Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cap’tronic : Vers un Internet des objets sécurisé ?

octobre 2017 par Marc Jacob

Cap’Tronic a organisé une conférence sur la sécurité des IoT à l’occasion de la remise de ces Trophées 2017. Ainsi, après les messages de bienvenue de son Président Yves Bourdon, de Madame Frédérique Vidal, Ministre de l’enseignement supérieur, de la recherche et de l’innovation les débats autour de la sécurité des IoT ont montré qu’il était nécessaire de prendre le sujet de la cybersécurité au sérieux mais surtout de sécuriser ces objets dès leur conception.

Yves Bourdon, le Président de Cap’Tronic

Olivier Grumelard, sous-directeur de l’électronique et du logiciel de la DGE du Ministère de l’économie et des finances

Lors de son message de bienvenue Yves Bourdon, le Président de Cap’Tronic a rappelé que son association comptait aujourd’hui plus de 1000 membres. Il a remercié pour le soutien de la DGE (Direction Générale des Entreprises) ainsi que celui de la BPI. Par la suite Olivier Grumelard, sous-directeur de l’électronique et du logiciel de la DGE du Ministère de l’économie et des finances a rappelé l’action de son organisation en mentionnant que 1 million d’euros injecté en rapporte 10 fois plus. L’état aujourd’hui souhaite doubler le nombre d’entreprises et passer de 2.000 à 4.000 dans les prochaines années. En début 2018 un fond de 18 milliards d’euros devrait être constitué au fur et à mesure. Quant aux IoT, il a souligné le rôle de la France en ce domaine. Il a rappelé que la France à 3 entreprises parmi les leaders mondiaux. Sans compter qu’à Angers un pôle d’excellence dans l’électronique a été monté. Par contre, il a rappelé que le développement des IoT ne pourra se faire sans Cybersécurité, d’autant que le nombre d’objets connectés devrait croître de façon exponentielle.

Frédérique Vidal, Ministre de l’enseignement supérieur, de la recherche et de l’innovation

500 millions d’euros seront distribués aux instituts Carnot, et 1 milliard pour le soutien à l’innovation

Frédérique Vidal, Ministre de l’enseignement supérieur, de la recherche et de l’innovation a rappelé que l’innovation est vitale pour l’avenir du pays. Elle note un déficit d’innovations en France par rapport aux autres pays européens. C’est pour cela que des réformes profondes aux niveaux fiscales doivent être entreprises. Selon elle, il faut sanctuariser les PME afin de les aider à se développer. De plus, il est nécessaire d’améliorer les compétences mais aussi renforcer les universités et les grandes écoles pour améliorer leur notoriété au niveau international. Il va falloir que les chercheurs s’impliquent plus dans les Startup. En outre, il faudra soutenir l’entreprenariat. 500 millions d’euros seront distribués aux instituts Carnot, et 1 milliard pour le soutien à l’innovation. Il faudra aussi simplifier l’accès au fonds à l’innovation. L’Etat souhaite aussi qu’il y ait un renforcement de la décentralisation en ce domaine. Elle a rappelé le travail des 24 ingénieurs de Cap’Tronic qui facilite le transfert de technologies avec des résultats sur les terrains élogieux. En conclusion elle a remis le prix de la jeune entreprise de l’année à Mirsense dont le PDG est Mathieu Carras.

Philippe Blot, chef de division produits et services de sécurité de l’ANSSI IoT les bonnes pratiques de sécurisation existent

Philippe Blot, chef de division produits et services de sécurité de l’ANSSI par la suite présenté les risques et enjeux issus de l’IoT. Cela fait déjà longtemps que des attaques sur des pacemakers, Pompes à insuline... sont dénombrées. Elles peuvent avoir différents types d’impacts avec des risques sur les vies humaines. Par ailleurs, il a rappelé que l’attaque Mirai sur des caméras IP a engendré de nombreuses perturbations. Sur la base de ces problèmes, il est important d’inclure de la sécurité entre autre pour protéger les données à caractère personnel mais aussi pour éviter les problèmes sur les équipements nécessitants dans certains cas un retour aux fabricants. Il a rappelé que la directive de 2000 sur les dispositifs médicaux impose la prise en compte « d’une sécurité à l’état de l’art ». Par ailleurs au-delà des dispositions réglementaires, on peut aussi évoquer les conditions économiques, comme par exemple le coût d’un retour usine d’une voiture connectée comme on l’a vu récemment. Quant aux équipements de sécurité physiques un certain nombre d’entre eux ont été référencés par l’AFSAD avec entre autre la vidéo protection.

Concrètement, ce que l’on peut faire, c’est tout d’abord mettre en place les mesures proposées dans le Guide des bonnes pratiques éditées par Cap’Tronic en collaboration avec l’ANSSI. Il a rappelé quelques mesures a minima tel le chiffrement, le pentest avant la mise sur le marché des produits.... surtout, il faut éviter de « réinventer la roue » et utiliser des méthodes éprouvées, travailler pour obtenir au moins des certifications de premier niveau... De nombreux conseils se trouvent sur le site de l’ANSSI. Il a insisté sur l’importance de faire tester ces produits par des PASSI, d’utiliser aussi des prestataires de Clouds certifiés. De plus, il faut travailler sur la crypto de faible consommation énergétique, la protection contre les attaques de DDoS, de plus il faut automatiser les bancs de tests et surtout les disséminer dans les pôles d’innovations afin qu’ils soient plus régulièrement utiliser.

En cas de problème, l’ANSSI recommande aux PME d’utiliser la plateforme "Cybermalveillance.gouv.fr", mais aussi en cas de problème plus important Philippe Blot propose de contacter l’ANSSI.

Cybersécurité : comment protéger vos produits et systèmes connectés

Cette table ronde animé par Jean-Francois Baillette, consultant G-Echo, Hervé Schauer, pour le CLUSIF, Pascal Galacteros, PDG de Drust, Philippe Wolf, IRT SystemX et Bernard Roussely fondateur et dirigeants de Cyberens a démontré l’importance de la prise en compte de la sécurité dès le début d’un projet.

En préambule, Hervé Schauer a fait une prévention des travaux du groupe de travail sur la Sécurité des systèmes industriels. Il a relaté que le CLUSIF a réunis toutes les publications en Francis t en anglais sur les SCADA et les objets connectés. Puis, le groupe a fait une identification de tous les incidents de Sécurité sur ces objets en se servant de sources libres. L’objectif de ce travail est de sensibiliser à la fois les dirigeants mais aussi les concepteurs de produits. Ainsi, le CLUSIF a constitué des fiches pratiques qui sont accessibles sur le site du CLUSIF.

Pascal Galacteros, PDG de Drust, a présenté son produit qui permet de conseiller les automobilistes sur la bonne gestion des rapports de vitesse, de consommation, donnes des informations sur les pannes, l’entretien... il s’est très tôt intéressé à la sécurité de son produit. Il a rappelé que toutes les voitures sont gérées au niveau électronique par un protocole crée par Bosch qui s’appelle le CAN et qui n’est pas sécurisé. Suite à un travail d’audit mené avec Bernard Roussely de nombreuses mesures de Sécurité ont été prises comme limitation du nombre de données échangées, chiffrement des flux changer tant en wifi qu’en Bluetooth, utilisation de mot de passe unique et de clés de chiffrement unique par objet... Bernard Roussely rappelle qu’il a été consulté dès la conception du produit ce qui lui a permis d’avoir une vue d’ensemble. Il est ainsi intervenu de façon globale. Fort de cette expérience il a tiré des bonnes pratiques à suivre pour sécuriser des OiT comme par exemple l’inclusion de la Sécurité dès le début du projet, la formation des équipes de développement,... il a rappelé que ces bonnes pratiques nécessitent du bon sens et de suivre les conseils de l’ANSSI.

Philippe Wolf, d’IRT SystemX a présenté son étude sur un cinquantaines de PME qui ont subi des attaques réussi. Selon lui, il a plus pourcent de PME impactes- le préjudice financier est assez faible par contre le préjudice humain s’y très important. Quant à l’image l’impact et très faible. Les sources d’entrée de l’attaque proviennent des opérateurs télécoms entre autre. Bien sûr pu d’entreprises ont souscrit une assurance Cyber. Selon, lui l’addition des préjudices individuels n’a pas d’impact réel sur la collectivité. Il considère qu’il y a un problème avec les prestataires informatique comme ceux de la sauvegarde. En cas d’attaque s’il n’y a pas de solutions dans les 15 jours après une attaque, la PME risque de disparaître.

Il conseille de prendre des mesures comme mettre en place des sauvegardes et de les tester régulièrement, d’avoir recours au Cloud, d’utiliser du chiffrement, de mettre en place une messagerie sécurisée, de protéger les bases de données... en conclusion il a souligné que la France a un rôle important à jouer dans la sécurité des objets connectés.

Pour accéder aux Slides des conférences : https://www.g-echo.fr/20171010-Capt...


Crédit photo : Xavier Granet




Voir les articles précédents

    

Voir les articles suivants