Présentation Captronic IMS
Séminaire sur le thème de la cybersécurité systèmes embarqués et IoT Introduction à la SSI (des systèmes embarqués et IoT) Jean François BAILLETTE, G-ECHO
Plan
- Introduction : menaces,
- Tour des normes, sûreté versus sécurité industrielle
- Six choses à faire en priorité,
- Documentation, livres blancs des autorités, et bonnes pratiques,
- Rester informé des dernières (h)ac(k)tualités,
- Quelques outils utiles et pourquoi faire de la sécurité ...
Menaces
Vidéo
Marché ...
Le chiffre d'affaires généré par le cybercrime est supérieur au CA généré par la vente de drogue ...
Terreau ...
- Dataleaks de technologies,
- Manque de compétences, sensibilité, formation, préparation ...
- Des enjeux géo-stratégiques ...
04/10/2016 code du botnet Mirai (attaque IoT) libéré
Modèles d'affaire ...
Black market :
- 1 donnée médicale est côtée 50$,
- 1 donnée bancaire est côtée 5$,
- On achète du RaaS à partir de 10$ !.
Attaques et failles
Attaque DDos 800 Gb OVH, Tout système connecté peut être vulnérable (HW ou SW) ...
Recettes
- Attaques "type connues" et vecteurs de test connus,
- Failles connues : CERTFR, MITRE, ENISA ...
- Catalogues des systèmes disponible sur internet avec des outils comme shodan.
Et un marché florissant des failles dites "0-day" (ou inconnues)
Constats
Les vulnérabilités ne sont pas que logicielles ...
- Lambda sur 4-injection de commandes ...,
- Modèle MICE (Money, Ideology, Compromise, Ego),
- La fraude au président.
Vautours ?
PaceMaker vulnérables/attaque boursière de StJude Medical.
Source ZdNet
Normes et sécurité
Sûreté versus sécurité
- Aéronautique : DO 178,
- Industrielle : CEI 61508,
- Médicale : CEI 62304,
- Automobile : ISO 26262,
- ...
Impacts
Exploits
Failles
Pas si compliqué ...
- Il suffit d'acheter une PSSI,
- Il n'y a qu'à qualifier mon produit,
- On peut répondre aux exigences de sécurité ...
STOP ! La réponse est systémique !
Solutions systémiques
- Qu'est-ce que c'est la sécurité de l'information ?
- Six choses à faire en priorité,
- Documentation et livres blancs des autorités,
- Et bonnes pratiques.
Travailler en réseau: Plateforme EIC (P WOLF, IRT-SystemX), CLUSIR Aquitaine.
Principales normes
- Famille ISO2700x : amélioration continue en SSI,
- Critères communs : niveau de sécurité d'un produit,
- CSPN : label français pour la sécurité des produits,
- ISA Secure : certification des systèmes industriels.
Processus et normes de cybersecurite industriels (par J-P HAUET, Président ISA-France)
Anticiper les menaces
Bonne nouvelle
- Se mettre en sécurité améliore ses parts de marché,
- On peut s'autoriser à travailler des nouveaux modèles de service avec du MCS (Maintien en condition de sécurité),
- Economiser sur l'assurance et minimiser les risques pour être conforme.
Comment ?
- Mener des analyses de risques,
- Mettre en place des plans de gestion des risques,
- Faire du Secure by design (Homologation),
- Monitorer le fonctionnement des sytèmes.
Minimiser les conséquences
- Mettre en place des mesures de protection,
- Gérer les risques (PCA et des PRA),
- Former, informer, entraîner les équipes,
- S'assurer pour les risques résiduels.
Assurer les risques : Quelles garanties des cyber-risques pour votre entreprise (par N HELENON, NeoTech assurances)
Au final
Le bon sens est la chose du monde la mieux partagée, Discours de la Méthode, René Descartes
Solutions
- Gestion des risques cyber et données personnelles,
- Scan de vulnérabilités, BugBounty (test d'intrusion),
- Prévention de perte de données,
- Test et validation industrielle en cyber-sécurité,
- Et aussi : conseil, formations, recrutement.
Test industriel en sécurité
- Test de sécurité en boîte noire,
- Démarche structurée et répétable,
- Rapports de conformité,
- Indépendant des technologies.