1

2

Présentée par Hamza Ben Marzouk

3

4

5

L‘Internet des objets (IOT) est un système d'appareils intelligents connectés , ordinateurs , smartphones, objets et même animaux ou personnes équipées d'appareils permettant leur identification et leur liaison à un réseau et assurant un transfert de données sans la nécessité d'une intervention humaine.

6

7

Quelques chiffres

IDC Data

• 4 million Apple Watches, 5 million Fitbit gadgets, and 21 million wearables shipped to date globally

• 50 million smart devices were sold during 2015/16 winter holiday season all over the world

• Global IoT spending is estimated at USD $669 million

Gartner Data

• The number of smart homes globally - 174 million• Expected number of smart homes in 2016 - 339 million• The number of connected devices to date - 1.2 billion• In 2016, consumer spending on connected devices will reach USD $546

billion ($1 trillion is expected by 2020)• 73% of companies either have deployed or plan to deploy some type of

IoT solution by the end of 2016

8

The Benefits of the Internet of Things Can’t Overshadow Security Concerns

While connecting billions of new devices to the Internet offers many advantages, organizations must also manage the risks

involved.

BY BRANDAN BLEVINS

9

6 Risques IoT à prendre en consideration

L’IoT est en pleine croissance mais aussi le sont ses risques.

On présentera les 6 principaux risques à prendre en compte en intégrant l’Internet des objets.

10

1-Perturbations & DOS

11

La garantie de la disponibilité continue des objets IoT est très importante pour éviter de potentielles défaillances et des interruptions des services de l’entreprise.

Pour cela, la sécurité au niveau physique des « objets» est primordiale pour prévenir un accès non autorisé aux objets en dehors du périmètre de sécurité.

Les attaques interruptives comme les attaques DDOS, peuvent avoir des conséquences catastrophiques sur les entreprises.

Imaginez ce qui peut arriver si les 4 million montres Apple Watch lancent des attaques DDOS sur les serveurs d’Apple !!

1-Perturbations & DOS

12

13

D’autres problèmes liés à l’IoT sont similaires à ceux rencontrés avec le concept Bring Your Own Device (BYOD).

La gestion des équipements perdus ou volés que ce soit la suppression ou la désactivation de la liaison avec le système, est très critique.

Avoir une telle stratégie de gestion des objets IoT peut aider l’entreprise à minimiser les risques d’avoir des données internes dans les mauvaises mains .

D’autre part une stratégie de gestion BYOD est aussi très importante.

14

2-La compréhension de la complexité des

vulnérabilités

15

2-La compréhension de la complexité des vulnérabilités

L’année dernière, un hacker inconnu a utilisé une faille connue dans un web-connected baby monitor populaire pour espionner un enfant de deux ans.

Cet incident montre à tel point est important le risque posé par l’IoT pour les entreprises et pour les utilisateurs.

Pour une situation plus dramatique, imaginons l’utilisation d’un équipement IoT comme un simple thermostat pour contrôler la température dans l’un des compartiments d’une centrale nucléaire.

Si des personnes malveillantes compromettent l’équipement, les conséquences peuvent être désastreuses.

16

17

Pour éviter de tels risques, un projet comportant des équipements IoT doit être conçu en donnant une priorité au volet sécurité et en établissant un contrôle de sécurité interne intégrant un modèle de sécurité pré établi à base de rôles.

Cela est dû au fait que les équipements utilisés peuvent avoir de types de vulnérabilités non rencontrés par les entreprises et qui peuvent être très critiques, d’où la nécessité d’équipes de contrôle et de supervision continue.

Que faire ?

18

3-Gestion des vulnérabilités IoT

19

3-Gestion des vulnérabilités IoT

Un autre grand challenge se pose pour les entreprises dans un environnement IoT

Comment corriger rapidement les failles des appareils ?

Comment donner une priorité au patch des failles ?

20

Etant donné que dans la plupart des cas, le patch des appareils nécessite une mise à jour firmware, chose qui peut être complexe à réaliser rapidement parfois.

Prenons le cas d’une imprimante qui nécessite une mise à jour, pour le département IT l’application d’un patch pour un serveur ou un poste de travail serait plus rapide que la mise à jour du firmware de l’imprimante , chose qui requiert un plus de temps et d’effort.

21

Un autre exemple de défis pour les entreprises:La gestion des mots de passes et identificateurs par défaut.

• En général, les appareils sont fournis avec des id et mots de passe connus.

• Ces appareils peuvent intégrer des mini serveurs web utilisés par les administrateurs pour la gestion distante.

C’est une grande faille qui peut compromettre la sécurité de l’appareil connecté.

22

• Le développement d’un processus de mise en service strict.

• La création d’un environnement de développement dans lequel les configurations initiales peuvent être testées et scannées et donc identifier n’importe quel type de failles et puis les valider.

• Le monitoring et le suivi périodique des appareils.

Que faire ?

23

4-Identification et implémentation de systèmes

de contrôle

24

4-Identification et implémentation de systèmes de contrôle

http://www.huffingtonpost.com/2013/10/18/dick-cheney-60-minutes_n_4125698.html

25

• Couches de sécurité.

• Comment les entreprises gèrent ces couches avec les risques IoT.

Le défi pour les entreprises est :

L’identification des niveaux dans lesquels les contrôles de sécurité sont nécessaires.

Etant donné la diversité des devices , l’identification des risques doit être customisée et adaptée aux types de services offerts et donc bien identifier les dangers et déterminer les moyens de les contenir.

26

5-Analyse des données de

sécurité

27

28

La variété d’appareils connectés à l’internet a créé une quantité de données énorme à collecter, trier et analyser.

Ces données aident les entreprises à créer de nouvelles opportunités mais aussi de découvrir de nouveaux dangers.

29

A travers ces données, les entreprises doivent être capables d’identifier le trafic ordinaire et le trafic malicieux sur les devices IoT.

Les meilleurs outils d’analyse sont ceux qui permettent non seulement de détecter les activités douteuses, mais aussi d’améliorer les services offerts au client.

Pour faire face à ces challenges, les entreprises doivent développer les bons outils et processus nécessaires pour offrir des possibilités d’analyse de données adéquates. (SIEM)

30

6-Demande croissante en bande

passante

31

32

L’explosion de la demande pour l’internet va mener à l’expansion des « business continuity risks ».

Si les applications critiques ne reçoivent pas leur bande passante requise, les utilisateurs auront une mauvaise qualité d’expérience (QOE) et cela nuira au profit de l’entreprise.

33

Pour assurer la haute disponibilité de ses services, les entreprises doivent prendre en compte l’addition de bande passante ainsi qu’un contrôle et monitoring du trafic.

Cela permet d’éviter les risques de continuité d’activité et aussi éviter de potentielles pertes de données.

D’autre part, les entreprises doivent contrôler minutieusement l’expansion de leur réseau pour que la bande passante demandée soit satisfaite.

34

Pour plus de détails:

https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

35

Pour conclure

36

L’IoT a un grand potentiel aussi bien pour les utilisateurs que pour les entreprises mais pas sans risques.

Les organismes de sécurité IT, doivent :

• Se préparer à une transition de la sécurisation de PCs , serveurs , mobiles et les infrastructures traditionnelles à la gestion d’un ensemble d’objets interconnectés rassemblant « wearable devices » , capteurs et une nouvelle génération d’équipements.

• Se préparer à renouveler leurs matrices de risques et leurs politiques de sécurité pour s’adapter aux communications machine-to-machine et à la quantité de données énorme à récupérer et analyser.

37

Sources bibliographiques : www.techtarget.com

38

39