5. 5
L‘Internet des objets (IOT) est un système d'appareils
intelligents connectés , ordinateurs , smartphones, objets et
même animaux ou personnes équipées d'appareils
permettant leur identification et leur liaison à un réseau et
assurant un transfert de données sans la nécessité d'une
intervention humaine.
7. 7
Quelques chiffres
IDC Data
• 4 million Apple Watches, 5 million Fitbit gadgets, and 21 million wearables shipped
to date globally
• 50 million smart devices were sold during 2015/16 winter holiday season all over the
world
• Global IoT spending is estimated at USD $669 million
Gartner Data
• The number of smart homes globally - 174 million
• Expected number of smart homes in 2016 - 339 million
• The number of connected devices to date - 1.2 billion
• In 2016, consumer spending on connected devices will reach USD $546 billion ($1
trillion is expected by 2020)
• 73% of companies either have deployed or plan to deploy some type of IoT solution
by the end of 2016
8. 8
The Benefits of the Internet of Things Can’t Overshadow
Security Concerns
While connecting billions of new devices to the Internet offers many
advantages, organizations must also manage the risks involved.
BY BRANDAN BLEVINS
9. 9
6 Risques IoT à prendre en consideration
L’IoT est en pleine croissance mais aussi le sont ses
risques.
On présentera les 6 principaux risques à prendre en
compte en intégrant l’Internet des objets.
11. 11
La garantie de la disponibilité continue des objets IoT est très importante
pour éviter de potentielles défaillances et des interruptions des services
de l’entreprise.
Pour cela, la sécurité au niveau physique des « objets» est primordiale
pour prévenir un accès non autorisé aux objets en dehors du périmètre
de sécurité.
Les attaques interruptives comme les attaques DDOS, peuvent avoir des
conséquences catastrophiques sur les entreprises.
Imaginez ce qui peut arriver si les 4 million montres Apple Watch lancent
des attaques DDOS sur les serveurs d’Apple !!
1-Perturbations & DOS
13. 13
D’autres problèmes liés à l’IoT sont similaires à ceux rencontrés
avec le concept Bring Your Own Device (BYOD).
La gestion des équipements perdus ou volés que ce soit la
suppression ou la désactivation de la liaison avec le système,
est très critique.
Avoir une telle stratégie de gestion des objets IoT peut aider
l’entreprise à minimiser les risques d’avoir des données internes
dans les mauvaises mains .
D’autre part une stratégie de gestion BYOD est aussi très
importante.
15. 15
2-La compréhension de la complexité des
vulnérabilités
L’année dernière, un hacker inconnu a utilisé une faille connue dans
un web-connected baby monitor populaire pour espionner un enfant
de deux ans.
Cet incident montre à tel point est important le risque posé par l’IoT
pour les entreprises et pour les utilisateurs.
Pour une situation plus dramatique, imaginons l’utilisation d’un
équipement IoT comme un simple thermostat pour contrôler la
température dans l’un des compartiments d’une centrale nucléaire.
Si des personnes malveillantes compromettent l’équipement, les
conséquences peuvent être désastreuses.
17. 17
Pour éviter de tels risques, un projet comportant des équipements IoT
doit être conçu en donnant une priorité au volet sécurité et en
établissant un contrôle de sécurité interne intégrant un modèle de
sécurité pré établi à base de rôles.
Cela est dû au fait que les équipements utilisés peuvent avoir de types
de vulnérabilités non rencontrés par les entreprises et qui peuvent être
très critiques, d’où la nécessité d’équipes de contrôle et de supervision
continue.
Que faire ?
19. 19
3-Gestion des vulnérabilités IoT
Un autre grand challenge se pose pour les entreprises dans un environnement IoT
Comment corriger rapidement les failles des appareils ?
Comment donner une priorité au patch des failles ?
20. 20
Etant donné que dans la plupart des cas, le patch des appareils
nécessite une mise à jour firmware, chose qui peut être complexe
à réaliser rapidement parfois.
Prenons le cas d’une imprimante qui nécessite une mise à jour,
pour le département IT l’application d’un patch pour un serveur
ou un poste de travail serait plus rapide que la mise à jour du
firmware de l’imprimante , chose qui requiert un plus de temps et
d’effort.
21. 21
Un autre exemple de défis pour les entreprises:
La gestion des mots de passes et identificateurs par défaut.
• En général, les appareils sont fournis avec des id et mots de
passe connus.
• Ces appareils peuvent intégrer des mini serveurs web utilisés par
les administrateurs pour la gestion distante.
C’est une grande faille qui peut compromettre la sécurité de l’appareil
connecté.
22. 22
• Le développement d’un processus de mise en service strict.
• La création d’un environnement de développement dans lequel
les configurations initiales peuvent être testées et scannées et
donc identifier n’importe quel type de failles et puis les valider.
• Le monitoring et le suivi périodique des appareils.
Que faire ?
25. 25
• Couches de sécurité.
• Comment les entreprises gèrent ces couches avec les risques IoT.
Le défi pour les entreprises est :
L’identification des niveaux dans lesquels les contrôles de sécurité
sont nécessaires.
Etant donné la diversité des devices , l’identification des risques doit
être customisée et adaptée aux types de services offerts et donc bien
identifier les dangers et déterminer les moyens de les contenir.
28. 28
La variété d’appareils connectés à l’internet a créé une
quantité de données énorme à collecter, trier et analyser.
Ces données aident les entreprises à créer de nouvelles
opportunités mais aussi de découvrir de nouveaux dangers.
29. 29
A travers ces données, les entreprises doivent être capables d’identifier le
trafic ordinaire et le trafic malicieux sur les devices IoT.
Les meilleurs outils d’analyse sont ceux qui permettent non seulement de
détecter les activités douteuses, mais aussi d’améliorer les services offerts au
client.
Pour faire face à ces challenges, les entreprises doivent développer les bons
outils et processus nécessaires pour offrir des possibilités d’analyse de
données adéquates. (SIEM)
32. 32
L’explosion de la demande pour l’internet va mener à
l’expansion des « business continuity risks ».
Si les applications critiques ne reçoivent pas leur bande
passante requise, les utilisateurs auront une mauvaise
qualité d’expérience (QOE) et cela nuira au profit de
l’entreprise.
33. 33
Pour assurer la haute disponibilité de ses services, les entreprises
doivent prendre en compte l’addition de bande passante ainsi qu’un
contrôle et monitoring du trafic.
Cela permet d’éviter les risques de continuité d’activité et aussi éviter
de potentielles pertes de données.
D’autre part, les entreprises doivent contrôler minutieusement
l’expansion de leur réseau pour que la bande passante demandée soit
satisfaite.
34. 34
Pour plus de détails:
https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
36. 36
L’IoT a un grand potentiel aussi bien pour les utilisateurs que pour les
entreprises mais pas sans risques.
Les organismes de sécurité IT, doivent :
• Se préparer à une transition de la sécurisation de PCs , serveurs ,
mobiles et les infrastructures traditionnelles à la gestion d’un ensemble
d’objets interconnectés rassemblant « wearable devices » , capteurs et
une nouvelle génération d’équipements.
• Se préparer à renouveler leurs matrices de risques et leurs politiques de
sécurité pour s’adapter aux communications machine-to-machine et à
la quantité de données énorme à récupérer et analyser.