SlideShare a Scribd company logo

Meetup Cybersécurité RGPD Conséquences dans l'Embarqué

Download as ODP, PDF
Christian Charreyre
Christian Charreyre

Slides du Meetup Cybersécurité et RGDP, conséquences dans l'embarqué du groupe Aix Marseille Embedded Linux Meetup

Technology
1 of 28
11 Avenue Marigny 13014 Marseille www.ciose.fr christian.charreyre@ciose.fr Cybersécurité, RGPD- Conséquences dans l'embarqué 11/04/2019 Cybersécurité, RGPD– ConséquencesCybersécurité, RGPD– Conséquences dans l’embarquédans l’embarqué C. CharreyreC. Charreyre christian.charreyre@ciose.frchristian.charreyre@ciose.fr http://www.ciose.frhttp://www.ciose.fr https://twitter.com/CIO_SysEmbhttps://twitter.com/CIO_SysEmb http://fr.slideshare.net/charreyrehttp://fr.slideshare.net/charreyre
Licence Cybersécurité, RGPD- Conséquences dans l'embarqué 21/04/2019 Attribution-Noncommercial-Share Alike 4.0 International ● You are free: to Share - copy and redistribute the material in any medium or format to Adapt - remix, transform, and build upon the material The licensor cannot revoke these freedoms as long as you follow the license terms. ● Under the following conditions: Attribution — You must give appropriate credit, provide a link to the license, and indicate if changes were made. You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. NonCommercial — You may not use the material for commercial purposes. ShareAlike — If you remix, transform, or build upon the material, you must distribute your contributions under the same license as the original. ● No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits. ● License text : http://creativecommons.org/licenses/by-nc-sa/4.0/legalcode
Cybersécurité, RGPD- Conséquences dans l'embarqué 3  Associé et Directeur Technique au sein de CIO  Responsable des technologies Linux embarqué  Formateur Linux embarqué (avec Captronic et en direct)  30 ans dans l'embarqué et le monde Unix / Linux  Fervent promoteur du logiciel libre  Membre de Medinsoft – Commission Logiciel Libre 1/04/2019 Présentation de l’orateur
Cybersécurité, RGPD- Conséquences dans l'embarqué 41/04/2019 Pourquoi ce meetup ? ● Nous ne sommes pas (encore?) des experts en cybersécurité ● Mais – Celle-ci devient de plus en plus important dans les projets que nous développons ● ⇒ prise en compte dans les projets récents de problématiques de cybersécurité ● actions de sensibilisation auprès des clients – L’avènement du RGPD renforce la problématique ● Est ce un marronnier ? – Oui car le sujet est récurrent ces temps-ci – Non car dans les faits beaucoup de travail de sensibilisation puis de prise en compte
Cybersécurité, RGPD- Conséquences dans l'embarqué 51/04/2019 Contexte ● Multiplication des devices embarqués connectés – Le plus souvent avec connexion sans fil ● 50 Milliards d’objets connectés estimés en 2020 – De plus en plus d’interconnexions entre objets, sans interaction humaine ● Touche tous les domaines – Domotique – Santé – Industrie – Smart City ... ● La data est le pétrole de demain...
Cybersécurité, RGPD- Conséquences dans l'embarqué 61/04/2019 Exemple: voiture connectée ● Logiciel = 35 % du coût en 2015 ⇒ 50 % en 2020 ● Connexion pour – Infotainment – Gestion du trafic (smart city) – Remote maintenance ● Ouverture canaux de communication + importance fonctions logicielles ⇒ risque de cyber attaque ● La cybersécurité devient un enjeu dans l’industrie automobile ● Exemple de risque : Hack Chrysler Cherokee dévoilé à Black Hat 2015 – Prise de contrôle à distance de la radio, du volant et de freins du véhicule en circulation – Conséquence : rappel de 1,4 M de véhicules pour corriger la faille
Cybersécurité, RGPD- Conséquences dans l'embarqué 71/04/2019 Risques liés à la cybersécurité ● « Cyberattacks are an even bigger threat than catastrophic natural disasters » Lloyd’s of London ● « We suspect in 2018 we'll start to see larger scale attacks in the IoT space » Caleb Barlow, IBM Security's vice president of threat intelligence ● Accès non autorisé aux données : rupture de Confidentialité – Trajets effectués dans un GPS de voiture – Absence du logement dans un système domotique – Données de santé dans un appareil médical … ● Corruption des données : rupture d’Intégrité – Altération des mesures d’un capteur – Injection de fausses informations … ● Altération du fonctionnement : rupture de Disponibilité – Détournement de fonction (DDoS OVH par caméras connectées) – Mise en cause de la sécurité (altération des fonctions d’un véhicule autonome) – Ransomwares ...z
Cybersécurité, RGPD- Conséquences dans l'embarqué 81/04/2019 Sûreté de fonctionnement & Cybersécurité ● De plus en plus de fonctions autonomes (ex : voiture autonome) ● Autonomie impose sûreté de fonctionnement ● Pas de sûreté de fonctionnement sans cybersécurité : – Sûreté de fonctionnement ⇒ qualification du produit avant mise en service – Mises à jour logicielles à prévoir ⇒mécanismes d’update, parfois Over The Air – Nécessité de sécuriser les updates pour : ● n’installer que des mises à jours certifiées ● éviter toute tentative de hacking qui compromettrait la sûreté
Cybersécurité, RGPD- Conséquences dans l'embarqué 91/04/2019 RGPD ● Le RGPD est un règlement européen qui est entré en vigueur le 25 Mai 2018 ● Il concerne tous les citoyens européens, n’importe où dans le monde (extraterritorialité) ● Il impose aux entreprises de nouveaux principes : – Principe d’accountability : mise en place de mesures par l’entreprise au lieu des contrôles (CNIL) – Registre des opérations et analyses d’impact – Nomination d’un Data Protection Officer (DPO) – Droit accès, rectification, opposition, portabilité et oubli – Confidentialité des données par défaut et par design – Responsabilité conjointe du donneur d’ordres et du sous traitant
Cybersécurité, RGPD- Conséquences dans l'embarqué 101/04/2019 RGPD ● En cas de non conformité : – Risque de sanctions administratives : amendes pouvant aller jusqu’à 20 M € ou 4 % du Chiffre d’Affaires mondial – Risque juridique : possibilités d’action de groupe en matière de protection des données personnelles – Risque en matière de réputation
Cybersécurité, RGPD- Conséquences dans l'embarqué 111/04/2019 Les décideurs face au RGPD ● Résultats d’une étude NetApp sur les craintes face au RGPD Source : https://www.solutions-numeriques.com/1-decideur-sur-3-a-peur-de-mettre-la-cle-sous-la-porte-a-cause-du-rgpd/
Cybersécurité, RGPD- Conséquences dans l'embarqué 121/04/2019 Privacy By Design ● Nécessité d’intégrer la protection des données personnelles dès la phase de conception d’un device connecté, autour des principes suivants : – des mesures proactives et préventives – une protection implicite et automatique – une intégration de la vie privée dans la conception des systèmes et au cœur des pratiques – une protection intégrale – une sécurité durant toute la durée de conservation des données – de la visibilité et de la transparence – respecter la vie privée des utilisateurs
Cybersécurité, RGPD- Conséquences dans l'embarqué 131/04/2019 Privacy By Default ● Par défaut, protection de la vie privée la plus stricte ⇒ Obtenir le consentement explicite des utilisateurs pour toute collecte de donnée personnelle ● Ne collecter que les données personnelles strictement nécessaires pour l’objectif poursuivi. Ne les conserver que le temps nécessaire à l’objectif
Cybersécurité, RGPD- Conséquences dans l'embarqué 141/04/2019 Cybersécurité, RGPD, quelles conséquences dans l’embarqué ? ● Cybersécurité : – Protéger son device pour éviter qu’il ne soit attaqué ● Garantir la fonction ⇒Disponibilité ● Garantir ses données ⇒Intégrité ● Protéger ses données ⇒Confidentialité – Protéger son device pour garantir sa Sûreté de Fonctionnement ● Garantir que seules des versions licites et validées peuvent être installées – Protéger les échanges de données avec l’extérieur du device (réseaux, supports amovibles) ● RGPD : – Protéger les données personnelles stockées dans le device ● Exemple critique : appareil médical – Protéger les échanges de données avec l’extérieur du device (réseaux, supports amovibles) ● Dans les 2 cas, un outil indispensable, la cryptographie
Cybersécurité, RGPD- Conséquences dans l'embarqué 151/04/2019 Cryptographie ● La cryptographie va servir à : – Signer des éléments pour en garantir l’authenticité ● Exemple : message électronique, fichier de paramètres, binaire  d’un logiciel – Chiffrer des éléments pour empêcher leur utilisation par des tiers non autorisés ● Exemple : message électronique, fichier de données  personnelles, IP d’un FPGA
Cybersécurité, RGPD- Conséquences dans l'embarqué 161/04/2019 Chiffrement symétrique ● Une même clé pour chiffrer et déchiffrer – Mais il faut se transmettre la clé – Tous ceux qui ont la clé peuvent déchiffrer l’élément – Gestion trop complexe fonction du nombre d’interlocuteurs
Cybersécurité, RGPD- Conséquences dans l'embarqué 171/04/2019 Chiffrement asymétrique
Cybersécurité, RGPD- Conséquences dans l'embarqué 181/04/2019 Chiffrement asymétrique ● Basé sur une paire de clé publique / clé privée ● Authentification : – Anne authentifie le message en le chiffrant (ou plutôt en chiffrant un hash du message) avec sa clé privée – Si le récepteur (Bob ou Dylan) peut déchiffrer avec la clé publique d’Anne, c’est que le message est authentique ● Chiffrement : – Bob chiffre le message avec la clé publique de Anne – Seule Anne peut déchiffrer le message
Cybersécurité, RGPD- Conséquences dans l'embarqué 191/04/2019 Authentification & chiffrement des éléments installables ● Assurer l’authenticité des éléments installés sur le device (primo installation / upgrade) – Le chiffrement asymétrique permet d’authentifier un soft, des paramètres avant de les injecter dans le device ● Le processus d’installation / update a besoin de la clé publique ⇒ pas de problème de  protection au niveau du device ● La clé privée doit être protégée ⇒ contrainte de sécurité sur la production des  éléments déployables ● Protéger la Propriété Intellectuelle des éléments installés – Le chiffrement symétrique permet de chiffrer un soft ● Le processus d’installation / update a besoin de la clé pour déchiffrer ⇒ problème de  protection au niveau du device ● Possibilité de transmettre sans risque l’update par réseau, ou média volatile non  sécurisé – Décryptage à l’installation ou maintien du soft crypté dans le device ?
Cybersécurité, RGPD- Conséquences dans l'embarqué 201/04/2019 Authentification & chiffrement des éléments installables ● Décryptage à l’installation : – Pros ● Conserve une distribution Linux embarquée standard – Cons ● Repose sur l’impossibilité d’accéder au device ● Nécessite de fermer tous les accès au device – Du travail de tuning de l’image – Pénalise les phases de développement (debug) – Éventuellement avoir des bypass développeur ● Compromis facilité du bypass vs risque de sécurité induit  à trouver
Cybersécurité, RGPD- Conséquences dans l'embarqué 211/04/2019 Authentification & chiffrement des éléments installables ● Maintien du soft crypté dans le device : – Pros ● Protection du soft maintenue en cas d’accès au device (sous réserve de la protection des  clés) – Cons ● Nécessite un moteur de décryptage performant (hard crypto sur ARM) ● Nécessite un décryptage à la volée avant lancement ● Nécessite l’impossibilité de lire la clé de décryptage même en cas d’accès au device  (stockage des clés lisible seulement par le hard de décryptage) ● Cryptage total du File System : – Pros ● Protection de tous les éléments – Cons ● Saisie d’une information de déverrouillage au démarrage, la passphrase du volume. Très  peu pratique
Cybersécurité, RGPD- Conséquences dans l'embarqué 221/04/2019 Chaîne de confiance ● Assurer l’authenticité dans toutes les étapes du démarrage – Primary Loader / BIOS – Bootloader – Distribution – Soft applicatif ● Exemples : – SecureBoot UEFI dans le monde PC : kernel et driver doivent être signés – Zynq 7000 : Secure Boot pris en charge par le First Stage Boot Loader ● Authentification RSA et chiffrage AES des éléments de la chaîne de boot ● Moteur de crypto AES/HMAC disponible en hardware ● Si usage d’une image Ramdisk, tous les éléments peuvent être authentifiés et chiffrés
Cybersécurité, RGPD- Conséquences dans l'embarqué 231/04/2019 Chaîne de confiance ● Authentification et chiffrement Zynq7000 Signature clé privée Chiffrement avec clé privée Signature élément chiffré Authentification clé privée Déchiffrement avec clé privée Authentification élément déchiffré Développement Device
Cybersécurité, RGPD- Conséquences dans l'embarqué 241/04/2019 Protection des données sur le device ● Nécessité de protéger les données stockées sur le device ● Solution minimale : – Stockage en clair mais tous accès fermés ● Comment récupérer les données ? ● Prévoir un mécanisme de récupération ⇒ Risque de récupération par un tiers ● Crypter les données : – Crypter une partition data ● Nécessité de fournir une clé de décryptage au démarrage – Utiliser une crypto asymétrique au niveau fichier de données ● Fichier chiffré avec la clé publique ou le certificat du destinataire ● Déchiffrement pour exploitation avec la clé privée (hors device donc plus facile à sécuriser) – Attention aux fichiers temporaires avant cryptage ● Effacement sécurisé ● Tampon dans un ramfs
Cybersécurité, RGPD- Conséquences dans l'embarqué 251/04/2019 Protection des échanges ● Protéger les données échangées sur un réseau IP ● Utiliser des protocoles sécurisés – ssh, scp – sftp – rsync over ssh – Serveur https ● Le cas échéant stocker sa clé publique sur le device (ssh, scp, rsync over ssh) pour éviter une saisie de mot de passe (script de récupération des données par ex)
Cybersécurité, RGPD- Conséquences dans l'embarqué 261/04/2019 Protection logique / Protection physique ● Protection logique : fermer les accès du device pour éviter toute intrusion (connexion) et récupération/altération de clés, de données, analyse du File System ● Protection physique : éviter toute attaque physique sur le device – Dump d’une Flash – Branchement sur sonde JTAG – Récupération de clés par méthodes physiques – Analyse d’un protocole par observation du rayonnement, de la consommation électrique ● Protection logique donne un 1er degré de sécurité ● Si nécessaire, passer au stade protection physique – Ex : terminal de carte bancaire
Cybersécurité, RGPD- Conséquences dans l'embarqué 271/04/2019 Quelques pistes de protection logique sur le device ● Utiliser des mots de passe robustes ● Interdire les accès root ⇒ Créer des comptes non privilégiés pour accéder aux données, aux logs ... ● Limiter strictement les possibilités de connexion, voire les supprimer – getty – serveur ssh ● Supprimer les traces console ● Cantonner les accès aux seules zones autorisées ● Utiliser un firewall sur le device – Tout interdire par défaut – N’autoriser que le strict nécessaire ● Protéger strictement les clés de déchiffrement si utilisées
Cybersécurité, RGPD- Conséquences dans l'embarqué 281/04/2019 Protection de l’environnement ● Pour le développement, protéger strictement les clés privées de production (authentification) – Si corruption, nécessité de changer de jeu de clés ⇒Mise à jour du parc installé ● Pour l’exploitation des données, protéger strictement les clés privées permettant le déchiffrement (confidentialité) – Si corruption, nécessité de changer de jeu de clés ⇒Mise à jour du parc installé

Recommended

Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
FrenchTechCentral
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
Lisa Lombardi
 

Recommended

Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
Kiwi Backup
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
ssuser0da89f
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
FrenchTechCentral
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
Lisa Lombardi
 
Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
Radouane Mrabet
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
Vanbreda Risk & Benefits
 
User centric security
User centric securityUser centric security
User centric security
Alain EJZYN
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916
Laura Peytavin
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
OpinionWay
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
Henri d'AGRAIN
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Eric DUPUIS
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
EY
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
polenumerique33
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
NetSecure Day
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
COMPETITIC
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
FrenchTechCentral
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
Ouest Online
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
Lexing - Belgium
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
Ministère de l'Économie et des Finances
 

More Related Content

What's hot

Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 

What's hot (20)

Ch3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gciCh3 4 cybercriminalite_gci
Ch3 4 cybercriminalite_gci
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
User centric security
User centric securityUser centric security
User centric security
 
Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916Projets groupe cybersécurité tpa 24mai2916
Projets groupe cybersécurité tpa 24mai2916
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 

Similar to Meetup Cybersécurité RGPD Conséquences dans l'Embarqué

Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
FinancialVideo
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptx
HbJlm
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Wavestone
 

Similar to Meetup Cybersécurité RGPD Conséquences dans l'Embarqué (20)

earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
Risque cyber
Risque cyberRisque cyber
Risque cyber
 
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
QUEL PLAN D'ACTION ADOPTER EN 2019 POUR AUGMENTER LA SÉCURITÉ INFORMATIQUE DE...
 
Workshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectésWorkshop CNIL - RGPD & Objets connectés
Workshop CNIL - RGPD & Objets connectés
 
Sécuriser l'IoT - Un challenge bien compliqué
Sécuriser l'IoT - Un challenge bien compliquéSécuriser l'IoT - Un challenge bien compliqué
Sécuriser l'IoT - Un challenge bien compliqué
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptx
 
Intervention Jerome Bondu TELMI
Intervention Jerome Bondu TELMIIntervention Jerome Bondu TELMI
Intervention Jerome Bondu TELMI
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018Programme universite des DPO - AFCDP 24 janvier 2018
Programme universite des DPO - AFCDP 24 janvier 2018
 
Forum International de la Cybercriminalité 2015
Forum International de la Cybercriminalité 2015Forum International de la Cybercriminalité 2015
Forum International de la Cybercriminalité 2015
 
Conférence BNI, GR Assurances, Generali Protection numérique
Conférence BNI, GR Assurances, Generali Protection numériqueConférence BNI, GR Assurances, Generali Protection numérique
Conférence BNI, GR Assurances, Generali Protection numérique
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptx
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 

More from Christian Charreyre

More from Christian Charreyre (20)

Developing an embedded video application on dual Linux + FPGA architecture
Developing an embedded video application on dual Linux + FPGA architectureDeveloping an embedded video application on dual Linux + FPGA architecture
Developing an embedded video application on dual Linux + FPGA architecture
 
Le Device Tree Linux
Le Device Tree LinuxLe Device Tree Linux
Le Device Tree Linux
 
Créer sa distribution Linux embarqué avec Yocto ou Angström
Créer sa distribution Linux embarqué avec Yocto ou AngströmCréer sa distribution Linux embarqué avec Yocto ou Angström
Créer sa distribution Linux embarqué avec Yocto ou Angström
 
OS libres pour l'IoT - Zephyr
OS libres pour l'IoT - ZephyrOS libres pour l'IoT - Zephyr
OS libres pour l'IoT - Zephyr
 
Meetup Systemd vs sysvinit
Meetup Systemd vs sysvinitMeetup Systemd vs sysvinit
Meetup Systemd vs sysvinit
 
Créer une distribution Linux embarqué professionnelle avec Yocto Project
Créer une distribution Linux embarqué professionnelle avec Yocto ProjectCréer une distribution Linux embarqué professionnelle avec Yocto Project
Créer une distribution Linux embarqué professionnelle avec Yocto Project
 
Linux et le temps réel - Meetup du 15 octobre 2015
Linux et le temps réel - Meetup du 15 octobre 2015Linux et le temps réel - Meetup du 15 octobre 2015
Linux et le temps réel - Meetup du 15 octobre 2015
 
Présentation Yocto - SophiaConf 2015
Présentation Yocto - SophiaConf 2015Présentation Yocto - SophiaConf 2015
Présentation Yocto - SophiaConf 2015
 
Autotools
AutotoolsAutotools
Autotools
 
Créer sa distribution Linux embarqué avec Yocto ou Angström
Créer sa distribution Linux embarqué avec Yocto ou AngströmCréer sa distribution Linux embarqué avec Yocto ou Angström
Créer sa distribution Linux embarqué avec Yocto ou Angström
 
Licences libres et embarqué
Licences libres et embarquéLicences libres et embarqué
Licences libres et embarqué
 
Séminaire Captronic Yocto 24 février 2015
Séminaire Captronic Yocto 24 février 2015Séminaire Captronic Yocto 24 février 2015
Séminaire Captronic Yocto 24 février 2015
 
Concevoir un système Linux embarqué avec Yocto Project - Version révisée
Concevoir un système Linux embarqué avec Yocto Project - Version réviséeConcevoir un système Linux embarqué avec Yocto Project - Version révisée
Concevoir un système Linux embarqué avec Yocto Project - Version révisée
 
Concevoir un système Linux embarqué avec Yocto Project
Concevoir un système Linux embarqué avec Yocto ProjectConcevoir un système Linux embarqué avec Yocto Project
Concevoir un système Linux embarqué avec Yocto Project
 
Yocto une solution robuste pour construire des applications à fort contenu ap...
Yocto une solution robuste pour construire des applications à fort contenu ap...Yocto une solution robuste pour construire des applications à fort contenu ap...
Yocto une solution robuste pour construire des applications à fort contenu ap...
 
Open Embedded un framework libre pour assurer la cohérence de son projet
Open Embedded un framework libre pour assurer la cohérence de son projetOpen Embedded un framework libre pour assurer la cohérence de son projet
Open Embedded un framework libre pour assurer la cohérence de son projet
 
Conference Informatique Embarquée Synergie-NTIC
Conference Informatique Embarquée Synergie-NTICConference Informatique Embarquée Synergie-NTIC
Conference Informatique Embarquée Synergie-NTIC
 
Comment travailler avec les logiciels Open Source
Comment travailler avec les logiciels Open SourceComment travailler avec les logiciels Open Source
Comment travailler avec les logiciels Open Source
 
ERTS 2008 - Using Linux for industrial projects
ERTS 2008 - Using Linux for industrial projectsERTS 2008 - Using Linux for industrial projects
ERTS 2008 - Using Linux for industrial projects
 
Logiciels libres en milieu industriel
Logiciels libres en milieu industrielLogiciels libres en milieu industriel
Logiciels libres en milieu industriel
 

Meetup Cybersécurité RGPD Conséquences dans l'Embarqué

  • 1. 11 Avenue Marigny 13014 Marseille www.ciose.fr christian.charreyre@ciose.fr Cybersécurité, RGPD- Conséquences dans l'embarqué 11/04/2019 Cybersécurité, RGPD– ConséquencesCybersécurité, RGPD– Conséquences dans l’embarquédans l’embarqué C. CharreyreC. Charreyre christian.charreyre@ciose.frchristian.charreyre@ciose.fr http://www.ciose.frhttp://www.ciose.fr https://twitter.com/CIO_SysEmbhttps://twitter.com/CIO_SysEmb http://fr.slideshare.net/charreyrehttp://fr.slideshare.net/charreyre
  • 2. Licence Cybersécurité, RGPD- Conséquences dans l'embarqué 21/04/2019 Attribution-Noncommercial-Share Alike 4.0 International ● You are free: to Share - copy and redistribute the material in any medium or format to Adapt - remix, transform, and build upon the material The licensor cannot revoke these freedoms as long as you follow the license terms. ● Under the following conditions: Attribution — You must give appropriate credit, provide a link to the license, and indicate if changes were made. You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. NonCommercial — You may not use the material for commercial purposes. ShareAlike — If you remix, transform, or build upon the material, you must distribute your contributions under the same license as the original. ● No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits. ● License text : http://creativecommons.org/licenses/by-nc-sa/4.0/legalcode
  • 3. Cybersécurité, RGPD- Conséquences dans l'embarqué 3  Associé et Directeur Technique au sein de CIO  Responsable des technologies Linux embarqué  Formateur Linux embarqué (avec Captronic et en direct)  30 ans dans l'embarqué et le monde Unix / Linux  Fervent promoteur du logiciel libre  Membre de Medinsoft – Commission Logiciel Libre 1/04/2019 Présentation de l’orateur
  • 4. Cybersécurité, RGPD- Conséquences dans l'embarqué 41/04/2019 Pourquoi ce meetup ? ● Nous ne sommes pas (encore?) des experts en cybersécurité ● Mais – Celle-ci devient de plus en plus important dans les projets que nous développons ● ⇒ prise en compte dans les projets récents de problématiques de cybersécurité ● actions de sensibilisation auprès des clients – L’avènement du RGPD renforce la problématique ● Est ce un marronnier ? – Oui car le sujet est récurrent ces temps-ci – Non car dans les faits beaucoup de travail de sensibilisation puis de prise en compte
  • 5. Cybersécurité, RGPD- Conséquences dans l'embarqué 51/04/2019 Contexte ● Multiplication des devices embarqués connectés – Le plus souvent avec connexion sans fil ● 50 Milliards d’objets connectés estimés en 2020 – De plus en plus d’interconnexions entre objets, sans interaction humaine ● Touche tous les domaines – Domotique – Santé – Industrie – Smart City ... ● La data est le pétrole de demain...
  • 6. Cybersécurité, RGPD- Conséquences dans l'embarqué 61/04/2019 Exemple: voiture connectée ● Logiciel = 35 % du coût en 2015 ⇒ 50 % en 2020 ● Connexion pour – Infotainment – Gestion du trafic (smart city) – Remote maintenance ● Ouverture canaux de communication + importance fonctions logicielles ⇒ risque de cyber attaque ● La cybersécurité devient un enjeu dans l’industrie automobile ● Exemple de risque : Hack Chrysler Cherokee dévoilé à Black Hat 2015 – Prise de contrôle à distance de la radio, du volant et de freins du véhicule en circulation – Conséquence : rappel de 1,4 M de véhicules pour corriger la faille
  • 7. Cybersécurité, RGPD- Conséquences dans l'embarqué 71/04/2019 Risques liés à la cybersécurité ● « Cyberattacks are an even bigger threat than catastrophic natural disasters » Lloyd’s of London ● « We suspect in 2018 we'll start to see larger scale attacks in the IoT space » Caleb Barlow, IBM Security's vice president of threat intelligence ● Accès non autorisé aux données : rupture de Confidentialité – Trajets effectués dans un GPS de voiture – Absence du logement dans un système domotique – Données de santé dans un appareil médical … ● Corruption des données : rupture d’Intégrité – Altération des mesures d’un capteur – Injection de fausses informations … ● Altération du fonctionnement : rupture de Disponibilité – Détournement de fonction (DDoS OVH par caméras connectées) – Mise en cause de la sécurité (altération des fonctions d’un véhicule autonome) – Ransomwares ...z
  • 8. Cybersécurité, RGPD- Conséquences dans l'embarqué 81/04/2019 Sûreté de fonctionnement & Cybersécurité ● De plus en plus de fonctions autonomes (ex : voiture autonome) ● Autonomie impose sûreté de fonctionnement ● Pas de sûreté de fonctionnement sans cybersécurité : – Sûreté de fonctionnement ⇒ qualification du produit avant mise en service – Mises à jour logicielles à prévoir ⇒mécanismes d’update, parfois Over The Air – Nécessité de sécuriser les updates pour : ● n’installer que des mises à jours certifiées ● éviter toute tentative de hacking qui compromettrait la sûreté
  • 9. Cybersécurité, RGPD- Conséquences dans l'embarqué 91/04/2019 RGPD ● Le RGPD est un règlement européen qui est entré en vigueur le 25 Mai 2018 ● Il concerne tous les citoyens européens, n’importe où dans le monde (extraterritorialité) ● Il impose aux entreprises de nouveaux principes : – Principe d’accountability : mise en place de mesures par l’entreprise au lieu des contrôles (CNIL) – Registre des opérations et analyses d’impact – Nomination d’un Data Protection Officer (DPO) – Droit accès, rectification, opposition, portabilité et oubli – Confidentialité des données par défaut et par design – Responsabilité conjointe du donneur d’ordres et du sous traitant
  • 10. Cybersécurité, RGPD- Conséquences dans l'embarqué 101/04/2019 RGPD ● En cas de non conformité : – Risque de sanctions administratives : amendes pouvant aller jusqu’à 20 M € ou 4 % du Chiffre d’Affaires mondial – Risque juridique : possibilités d’action de groupe en matière de protection des données personnelles – Risque en matière de réputation
  • 11. Cybersécurité, RGPD- Conséquences dans l'embarqué 111/04/2019 Les décideurs face au RGPD ● Résultats d’une étude NetApp sur les craintes face au RGPD Source : https://www.solutions-numeriques.com/1-decideur-sur-3-a-peur-de-mettre-la-cle-sous-la-porte-a-cause-du-rgpd/
  • 12. Cybersécurité, RGPD- Conséquences dans l'embarqué 121/04/2019 Privacy By Design ● Nécessité d’intégrer la protection des données personnelles dès la phase de conception d’un device connecté, autour des principes suivants : – des mesures proactives et préventives – une protection implicite et automatique – une intégration de la vie privée dans la conception des systèmes et au cœur des pratiques – une protection intégrale – une sécurité durant toute la durée de conservation des données – de la visibilité et de la transparence – respecter la vie privée des utilisateurs
  • 13. Cybersécurité, RGPD- Conséquences dans l'embarqué 131/04/2019 Privacy By Default ● Par défaut, protection de la vie privée la plus stricte ⇒ Obtenir le consentement explicite des utilisateurs pour toute collecte de donnée personnelle ● Ne collecter que les données personnelles strictement nécessaires pour l’objectif poursuivi. Ne les conserver que le temps nécessaire à l’objectif
  • 14. Cybersécurité, RGPD- Conséquences dans l'embarqué 141/04/2019 Cybersécurité, RGPD, quelles conséquences dans l’embarqué ? ● Cybersécurité : – Protéger son device pour éviter qu’il ne soit attaqué ● Garantir la fonction ⇒Disponibilité ● Garantir ses données ⇒Intégrité ● Protéger ses données ⇒Confidentialité – Protéger son device pour garantir sa Sûreté de Fonctionnement ● Garantir que seules des versions licites et validées peuvent être installées – Protéger les échanges de données avec l’extérieur du device (réseaux, supports amovibles) ● RGPD : – Protéger les données personnelles stockées dans le device ● Exemple critique : appareil médical – Protéger les échanges de données avec l’extérieur du device (réseaux, supports amovibles) ● Dans les 2 cas, un outil indispensable, la cryptographie
  • 15. Cybersécurité, RGPD- Conséquences dans l'embarqué 151/04/2019 Cryptographie ● La cryptographie va servir à : – Signer des éléments pour en garantir l’authenticité ● Exemple : message électronique, fichier de paramètres, binaire  d’un logiciel – Chiffrer des éléments pour empêcher leur utilisation par des tiers non autorisés ● Exemple : message électronique, fichier de données  personnelles, IP d’un FPGA
  • 16. Cybersécurité, RGPD- Conséquences dans l'embarqué 161/04/2019 Chiffrement symétrique ● Une même clé pour chiffrer et déchiffrer – Mais il faut se transmettre la clé – Tous ceux qui ont la clé peuvent déchiffrer l’élément – Gestion trop complexe fonction du nombre d’interlocuteurs
  • 17. Cybersécurité, RGPD- Conséquences dans l'embarqué 171/04/2019 Chiffrement asymétrique
  • 18. Cybersécurité, RGPD- Conséquences dans l'embarqué 181/04/2019 Chiffrement asymétrique ● Basé sur une paire de clé publique / clé privée ● Authentification : – Anne authentifie le message en le chiffrant (ou plutôt en chiffrant un hash du message) avec sa clé privée – Si le récepteur (Bob ou Dylan) peut déchiffrer avec la clé publique d’Anne, c’est que le message est authentique ● Chiffrement : – Bob chiffre le message avec la clé publique de Anne – Seule Anne peut déchiffrer le message
  • 19. Cybersécurité, RGPD- Conséquences dans l'embarqué 191/04/2019 Authentification & chiffrement des éléments installables ● Assurer l’authenticité des éléments installés sur le device (primo installation / upgrade) – Le chiffrement asymétrique permet d’authentifier un soft, des paramètres avant de les injecter dans le device ● Le processus d’installation / update a besoin de la clé publique ⇒ pas de problème de  protection au niveau du device ● La clé privée doit être protégée ⇒ contrainte de sécurité sur la production des  éléments déployables ● Protéger la Propriété Intellectuelle des éléments installés – Le chiffrement symétrique permet de chiffrer un soft ● Le processus d’installation / update a besoin de la clé pour déchiffrer ⇒ problème de  protection au niveau du device ● Possibilité de transmettre sans risque l’update par réseau, ou média volatile non  sécurisé – Décryptage à l’installation ou maintien du soft crypté dans le device ?
  • 20. Cybersécurité, RGPD- Conséquences dans l'embarqué 201/04/2019 Authentification & chiffrement des éléments installables ● Décryptage à l’installation : – Pros ● Conserve une distribution Linux embarquée standard – Cons ● Repose sur l’impossibilité d’accéder au device ● Nécessite de fermer tous les accès au device – Du travail de tuning de l’image – Pénalise les phases de développement (debug) – Éventuellement avoir des bypass développeur ● Compromis facilité du bypass vs risque de sécurité induit  à trouver
  • 21. Cybersécurité, RGPD- Conséquences dans l'embarqué 211/04/2019 Authentification & chiffrement des éléments installables ● Maintien du soft crypté dans le device : – Pros ● Protection du soft maintenue en cas d’accès au device (sous réserve de la protection des  clés) – Cons ● Nécessite un moteur de décryptage performant (hard crypto sur ARM) ● Nécessite un décryptage à la volée avant lancement ● Nécessite l’impossibilité de lire la clé de décryptage même en cas d’accès au device  (stockage des clés lisible seulement par le hard de décryptage) ● Cryptage total du File System : – Pros ● Protection de tous les éléments – Cons ● Saisie d’une information de déverrouillage au démarrage, la passphrase du volume. Très  peu pratique
  • 22. Cybersécurité, RGPD- Conséquences dans l'embarqué 221/04/2019 Chaîne de confiance ● Assurer l’authenticité dans toutes les étapes du démarrage – Primary Loader / BIOS – Bootloader – Distribution – Soft applicatif ● Exemples : – SecureBoot UEFI dans le monde PC : kernel et driver doivent être signés – Zynq 7000 : Secure Boot pris en charge par le First Stage Boot Loader ● Authentification RSA et chiffrage AES des éléments de la chaîne de boot ● Moteur de crypto AES/HMAC disponible en hardware ● Si usage d’une image Ramdisk, tous les éléments peuvent être authentifiés et chiffrés
  • 23. Cybersécurité, RGPD- Conséquences dans l'embarqué 231/04/2019 Chaîne de confiance ● Authentification et chiffrement Zynq7000 Signature clé privée Chiffrement avec clé privée Signature élément chiffré Authentification clé privée Déchiffrement avec clé privée Authentification élément déchiffré Développement Device
  • 24. Cybersécurité, RGPD- Conséquences dans l'embarqué 241/04/2019 Protection des données sur le device ● Nécessité de protéger les données stockées sur le device ● Solution minimale : – Stockage en clair mais tous accès fermés ● Comment récupérer les données ? ● Prévoir un mécanisme de récupération ⇒ Risque de récupération par un tiers ● Crypter les données : – Crypter une partition data ● Nécessité de fournir une clé de décryptage au démarrage – Utiliser une crypto asymétrique au niveau fichier de données ● Fichier chiffré avec la clé publique ou le certificat du destinataire ● Déchiffrement pour exploitation avec la clé privée (hors device donc plus facile à sécuriser) – Attention aux fichiers temporaires avant cryptage ● Effacement sécurisé ● Tampon dans un ramfs
  • 25. Cybersécurité, RGPD- Conséquences dans l'embarqué 251/04/2019 Protection des échanges ● Protéger les données échangées sur un réseau IP ● Utiliser des protocoles sécurisés – ssh, scp – sftp – rsync over ssh – Serveur https ● Le cas échéant stocker sa clé publique sur le device (ssh, scp, rsync over ssh) pour éviter une saisie de mot de passe (script de récupération des données par ex)
  • 26. Cybersécurité, RGPD- Conséquences dans l'embarqué 261/04/2019 Protection logique / Protection physique ● Protection logique : fermer les accès du device pour éviter toute intrusion (connexion) et récupération/altération de clés, de données, analyse du File System ● Protection physique : éviter toute attaque physique sur le device – Dump d’une Flash – Branchement sur sonde JTAG – Récupération de clés par méthodes physiques – Analyse d’un protocole par observation du rayonnement, de la consommation électrique ● Protection logique donne un 1er degré de sécurité ● Si nécessaire, passer au stade protection physique – Ex : terminal de carte bancaire
  • 27. Cybersécurité, RGPD- Conséquences dans l'embarqué 271/04/2019 Quelques pistes de protection logique sur le device ● Utiliser des mots de passe robustes ● Interdire les accès root ⇒ Créer des comptes non privilégiés pour accéder aux données, aux logs ... ● Limiter strictement les possibilités de connexion, voire les supprimer – getty – serveur ssh ● Supprimer les traces console ● Cantonner les accès aux seules zones autorisées ● Utiliser un firewall sur le device – Tout interdire par défaut – N’autoriser que le strict nécessaire ● Protéger strictement les clés de déchiffrement si utilisées
  • 28. Cybersécurité, RGPD- Conséquences dans l'embarqué 281/04/2019 Protection de l’environnement ● Pour le développement, protéger strictement les clés privées de production (authentification) – Si corruption, nécessité de changer de jeu de clés ⇒Mise à jour du parc installé ● Pour l’exploitation des données, protéger strictement les clés privées permettant le déchiffrement (confidentialité) – Si corruption, nécessité de changer de jeu de clés ⇒Mise à jour du parc installé