Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > éditeurs > Linux > Sécurité > Sécurité des objets connectés et de l'Internet des objets

Sécurité des objets connectés et de l'Internet des objets

Vers un blocage du marché lié au manque de sécurité et de confidentialité ? Vulnérabilités, solutions, normalisation, conformité.

Objectifs

  • Cette formation analyse la problématique actuelle posée par lesobjets connectés et l’Internet des objets en matière de sécurité et de confidentialité
  • Elle présente les problématiques à résoudre et les nouvelles solutions matérielles et logicielles qui apparaissent sur le marché ainsi que les standards et normalisations en cours, avantde déterminer les contraintes additionnelles propres à la mise en conformité RGPD.

Public

  • DSI
  • chefs de projets
  • managers
  • responsables marketing qui souhaitent engager dès à présent une réflexion innovante sur ce qui constitue le problème majeur de toute stratégie de déploiement d’objets connectés et d’Internet des objets.

Prérequis

  • Connaissances de base en Systèmes d’Information.

Programme de la formation

Les vulnérabilités  

  • Maîtriser la sécurité dans un contexte d’augmentation de la surface d’attaque liée à la rusticité des objets, à la volumétrie des déploiements.
  • Comment assurer la sécurisation de l’IoT sur quatre niveaux : l’objet, les communications, le Cloud, les données et faire face au attaques de botnets (Miraï, BashLite, Brickerbot) comme aux failles de sécurité (Heartbleed, BlueBorne) ?
  • Prendre en compte les vulnérabilités les plus fréquentes : mises à jour non sécurisées, utilisation des mots de passe par défaut, communications non sécurisées, stockage des données en clair, conservation des interfaces de débogage.

Quelles solutions de sécurité ?  

  • Au-delà des outils, comment imposer une culture du « Security by design » (sécurisation des objets dès la conception). Comment appliquer les huit principes de « Sécurité par défaut » et les trois guidelines du « Sécurité dès la conception », lesquels fixent les règles de sécurité de bout en bout, de développement du hardware et des applications et de test du code?
  • Comment être en mesure de patcher les firmwares, changer les mots de passe par défaut, chiffrer les données, segmenter le réseau, contrôler les accès, surveiller les comportements ?
  • Quel est le niveau de sécurité des protocoles (MQTT, LoRaWAN, ..) et des brokers (Mosquitto, RabbitMQ...). Quid des algorithmes de chiffrement Simon et Speck ?
  • Peut-on contourner la difficulté de la puissance limitée des processeurs et des systèmes d’exploitation minimalistes ? Chiffrement, certification, authentification sont-ils une option ou une nécessité absolue ?
  • Comment maîtriser une infrastructure IoT et se focaliser sur la scalabilité afin de gérer un nombre exponentiel d’objets ?
  • Comment assurer la sécurisation des API pour protéger l’intégrité des données, la gestion du cycle de vie qui impose des solutions de gestion des identités et des accès prenant en compte tout le cycle, de la provision à la suppression de l’objet.
  • Quel rôle le Big Data, l’analytique, la Blockchain vont-ils jouer dans les solutions de sécurité et de détection / prédiction des attaques ?
  • Comment évolue l’offre de fournisseurs (Trustzone des processeurs ARM, MCU Sphere de Microsoft, Sense de F-Secure, Cinterion de Gemalto, IDNomic, etc.) ?

Vers une normalisation ?  

  • La pérennité du marché passera par le respect de normes, de codes de conduite et l’obtention de certifications.
  • Prendre en compte les travaux menés par de très nombreuses organisations destinés à compenser le manque de standards à tous niveaux (réseaux, protocoles, programmation, formats).
  • Des avancées importantes sont en cours tant au niveau de standards internationaux : NCSC (GB), ENISA (EU), NIST et FTC (EU), CNIL (FR), et des méthodes de développement (OWASP, eBIOS). Des consortiums se sont constitués : IISF (IoT industriel), IoT Cybersecurity Alliance, IoT-GSI de l’IUT, IEEE de l’IETF, GS1, Oasis.

Confidentialité et conformité RGPD  

  • Pour obtenir la conformité RGPD, tout système d’objets devra subir une analyse d’impact préalable (DPIA). Comment la passer avec succès ?
  • Comment assurer l’information, le recueil des consentements, la gestion des droits des utilisateurs ? Via l’objet ou un point de contact public ?
  • Quelle politique de gestion des risques ?