Big Data, et réaliser du prévisionnel sur le long terme.  Les données de localisation Extension logique du GPS, ces données se complètent : le GPS fonctionne bien en déplacement, à l'extérieur, mal sur le statique, sur des déplacements courts et surtout en intérieur. Le potentiel est énorme, certes dans la chaine logistique qui devrait être la première à l'industrialiser, mais également avec un énorme marché grand public, celui de la localisation d'un objet ou d'une personne. Des fonctionnalités qui demandent à bénéficier d'un traitement en temps réel.  Les données personnalisées Les acteurs du marché sont très prudents dans ce domaine : ils distinguent les données anonymes sur les usage et les préférences individuelles aux données personnelles associées à la vie privée. En fait, se profile derrière ces données une notion essentielle, source de scepticisme de la part des utilisateurs, l'automatisation. Toute la difficulté est de pouvoir associer des règles à des usages en passant de la moyenne aux pratiques de l'individu, sans heurter le respect de la vie privée…  Les données décisionnelles Principalement associée à l'exploitation des données d'état, mais également aux deux suivantes, les données décisionnelles doivent accompagner la prise de décision, quelle soit automatisée ou personnelle. Elles ont donc deux états, l'automatisation et la persuasion. Partie 3: Les bonnes pratiques de sécurité pour l'IOT. Introduction : La « démocratisation » des objets connectés s’est effectuée progressivement depuis l’apparition des premiers Smartphones. Ainsi, en 2020, il y aurait entre 60 et 70 milliards d’objets connectés circulant dans le monde générant plus de 10% du produit brut mondial. Un impact jugé pharamineux en termes de bénéfices par Gartner (1,7 Milliards de dollars) et McKinsey (4 milliards de dollars). L’association, entre ‘business models’ des solutions IoT (Internet of Things) d’un côté et les infrastructures IT d’un autre, est estimée immature par Gartner qui remet en cause le manque de sécurité sur les solutions déployées. L’effet innovatif du concept fondateur des IoT est accueilli avec grand enthousiasme par les états, entreprises et fournisseurs de services. Cette course frénétique aspire à tout mesurer, connecter et automatiser afin de créer ou améliorer de façon substantielle les services associés. Mais dans cet enivrement, il apparaît que les fournisseurs IoT ont souvent négligé la sécurité des infrastructures et des dispositifs connectés au profit du besoin d’innovation. En effet, si les objets connectés ont des similarités avec les ordinateurs que nous utilisons au quotidien, ils partagent également la même prépondérance à exposer un grand nombre de vulnérabilités. En France, 400 000 attaques Ransomware ont été enregistrées en 2016 touchant 52% des entreprises selon GlobbeSecurity contre 39% en royaume uni. Comme tout domaine émergeant, les IoT augmentent les risques d’ouverture des systèmes d’information aux menaces de plus en plus complexes et de plus en plus difficiles à investiguer. En effet, aux Etats-Unis et en Royaume Unis, plus d’un quart des entreprises mettent environ un an pour identifier une attaque réussie. Afin de protéger leurs clients, plusieurs professionnels de la sécurité informatique ont définit des recommandations spécifiques à leurs secteurs d’activités. Il est impossible de définir un ensemble de mesures et de règles universelles relatifs à la sécurité des IoT. Néanmoins, il est recommandé d’adopter certains principes d’ordre général qui permettent de renforcer la protection et d’atténuer les impacts d’une cyber-attaque. I. Sécurité des équipements IoT : 1- Protection physique des équipements : La plupart des équipements IoT opèrent en mode autonome sans aucune supervision physique, ce qui les rendent vulnérables aux accès potentiels aux ports d’administrations. Il est important d’isoler les équipements hors portée de quelconque personne non autorisée. La sécurité physique des équipements peut inclure :  Blocage des ports Ethernet non utilisés,  Blocage des ports USB,  Limiter les sous réseaux,  Protection de l’équipement via des coques,  Utilisation des coques de protection des caméras, La supervision en temps réel des équipement IoT permet d’avoir des alertes pour tout changement de configuration et d’anticiper l’isolement de l’équipement en cas de prise en main par une cyberattaque. 2- Mise à jour/Correctifs des micro-logiciels : Tout équipement est susceptible d’avoir des vulnérabilités après son déploiement. Les équipements IoT doivent être administrables pour application des correctifs et des mises à jour de sécurité fournis par leurs éditeurs. En temps normal, chaque équipement doit garder sa signature numérique après tout changement au niveau de son micro-logiciel, qu’il soit un correctif ou une mise à jour. Les budgets relatifs à la recherche en cybersécurité sont en croissances depuis plusieurs années et sont des fois des freins à l’évolution de certains constructeurs. Il est important avant tout déploiement de mener une analyse profonde sur les constructeurs pérennes qui proposent de façon régulière des mises à jour et des correctifs de sécurités répondant à une ou plusieurs menaces pointues. Une attention particulière doit être donnée à la revue des cycles de vies des équipements IoT pour leur maintenance en conditions opérationnelles par la couverture de la garantie des constructeurs. 3- Définition et exécution de plans de tests Il est indispensable avant tout déploiement d’équipement IoT de passer en revue un plan de tests uploads/Management/ compte-rendu-de-pervasive-computing-and-cloud-realise-par-akram-zouabi-m1peb.pdf