Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

La sécurité de l’Internet des Objets Livre Blanc 2 Table des matières A propos

La sécurité de l’Internet des Objets Livre Blanc 2 Table des matières A propos de Digital Security ......................................................................................3 Préambule ....................................................................................................................4 Introduction..................................................................................................................7 1. Écosysteme de l’Internet des Objets ...................................................................9 1.1. Définitions ....................................................................................................................9 1.2. Acteurs clés ................................................................................................................10 1.3. Segmentation du marché .........................................................................................11 1.4. Infrastructure d’une solution connectée ...............................................................12 1.5. Plateformes matérielles ...........................................................................................13 1.6. Micrologiciels et systèmes d’exploitation .............................................................13 1.7. Infrastructures de communications .......................................................................14 2. État des lieux de la securité de l’Internet des objets .......................................17 2.1. Une sécurité souvent absente ou mal implémentée ...........................................17 2.2. Baromètre des risques : quels sont les secteurs les plus impactés ? ...............17 2.2.1. Présentation des outils d’analyse ..........................................................................................................17 2.2.2. Baromètre des risques ................................................................................................................................19 2.3 Un manque de sensibilisation des différents acteurs ..........................................20 2.4. Des spécificités IoT à prendre en compte pour la sécurité .................................21 2.5. La sécurité de l’infrastructure des applications des solutions connectées ......22 2.6. Principales vulnérabilités de l’IoT ............................................................................23 2.7. Penser la protection des données personnelles en amont .................................23 3. Menaces et scénarios d’attaques a l’encontre des objets connectés ...........27 3.1. Cartographie des méthodes d’attaques contre les objets connectés ..............27 3.1.1. Les attaques contre les objets connectés eux-mêmes. ...........................................................27 3.1.2. Les attaques réalisées au travers des objets connectés ...........................................................28 3.1.3. Les attaques contre les réseaux et protocoles de communication de l’IoT ......................28 3.2. Analyses prospectives : quelles seront les futures cyberattaques ? .................29 3.2.1. Scénario n° 1 - Domotique : cyber-crochetage de serrures connectées à distance ..29 3.2.2. Scénario n°2 - Santé connectée : compromission de services et équipements de télé- santé ..................................................................................................................................................................................30 3.2.3. Scénario n°3 – Smart City : déstabilisation d’une métropole .................................................32 4. Recommandations pour la securité de l’IoT ......................................................35 4.1.1. Sur la sécurité physique de l’objet ........................................................................................................35 4.1.2. Sur les protocoles de communication ................................................................................................36 4.1.3. Sur la sécurité applicative et système ................................................................................................37 4.2. La labellisation, une priorité stratégique ...............................................................38 4.2.1. Les labels et certifications .........................................................................................................................39 4.2.2. Le label de Digital Security ........................................................................................................................39 Conclusion ..................................................................................................................40 Table des matières 3 Fondée en 2015 par un groupe d’experts en sécurité des systèmes d’information avec le sou- tien du groupe Econocom, Digital Security a pour vocation d’offrir aux entreprises et aux ad- ministrations des prestations d’audit, d’expertise et de conseil avancées ainsi que les services d’un CERT™ (Computer Emergency Response Team) ayant développé une spécialité sur les écosystèmes d’objets connectés. Ce CERT, dénommé le CERT-UBIK, et son laboratoire IoT (« Internet of Things ») permettent aux experts d’évaluer la sécurité des objets connectés et de leurs écosystèmes grâce à des bancs de tests adaptés. Il alimente l’Observatoire de la Sécurité de l’Internet des Objets (OSIDO), qui propose mensuellement une veille sur la sécurité à destination des acteurs du marché de l’IoT. Il est aujourd’hui nécessaire de sécuriser les données personnelles et professionnelles, de leur collecte initiale jusqu’au stockage dans les Clouds, de détecter les objets illégitimement connectés au sein des Systèmes d’Information et de protéger les équipements de l’Entreprise connectée. Digital Security combine approche métier et approche technologique pour définir des prestations contribuant à la sûreté et la sécurité des systèmes d’information étendus à l’IoT, en prenant en considération les usages et besoins métiers. Cette approche concertée per- met de bénéficier pleinement des opportunités offertes par la transformation digitale dans un contexte de maîtrise des risques. A propos de digital security 4 Préambule Face au défi sécuritaire de l’Internet des objets, il faut adapter nos approches ! Si la sécurité des SI et, plus globalement, la gestion du « risque IT » font partie intégrante des schémas de gouvernance, elles prennent une dimension particulière en raison de l’arrivée en masse du nu- mérique et des transformations qu’elles induisent : • nouveaux services et usages (cloud, réseaux sociaux, …) qui ré- pondent à un besoin d’agilité, mais qui peuvent devenir des obsta- cles à la visibilité et à la maîtrise ; • croissance exponentielle des volumes de données numériques qui rend possible de nou- velles analyses créatrices de valeur, mais qui posent le problème de leur protection ; • évolution de la chaîne de responsabilité qui induit une complexification de la relation entre les acteurs ; • multiplication des terminaux mobiles et des objets connectés qui répond à un besoin de réactivité et de contrôle, mais qui augmente les zones de risques et la « surface d’at- taque » ; • volonté de renforcer les lois, règlements et labels afin de nous protéger et développer un « marketing de la confiance numérique » mais qui se traduit par de nouvelles contraintes. Les organisations sont confrontées à un immense challenge : maintenir un niveau de sécurité acceptable et accepté de leurs patrimoines tout en maîtrisant les risques induits par la trans- formation de leurs processus, services et produits. Au cœur cette transformation, l’Internet des objets. D’ici 2020, ce seront plus de 80 milliards d’objets connectés qui communiqueront entre eux. Plus de 200 milliards de dollars seront in- vestis dans cette course à l’innovation. Les opportunités innombrables induites sur le plan so- cio-économique nécessitent néanmoins une prise en compte adaptée et agile des enjeux de sécurité pour faire face à : • un processus d’innovation ouvert et itératif (travailler en permanence sur de nouveaux concepts, les tester, les industrialiser) ; • un SI avec un périmètre de plus en plus flou et élastique ; • un objet technique plus complexe qui révolutionne la façon dont les agents économiques et sociaux interagissent. Digital Security s’est ainsi penché sur l’étude de nouveaux modèles de sécurité. Nous pensons que la protection de ces nouveaux écosystèmes reposent sur de nouveaux principes : com- préhension des usages, identification des éléments critiques (personnes, données sensibles, infrastructures, environnement…), défense en profondeur, recherche d’un équilibre entre risque et création de valeur, coopération entre les parties prenantes, responsabilisation, conduite du changement... Sans oublier que ces évolutions redessinent les missions et l’organisation de la 5 Confiance et sécurité, piliers de la transformation digitale de notre société L’Internet des Objets estompe les frontières entre le monde phy- sique et le monde digital. La baisse continue des coûts de l’élec- tronique embarquée permet dès aujourd’hui de « digitaliser » une grande partie de votre vie professionnelle et personnelle (véhicule, domotique, mobilité numérique …) Nous savons que la mutation profonde de notre société s’appuiera sur des piliers essentiels : l’innovation, l’agilité, la complémentarité et la sécurité. C’est pour répondre à ce défi que le groupe Econocom s’est organisé en une ga- laxie d’entités spécialisées, réactives et expertes. Cette combinaison de valeurs nous permet d’accompagner nos clients dans la réussite de leurs projets. Mais notre rôle ne se limite pas à l’aspect « business », nous portons également une responsabilité sociétale. C’est pourquoi nous avons souhaité partager avec vous ce livre blanc sur la sécurité de l’internet des objets, fruit de notre expérience et de nos recherches dans ce domaine. Nous espérons que ces bonnes pratiques de sécurité vous permettront d’appréhen- der plus clairement les principaux enjeux de sécurité. Nous croyons que les opportunités liées à la transformation digitale et à l’lnternet des Objets ne trouveront leur place et leur sens que dans un contexte de sécurité maitrisé, prenant en compte l’évolution des usages et des technologies. « Digital for all, now and in a secure way! » Bruno Grossi, Directeur exécutif du groupe Econocom Fonction IT et ses relations avec les métiers et les usagers. Digital Security, avec son savoir-faire, ses expertises rares et additionnelles, sa capacité d’inno- vation et d’expérimentation, s’impose aujourd’hui comme l’un des pionniers de cette nouvelle approche de la sécurité. Au travers de ce premier livre blanc, nous avons souhaité partager notre vision et notre passion. Proposant une approche holistique et adaptative de la sécurité, il s’inscrit en préambule de la mise en œuvre de notre label sécurité, fruit de plus d’une année de R&D. Ce label, référence dans l’évaluation de la sécurité de l’IoT, permettra d’accompagner les entreprises dans un dé- veloppement et une utilisation sereine de leurs outils digitaux. Jean-Claude Tapia, Président de Digital Security 6 7 Apparus avec les premiers smartphones, les objets connectés se sont progressivement démo- cratisés : il y aura ainsi en 2020 entre 50 et 80 milliards d’objets connectés en circulation dans le monde, générant une valeur ajoutée totale de 8900 milliards de dollars, soit plus de 10% du produit mondial brut1. Cette course frénétique à l’innovation est accueillie avec grand enthou- siasme par tous ceux qui, particuliers, états ou entreprises, aspirent à tout mesurer, connecter et automatiser afin de créer ou améliorer de façon substantielle les services associés. Mais dans cet emballement, il apparaît que les fournisseurs ont souvent négligé la sécurité des dis- positifs connectés et de leurs infrastructures au profit de l’insatiable besoin d’innovation. En effet, si les objets connectés ont des similarités avec les ordinateurs que nous utilisons au quotidien, ils partagent également la même prépondérance à exposer un grand nombre de vulnérabilités. La prise de contrôle très médiatisée d’un véhicule par le biais de ce qu’il convenait hier d’appeler son autoradio connecté a mis en avant les risques de sûreté liés aux solutions connectées2. Mais la récente démonstration de piratage d’un thermostat connecté lors de uploads/Management/ la-securite-de-l-x27-internet-des-objets.pdf