Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Sciences
  2. Médecine

Analyse prospective des enjeux de sécurité de l`IoT

publicité 
© 2015 Orange Consulting
Analyse prospective des
enjeux de sécurité de l’IoT
Christophe GUILLOU - 10/03/2015
Orange Consulting - Pôle cyberdéfense et confiance numérique
Orange Consulting
Version 3
Business
Services
© 2015 Orange Consulting
IoT / M2M => une révolution industrielle

Une démultiplication d’objets raccordés à internet
– directement (IP)
– ou indirectement via un équipement central (ex : smartphone/Box)

Des systèmes de plus en plus autonomes et intelligents

Explosion des usages « Cloud » => criticité du réseau internet
(disponibilité)

Estimations divergentes, mais à horizon 2020 il y aura des dizaines de
milliards d’objets connectés à internet :
– 15 milliards en 2015 => 80 milliards en 2020 [source Idate]
– dont 2 milliards en France [source GfK]

Marché estimé à 9 mille milliards de dollars en 2020 (2 mille milliards
actuellement), [source IDC]
Business
Services

Présents dans tous les domaines de la vie quotidienne ainsi que dans
l’industrie, la grande distribution, l’assurance, la santé, les systèmes
industriels ainsi que dans les transports mais aussi la défense et le
renseignement.

Exemples d’objets connectés:
– médical (capteurs biométriques, pilulier, injecteurs insuline, pacemaker)
– transport (véhicules connectés, éléments de signalisation des
infrastructures, sondes de trafic, antivols)
– eau et énergie (sondes, compteurs, actionneurs)
– agroalimentaire (outils connectés, colliers animaliers, capteurs)
– domotique (serrures connectées, multimédia, électroménager, alarmes
intrusion)
– armement (« smartgun », drones)
Business
Services
© 2015 Orange Consulting
Des domaines d’application très vastes et sensibles
© 2015 Orange Consulting
Voire très sensibles …

Applications robotiques
– transport : avion, bus, train, véhicules autoguidés
– industrie et agriculture : contrôle d’infrastructures, drones, robot-tracteur
– domestique : robots ménagers, de surveillance, d’aide aux personnes âgées
ou handicapées.

« Bio-interactivité »
– biométrie (capteurs)
– interfaces sensorielles (ex: holographie, détection des émotions, stimulation
sensorielle) => jeux vidéo, réseaux sociaux
– interfaces bioniques et neuronales
Business
Services

Beaucoup de solutions passives
– Télésurveillance médicale (capteurs) en temps réel : suivi de pathologies
chroniques, diabète, hypertension, apnée du sommeil (« STM3 »,
« Keynae », « Air Liquide Healthcare » )
– Body permettant de surveiller l’état de santé des nouveaux-nés (« Mimo »)
– Montre/bracelet d’urgence médicale (« Transwatch »)
– Pilule ingérée par un patient et pilotée à distance par un médecin pour
explorer le système digestif (« Pillcam »)
– Distribution automatisée et surveillée des médicaments (« e-pilulier »)

Mais aussi actives …
– Pompe à insuline
– Pacemaker et défibrillateur
– Puce contraceptive
– Lentilles connectées : réalité augmentée, corrections visuelles dynamiques,
récupération de données de santé via le fil lacrymal (ex : taux de glucose)
– Appareillage hospitalier (imagerie, radiothérapie, robot médicaments)
Business
Services
© 2015 Orange Consulting
Focus sur la médecine connectée

Des objets de plus en plus adhérents aux individus (notamment via le
développement des interfaces bio-interactives). => BAN : Body Area
Network

Rôle pivot du smartphone vis-à-vis des objets connectés rattachés à un
individu (capteurs, montre, lunettes…) => PAN : Personal Area Network

Essor de la géolocalisation et multiplication des objets de type caméra et
capteur => généralisation massive des applications de surveillance

Essor des performances de la reconnaissance faciale => authentification,
mais aussi publicité, surveillance, détection des émotions …

Miniaturisation croissante (notamment des composants électroniques)

Baisse des coûts de fabrication => démocratisation des produits

Cycle de vie raccourci

Des standards de communication hétérogènes
Business
Services
© 2015 Orange Consulting
Des tendances majeures
© 2015 Orange Consulting
[source : http://www.inov360.com]
Business
Services
© 2015 Orange Consulting
Une mauvaise réputation sur le plan sécurité

des contraintes techniques (ressources, énergie)

cycle de vie court

enjeu primeur marketing

logique économique (« low cost »)
=> La sécurité est souvent négligée

innombrables et miniaturisés

très adhérents aux individus (parfois à leur insu)
=> Des « ogres » de données personnelles (ex: géolocalisation, biométrie)
=> Perte de contrôle humain ? (M2M)
Business
Services

Impacts économiques, sociaux, matériels => impacts pouvant porter
atteinte à l’intégrité physique des personnes

Certaines applications seront particulièrement susceptibles d’être à
l’origine d’atteinte grave aux personnes :
– les objets connectés « actifs » dans le domaine médical
– les voitures connectés et autoguidées (utilisable comme arme)
– les moyens et les infrastructures de transport (avion, train)
– les industries SEVESO (chimie, nucléaire …)
– les fournisseurs d’énergie (gaz, électricité), notamment en période hivernale
– les systèmes d’armes militaires
Business
Services
© 2015 Orange Consulting
Evolution de l’impact sécurité

Difficulté pour chaque propriétaire de maîtriser la multitude d’objets sous sa
responsabilité (recensement, contrôle d’activité, sécurisation, MCO/MCS…)

Amplifiée par la miniaturisation et le bas coût de certains objets (ex: les
capteurs)
=> La maintenance et la supervision des objets connectés est problématique

L’identification et les solutions d’authentification actuelles seront
probablement inadaptées
– gestion des identifiants (login/pwd), des certificats
– traitement des pannes, pertes et vols
=> Est-ce que des dizaines de milliards d’objets vont devoir/pouvoir
s’authentifier ?
Business
Services
© 2015 Orange Consulting
Une problématique d’échelle

Contraintes sur les ressources (CPU/RAM, stockage) et la conso
énergétique (batterie) => Les fonctions de sécurité usuelles (cf.
cryptographie), sont parfois inadaptées

Les objets seront connectés directement ou de manière indirecte via le
smartphone ou la Box Internet (« agrégateur d’objet ») => déport de
certaines problématiques de sécurité au niveau de ces équipements

Objets de plus en plus nombreux, sur des réseaux haut-débit (ex: 4G/5G),
et potentiellement mal sécurisés
=> accroissement de la surface d’attaque
=> cible idéale pour mener des attaques par rebond (DDOS notamment)

Atteinte aux batteries (parfois non rechargeables) => Essor des attaques
en disponibilité

Partage de l’accès aux objets (gestion des droits)
Business
Services
© 2015 Orange Consulting
Des problématiques techniques

Difficulté pour les individus de cerner/maîtriser leur parc de terminaux et
d’objets connectés => Problématique de propriété (et de responsabilité)

Perte croissante du contrôle humain dans la maîtrise des systèmes
(automatisation), catalysé par les solutions M2M (ex : robots domestiques,
voiture autoguidée, maison domotique) => niveau de responsabilité
juridique ?
Qui est responsable ? Le propriétaire de l’objet ou son fabricant ?
Les assurances doivent-elles intégrer le « risque numérique » ?

Multitude de sources d’informations pouvant servir de preuve dans le cadre
d’une enquête judiciaire. => L’intégrité de ces informations sera cruciale
dans la mesure où une falsification pourra être utilisée à charge ou à
décharge
Business
Services
© 2015 Orange Consulting
Des problématiques juridiques

Scénarios de prise d’otage, ciblée ou massive, basé sur une prise de
contrôle à distance d’objets médicaux connectés tels que des pompes à
insuline, des pacemakers. (peut aboutir à la mort des patients)

Des scénarios similaires aussi graves, car impactant l’intégrité des
personnes, ne sont pas non plus à exclure dans le domaine des transports
(ex : voiture autoguidée, avions), des infrastructures industrielles (barrages,
centrales nucléaires, usines chimiques …)

Génération de situations de panique à grande échelle, via des fausses
informations/alertes émises depuis des objets connectés, qui sollicitent les
services de secours ou les forces de l’ordre (cambriolage, accident,
incident médical…). Conforté par le fait que les informations sont
véhiculées de plus en plus rapidement et de manière automatisée (M2M).
Business
Services
© 2015 Orange Consulting
Exemple de scénarios de menaces (graves)

Cryptographie asymétrique fondée sur les courbes elliptiques (ECC :
Elliptic Curve Cryptography) pour améliorer les performances.
Exemple d’implémentation : ARM « mbed TLS »

Signature numérique basée sur le matériel qui peut être utilisée pour
l'authentification.
Exemple d’implémentation : INTEL « Enhanced Privacy Identity (EPID) » (TPM
adapté à l’IoT)

Concept de « Cloud local de confiance » agrégeant des objets (déport
« local » de fonctions de sécurité)

Normalisation de la sécurité (type marquage CE) => garanties sur la
conception technique, les conditions de développement et de fabrication,
le MCO/MCS/SAV …
Business
Services
© 2015 Orange Consulting
Mesures envisagées / axes de recherche
merci
Business
Services
© 2015 Orange Consulting
Documents connexes
Nous avons des solutions à vous proposer ! Notre Cœur De
Nous avons des solutions à vous proposer ! Notre Cœur De
Télécharger le Business Case
Télécharger le Business Case
biographie C. ROY
biographie C. ROY
IL étaIt une foIs EN AMéRIquE
IL étaIt une foIs EN AMéRIquE
Manager Numérique et énergie
Manager Numérique et énergie
Spécialiste de l`accompagnement de dirigeants
Spécialiste de l`accompagnement de dirigeants
Annonce - consultant Data Senior H/F
Annonce - consultant Data Senior H/F
Brûler mieux, consommer moins!
Brûler mieux, consommer moins!
Conseil en développement commercial-marketing
Conseil en développement commercial-marketing
Stage - Assistance Commerciale : c2L2 Consulting : http://www.c2l2
Stage - Assistance Commerciale : c2L2 Consulting : http://www.c2l2
royaume du maroc
royaume du maroc
FORMAFAST Consulting
FORMAFAST Consulting
Laurent RENARD
Laurent RENARD
Téléchargement
publicité