Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Licence Creative Commons • Ce document est sous une licence Creative Commons ht

Licence Creative Commons • Ce document est sous une licence Creative Commons https://fr.wikipedia.org/wiki/Licence_Creative_Commons Attribution Pas d'utilisation commerciale Sécurité de l'IoT 1 Sécurité de l’IoT Internet des objets v1.0 3 novembre 2016 Modifié octobre 2018 Tactika inc. Table des matières 1. Qui suis-je 2. Contexte 3. Définition de l’IoT 4. Sécurité de l’information et IoT 5. Gestion du risque 6. Étude de cas Sécurité de l'IoT 3 1. Qui suis-je ? Clément Gagnon clement.gagnon@tactika.com Spécialiste en sécurité de l’information 34 ans d’expérience dans les TI Entreprises : Tactika inc. et ID-M (en démarrage) www.tactika.com Id-m.me Certifications : CISSP, CISA, CCSK, ISO2700x … Domaines d’intervention Gestion des risques Architecture de sécurité et de réseautique Infonuagique Rédaction de stratégies et de cadres de référence pour des organismes gouvernementaux Participer à l’implantation de services infonuagiques Formateur pour la certification CCSK au Service aux entreprises du Cegep de Limoilou 4 Sécurité de l'IoT 2. Contexte • L’Internet des objets ou IoT fait beaucoup parler de lui … pour le meilleur et trop souvent pour le pire ! • IoT est déjà très présent dans nos vies et nous n’avons encore rien vu • Vétement connecté, maison connectée, auto connectée, senseurs corporels connectés, ville intelligente (et forcément connectée), etc • Cette formation va vous présenter cette révolution sous l’angle de la sécurité de l’information Sécurité de l'IoT 5 Pourquoi se préoccuper de la sécurité de l’IoT ? • IoT peut compromettre la vie privée et la propriété • IoT peut servir de base pour des attaques de grande envergure sur des d’infrastructures qui sont critiques : • Internet (DDOS) • Réseaux nationaux ou régionaux d’alimentation électrique • Système financier et de commerce Sécurité de l'IoT 6 Quelques cibles … • Automobile • Système industriel • Système de chauffage • Système d’alarme • Équipement médical • Surveillance audio et vidéo • Etc. Sécurité de l'IoT 7 Pourquoi l’IoT ? • Révolution industrielle : un objet n’est plus un « produit » mais un « service » Ian Hughes, analyste à 451 Research • Les nouvelles fonctions des objets grâce à : • Connectivité Internet qui s’étend partout sur la planète et même plus ! • Capacité de traitement exponentielle • Miniaturisation extrême de l’électronique • Géolocalisation • Réseaux sociaux • Mobilité • Collecte d’informations environnementales massives • Accès aux services infonuagiques Sécurité de l'IoT 8 Motivations • Pour l’industrie, IoT permettra de • Diminuer les coûts d’opération (connectivité et dispositifs à faible coût) • Augmenter la productivité (connectivité et mobilité) • Ouvrir des nouveaux marchés ou développer des nouvelles offres et produits • Domaines Sécurité de l'IoT 9 Manufacturier Minier, gazier et pétrolifère Logistique Transport Assurances Service de santé Militaire Maison & bâtiment intelligents Bancaire et financier Agriculture Services alimentaires Ville intelligente* Infrastructure Énergie Hébergement Commerce de détail http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 IoT est un marché énorme ! Sécurité de l'IoT 10 Billion = milliard Trillion = billion (fr) ou mille milliards Les marchés Sécurité de l'IoT 11 http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 Billion = milliard Trillion = billion (fr) ou mille milliards IoT et le ROI • Pour les prochains 5 ans (2015 @ 2020) • Investissement : 6 000 milliards $US • Retour sur l’investissement : 13 000 milliards $US • 24 milliards de dispositifs IoT en 2020 Sécurité de l'IoT 12 http://uk.businessinsider.com/iot-ecosystem-internet-of-things-predictions-and-business-opportunities-2016-7 Billion = milliard Trillion = billion (fr) ou mille milliards Les enjeux et irritants de l’IoT • Sécurité • Protection de la vie privée • Déploiement • Vétusté de l’existant • Expertise et compétence • Coût • Technologique • Complexité • Fragmentation • Cycle de vie • Pérennité et obsolescence des technologies Sécurité de l'IoT 13 3. Définition de l’IoT « L'Internet des objets (IdO ou IoT pour Internet of Things en anglais) représente l'extension d'Internet à des choses et à des lieux du monde physique. Considéré comme la troisième évolution de l'Internet, baptisée Web 3.0 (parfois perçu comme la généralisation du Web des objets mais aussi comme celle du Web sémantique) qui fait suite à l'ère du Web social, l'Internet des objets revêt un caractère universel pour désigner des objets connectés aux usages variés, dans le domaine de la e-santé, de la domotique ou du Quantified Self. » https://fr.wikipedia.org/wiki/Internet_des_objets Sécurité de l'IoT 14 Une simple définition de l’Internet des objets • L’Internet des objets désigne les objets physiques dotés de capacité de traitement de l’information et d’une connectivité réseau permettant de communiquer avec d’autres entités (objets, réseaux, services ou humains) • « The “Internet of Things” refers to physical objects that have embedded network and computing elements and communicate with other objects over a network. » Internet of things, risk and value considerations, ISACA • Internet of Everything • Internet of shit • bad Internet neighborhood Sécurité de l'IoT 15 Domaines des objets connectés • Objets de consommation de masse / Consumer IoT Devices • Smart homes, smart clothing, e-health personnal, smart car, connected car, wearable technology, etc • eSanté / Smart Health Devices • Hopitaux, télé-santé, assurances • Objets industriels / Industrial IoT Devices • SCADA : Supervisory Control and Data Acquisition • Distribution électrique / Power Grid • Compteurs intelligents • Militaires • Villes intelligentes / Smart Cities • Infrastructure / Smart City Infrastructure and Services • Transport / Smart Transportation • Eau • Sécurité publique • Relation avec le citoyen / démocratie Sécurité de l'IoT 16 La ville intelligente Sécurité de l'IoT 17 Ville intelligente et les données Sécurité de l'IoT 18 Iot et le domaine industriel : HVAC, SCADA Sécurité de l'IoT 19 HVAC Heating, ventilation, air conditionning SCADA Supervisory Control and Data Acquisition Écosystème des objets connectés Sécurité de l'IoT 20 UTILISATEUR OBJET (& dispositif) PASSERELLE MANUFACTURIER Fournisseurs de services LES AUTRES INTERNET Réseaux sociaux Bots CLOUD IoT et le cloud Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation. Libre service et sur demande Élastique, extensible (scalable) Accessible par un réseau de type TCP/IP (i*net) Partagé, multi-locataire (multi-tenant) Utilisation mesurée ( éventuellement facturée ) Niveau de service déterminé (entente de service / SLA ) Analogie entre les TI et l’électrification Les services TI deviennent une commodité 21 La sécurité dans le Cloud - Clément Gagnon - Tactika inc. Puissance de traitement, stockage de données, logiciels, accessible partout, extensible, facturé à l’utilisation Vue fournisseur : partagé, multilocataire, virtualisation 22 Fournisseur Opérateur clement.gagnon@tactika.com La sécurité dans le Cloud - Clément Gagnon - Tactika inc. Exemple NetATMO Sécurité de l'IoT 23 Plateforme web NetATMO Sécurité de l'IoT 24 Fournisseurs de services INTERNET Réseaux sociaux CLOUD Population mondiale et IoT Sécurité de l'IoT 25 Billion = milliard Trillion = billion (fr) ou mille milliards Considérations techniques en regard de l’IoT • Attributs et fonctions des objets: identification et adressage des objets, capacité de traitement de l’information, connectivité et interaction avec l’environnement (captation et action) • Communication initiée automatiquement d’objet à objet et d’objet à humain • Croissance exponentielle du volume de données collectées, conservées et traitées (incluant des données personnelles) provenant de différentes sources • Les objets sont hétérogènes Sécurité de l'IoT 26 IoT et IPv6 • La quantité d’objets connectés exige une capacité d’adressage énorme • Les adresses IPv4 se sont taries … • IPv6 permet un espace de 2128 d’adresses IP ou 340 282 366 920 938 463 463 374 607 431 768 211 456 • “nous pouvons donner une adresse IPV6 à chaque atome sur Terre et nous pouvons le faire pour 100 autres planètes comme la Terre” Steven Leibson (traduction libre) Sécurité de l'IoT 27 Sécurité de l'IoT 28 Volumétrie et grands nombres • Yotta : mille mille milliards de milliards • Zetta : mille milliards de milliards • Exa : milliards de milliards • Peta : million de milliards • Tera : mille milliards • Giga : milliard • Méga : million Sécurité de l'IoT 29 b : 1 bit B(ytes) ou O(ctet) : 8 bits 1 zB = 8 zb Qu’est-ce qui produit ces données ? • Ce n’est pas forcément de l’information pour les humains ! • M2M ou « machine to machine » • Échanges et réécritures • Multimédias • Recopies • 80% de données non structurées • 20% de données structurées • Croissance de + 32% par an • 80 Exaoctets de trafic Internet par mois en 2015 • Exa : milliards de milliards • 1 milliard de téléphones intelligents en 2015 Sécurité de l'IoT 30 Volumétrie des données produites par l’IoT Sécurité de l'IoT 31 Volumétrie des données de l’automobile connectée Sécurité de l'IoT 32 Notions de base de l’IoT : objet et dispositif • Objet (Thing) : Un objet de la vie quotidienne (par exemple: automobile, grille-pain) par abstraction et selon le contexte peut-être une maison ou ville avec une « intelligence » • Dispositif (Device): Senseur (sensor), actionneur (actuator) ou marqueur (tag). Un dispositif fait partie d’un objet. Habituellement, le dispositif passe de l’information ou reçoit de l’information de l’objet. Ce dernier la traite et peut la communiquer à des entités (objet, service ou humain) Sécurité de l'IoT 33 Écosystème des objets uploads/Management/ test4-181022005029.pdf