Ping City Tour Paris - Identité des Objets
-
Upload
bertrand-carlier -
Category
Technology
-
view
356 -
download
1
Transcript of Ping City Tour Paris - Identité des Objets
Identité des objets
Nouvelle discipline ou recyclage de vieilles recettes ?
7 juin 2017
Bertrand [email protected]
@bertrandcarlier
confidentiel | © WAVESTONE 2
Des clients leadersdans leur secteur
2,500 collaborateurssur 4 continents
Parmi les leaders du conseil indépendant en Europe,
n°1 en France
* Partenariats
Paris | Londres | New York | Hong Kong | Singapour* | Dubaï*
Bruxelles | Luxembourg | Genève | Casablanca
Lyon | Marseille | Nantes
Dans un monde où la capacité à se transformer est la clé du succès, nous éclairons et guidons nos clients dans leurs décisions les plus stratégiques
confidentiel | © WAVESTONE 3
Réussir sa transformation numérique
grâce à la confiance numérique
UNE EXPERTISE EPROUVEE
/ Stratégie et Conformité/ Transformation métier sécurisée/ Architecture et programme sécurité/ Identité, Fraude et Services de Confiance/ Tests d’intrusion & Réponse à incident/ Continuité d’Activité & Résilience/ SI Industriel
NOS DIFFERENCIATEURS
/ Connaissance des risques métier/ Méthodologie AMT pour les
schémas directeurs/ Radars Innovation et Start-ups/ CERT-W/ Bug Bounty by Wavestone
Wavestone Cybersécurité & Confiance numérique
Nos clientsCOMEX, Métier, CDO, CIO, CISO, BCM
400+Consultants & Experts
1,000+Missions par an dans plus de
20 pays
confidentiel | © WAVESTONE 4
Définition : objets connectés et internet des objets
Objet connecté
/ Communication autonome
/ Énergétiquement pérenne
/ Contraint
› Puissance de calcul
› Stockage
/ En « environnement hostile »
Réseau de communication
/ Transmission des données (up/down)
/ Longue portée ou Internet traditionnel
/ Confiance limitée
Intelligence centrale
/ Collecte des données
/ Analyse
/ Prise de décision
« L’internet des Objets est une infrastructure mondiale pour la société de l’information, de saisie de données, qui permet de disposer de services évolués eninterconnectant des objets (physiques ou virtuels) grâce aux technologies de l’information et de la communication interopérables existantes ou en évolution »
- Définition internationale donnée par l’Union Internationale des Télécommunications
confidentiel | © WAVESTONE 5
Internet des Objets : architecture de référence
Objet
/ Capteurs
/ Actionneurs
/ Passerelle
Réseau
/ Internet
/ LoRa
/ Sigfox
Plate-forme IoT
/ Connectivité
/ Gestion des objets
/ Big Data
Entreprise
/ Gestion des objets & utilisateurs
/ Applications & services
Edge Platform Enterprise
confidentiel | © WAVESTONE 6
Internet des Objets : architecture de référence
Volumétrie
Authentification
confidentiel | © WAVESTONE 7
Volumétrie
IAM
Employés, prestataires, partenaires
~100k
Clients, consommateurs
Customer IAM
> 1M
Objets
IAM of Things
>>1M
confidentiel | © WAVESTONE 8
Authentification
Un mot de passe est généré à lafabrication de l’objet et écrit sur unespace de stockage de l’objet.
Ce mot de passe circule sur le réseau lorsde l’établissement des connexions(connect MQTT, basic authenticationHTTP, etc.)
Vulnérable au reverse-engineering & àl’écoute passive
Mot de passe
Un bi-clé est généré, idéalement parl’objet, à la fabrication, la clé privée estprésente sur un espace de stockage del’objet, la clé publique (certificat) estrenseignée dans la plate-forme IoT
Ce bi-clé est utilisé lors del’établissement de connexions TLSmutuel
Vulnérable au reverse-engineering
Certificat logiciel
Un bi-clé est généré par un secure element(puce crypto) de l’objet à la fabrication, la clépublique (certificat) est renseigné dans la PFIoT
Ce bi-clé est utilisé lors de l’établissement deconnections TLS mutuel
L’objet reste vulnérable au reverse-engineering applicatif
Secure Element
confidentiel | © WAVESTONE 9
Internet des Objets : architecture de référence
Volumétrie
AuthentificationRéseaux
Protocoles
confidentiel | © WAVESTONE 10
S’adapter et concevoir la manière de retrouver les fonctions de l’IAM : authentification client & serveur, chiffrement, autorisations, mécanismes de jetons, etc.
Couche de transport & protocole applicatif
Couverture réseau & bande passante réduites
Autonomie énergétique
Puissance & stockage limités
Contraintes
Réactivité temps réel
Big Data
Scalabilité & volumétrie “extrêmes”
Besoins
Des réseaux (eg. Sigfox, LoRa WAN) et des protocoles (eg.MQTT, CoAP) ont été développés pour
répondre spécifiquement à ces conditions
confidentiel | © WAVESTONE 11
Internet des Objets : architecture de référence
Volumétrie
Authentification Modélisation des donnéesRéseaux
Protocoles
Shadow object
confidentiel | © WAVESTONE 12
Shadow object
Hostile Maitrisé
EntrepriseB2B
Utilisateurs
APIs
APIs
APIs
Objet virtuel instancié sur un serveur
Scalable & capable de connectivité (APIs)
Non sujet au reverse-engineering direct
Shadow object
Protocole léger et sécurisé
Plate-forme IoT
Interragit directement avec l’environnement (capteurs &
actionneurs)
Contraint en puissance et connectivité
Sujet au reverse engineering
Object physique
Objet
Confiance
confidentiel | © WAVESTONE 13
Modélisation des entités
Certains objets, autonomes, agissent seulspour un certain nombre de cas d’usage.Fonctionnellement, ce sont des identités àpart entière.
D’autres objets, auxiliaires, agissentexclusivement au nom d’un utilisateurapparié
Confiance zéro par défaut
Un objet, sujet par nature au reverse-engineering, doit toujours être considérécomme potentiellement compromis.
De la même manière qu’avec uneapplication mobile, aucun contrôleeffectué côté client ne doit être suffisant
Gestion des autorisations
Comme pour l’IAM traditionnel, desprincipes de strict cloisonnement doivents’appliquer.
Les périmètres doivent être définis à l’aidede règles claires et strictement appliquées
Modèle de données
Données utilisateur
Données utilisateur
délègue
consent
confidentiel | © WAVESTONE 14
Internet des Objets : architecture de référence
Volumétrie
Authentification Modélisation des donnéesRéseaux
Protocoles
Shadow object
Interlocuteurs
Cycle de vie
confidentiel | © WAVESTONE 15
Les cycles de vie diffèrent fortement entreIAM, Customer IAM et IAM of Things :
/ Maîtrise des identités via une source autoritaire
/ Nombre et nature des statuts des identités
/ Nombre et complexité des habilitations
Les outils sont donc généralement trèsspécifiques aux usages rencontrés
/ Suivi du cycle de vie
/ Connecteurs enterprise / CRM / gestion de flotte
Cycle de vie : IAM, CIAM, Objet connecté
Cycle de vie IAM
Cycle de vie du client - CIAM
Cycle de vie objets connectés
Cycle de c
Octroi de droits d’accès et des
droits informatiques
Modification des droits
Renouvellement des équipements
Mobilité
Self-service
( )Absence
Identifié
Connu
Fidélisé
Achats
Réductions
Distribution
Initialisation
Utilisation
Revente
Mise à jour
Arrivée
Départ
Retrait des droits d’accès et des droits informatiques
Anonyme
Abandon
Réseaux sociaux
Fin de vie
Conception et fabrication
confidentiel | © WAVESTONE 16
Un changement d’interlocuteurs
IAM
Customer IAM
IAM of Things
Objets
InnovationSupply Chain & FabricationStratégie
B2E
Ressources humainesCommunications internesApplications
Clients
MarketingMétiersVentes
confidentiel | © WAVESTONE 17
Internet des Objets : architecture de référence
Volumétrie
Authentification Modélisation des donnéesRéseaux
Protocoles
Shadow object
Interlocuteurs
Cycle de vie
Mais surtout
/ De nouveaux enjeux à s’approprier
/ De nouveaux patterns à créer
Quelques vieilles recettes à recycler…
… et les limites associées
wavestone.com @wavestone_
riskinsight-wavestone.com@Risk_Insight
securityinsider-solucom.fr@SecuInsider
Bertrand CARLIERSenior Manager
M +33 (0)6 18 64 42 52
PARIS
LONDRES
NEW YORK
HONG KONG
SINGAPORE *
DUBAI *
SAO PAULO *
LUXEMBOURG
MADRID *
MILAN *
BRUXELLES
GENEVE
CASABLANCA
ISTAMBUL *
LYON
MARSEILLE
NANTES
* Partenariats