éts françois coallier pdf

Colloque du RISQ 2016-12-01

École de technologie supérieureDépartement de génie logiciel et des TI

Colloque du RISQ2016-12-01

Internet des objets : opportunités et risques - une perspective d’ingénierie de

systèmeProf. François Coallier, Ph.D., Ing.


HistoriqueDes versions antérieures de cette présentation furent données, entre autres, aux évènement suivants:• Journées de l’assurance dommages, 2015-03-17• Congrès annuel de l’Association canadienne des compagnies

d’assurances mutuelles, 2015-10-04• Les soirées des cycles supérieurs, ÉTS, 2016-02-23• Dans le cadre de cours sur la gouvernance des TI et de la

technologie à l’ÉTS, l’Universidad de Caxias do Sul, Brésil, et l’Université du Luxembourg

• La conférence SoftechAsia 2016, 2016-09-06, Kuala Lumpur, Malaisie

2


http://www.allthingshuman.net/tag/technology/

3


3,3 million d’années 1,5 million d’années

200 000 ans 40 000 à 12 000 ans 70 000 à 12 000 ans

4Composé à partir de plusieurs sources


http://www.abhishekbehl.net/2014/02/02/technological-evolution-mankind/

5


https://histscitech.wordpress.com/8-relativity-and-the-quantum-revolution/


De: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003

L’évolution des TI

7


https://www.itsagadget.com/2016/02/the-end-of-moores-law.htm

Loi de Moore

8


http://www.extremetech.com/wp-content/uploads/2015/04/MooresLaw2.png

Loi de Moore

9




10


Systèmes embarqués

L’informatique est intégré dans des systèmes

11


Systèmes embarqués

Le premier fut le système de navigation des capsules Apollo

12


http://fr.slideshare.net/asertseminar/embedded-system-in-automobiles-seminar-report-33473232

13




14


Ubiquité informatique

L’informatique est partout…et invisible• Dans notre économie• Dans nos infrastructures• Dans les objets que nous utilisons

15


Modifé de: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003


16


http://www.economist.com/printedition/covers/2015-02-26/ap-e-eu-me-na-uk

Téléphones intelligents + ...

17


http://www.economist.com/printedition/covers/2015-02-26/ap-e-eu-me-na-uk

Téléphones intelligents + ...

18


http:/www.adaptivewebengeneering.com/images/internet.jpg http://www.voalte.com/whats-the-cloud/

Internet...

19


http:/www/adaptivewebengeneering.com/images/internet.jpg http://www.voalte.com/whats-the-cloud/

Internet + services = infonuagique

20


http://betanews.com/2012/03/26/intel-rises-to-the-cloud/

Infonuagique ↔ téléphones intelligents

21


http://magicwords.mondoblog.org/files/2015/02/internet-des-objets-1024x614.jpg

22


Internet des objets

Tous les « objets » sont « intelligents »Tous les « objets » sont inter-connectés

23


https://scoop.intel.com/files/2013/04/ISF_Infographic_1600x944.jpg

24


http://www.symplio.com/2011/09/4-infographics-about-internet-of-things/

25


http://blogs.cisco.com/ioe/internet-of-everything-its-the-connections-that-matter

26


http://www.economist.com/news/special-report/21606420-perils-connected-devices-home-hacked-home

27


https://datafloq.com/read/internet-create-smart-world-infographic/400

28


Modifé de: The fortune of the commons. In Coming of Age - A Survey of the IT Industry. The Economist, May 8th 2003

IT Evolution

29


http://www.123rf.com/photo_32334730_word-cloud-of-ambient-intelligence-in-german-language.html

30


Ambient Intelligence

..ambient intelligence (AmI) refers to electronic environments that are sensitive and responsive to events (such as the presence of people for instance).

31

Modified from: https://en.wikipedia.org/wiki/Ambient_intelligence


http://spectrum.ieee.org/computing/it/the-inescapability-of-ambient-computing

32

● Ambient findability● Ambient connectivity● Ambient interface● Glanceable ambient displays● Ambient connectivity● Touch-everywhere interfaces● Ambient informatics● Ambient intelligence● Ambient art● Ambient intimacy● Ambient commerce● Ambient Nag● Ambient tweetability● Ambient overload● Ambient informations practices


33

http://www.gartner.com/newsroom/id/2819918


https://www.linkedin.com/pulse/why-2016-hype-cycle-emerging-technologies-all-data-mark-van-rijmenam34


35

http://www.iso.org/iso/internet_of_things_report-jtc1.pdf


Défis

• Normalisation• Ingénierie de ‘systèmes de

systèmes’

36


37

Les soirées des cycles supérieurs 2016-02-23

http://ww

w.iso.org/iso/internet_of_things_report-jtc1.pdf


« Smart » = logiciels sophistiqués

http://www.wsj.com/articles/SB10001424053111903480904576512250915629460

38


40

Pets left hungry as smart feeder breaks

http://www.bbc.com/news/technology-36912992


http://www.occupy.com/article/how-nsa-plans-infect-millions-computers-malware

41


http://www.economist.com/news/special-report/21606420-perils-connected-devices-home-hacked-home

42


43

http://www.nytimes.com/2015/09/27/business/complex-car-software-becomes-the-weak-spot-under-the-hood.html

Voitures intelligentes


44

http://spectrum.ieee.org/cars-that-think/transportation/systems/bmw-fixes-vehicle-software-flaw-that-wouldve-let-hackers-in/?utm_source=carsthatthink&utm_medium=email&utm_campaign=021815



45

http://spectrum.ieee.org/cars-that-think/transportation/systems/bmw-fixes-vehicle-software-flaw-that-wouldve-let-hackers-in/?utm_source=carsthatthink&utm_medium=email&utm_campaign=021815



46

http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/


47

http://www.nytimes.com/2015/09/27/business/complex-car-software-becomes-the-weak-spot-under-the-hood.html



48

http://www.businessinsider.com/connected-cars-2015-9



2007 - Test sur la génératrice Aurora

A démontré que du code « malicieux » peut faire exploser une génératrice au diesel

50


http://en.wikipedia.org/w

iki/Aurora_G

enerator_Test#mediaview

er/File:Aurora_generator

_starting_to_smoke.png


51


http://bendyk.blog.polityka.pl/wp-content/uploads/2008/AuroraGeneratorTest.jpg


52


http://ww

w.w

ired.com/2007/09/sim

ulated-cyber/


53


http://ww

w.m

oxa.com/Event/D

AC/2013/Factory_Automation_I

O/index.htm

L’Internet industriel

54


http://www.itworld.com/article/2861675/cyberattack-on-german-steel-factory-causes-massive-damage.html

Incident...

55


http://www.itworld.com/article/2861675/cyberattack-on-german-steel-factory-causes-massive-damage.html

Incident...

56


57

https://securityledger.com/2016/08/nist-outlines-a-secure-network-of-things/

La domotique commerciale


58

http://lynxcyberpro.com/files/brochures/CyberPRO-Brochure.pdf



59

http://lynxcyberpro.com/files/brochures/CyberPRO-Brochure.pdf



http://www.theatlantic.com/health/archive/2014/11/can-hackers-get-into-your-pacemaker/382893/

60


https://nakedsecurity.sophos.com/2016/10/05/mirai-internet-of-things-malware-from-krebs-ddos-attack-goes-open-source/

61


http://www.businessinsider.com/hackers-use-a-refridgerator-to-attack-businesses-2014-1

62

Fausse

alerte?


https://nakedsecurity.sophos.com/2016/10/05/mirai-internet-of-things-malware-from-krebs-ddos-attack-goes-open-source/63

How an army of vulnerable gadgets took down the web today(2016-10-21)


Mirai...

64

• Mirai = l’avenir (en japonais)• Malware / vers informatique / botnet• Environnement Linux Busybox• Attaques de dénis de service

distribuées (DDoS)• 2016-09-15 - attaque sur le site du

journaliste Krebs - 660 Go/s


Mirai...

65

1 To/s = près de 150 000 objets compromis d’après certaines sources

https://www.deepdotweb.com/2016/11/06/analysis-record-ddos-attacks-mirai-iot-botnet/


https://www.a10networks.com/resources/ddos-factor66

Mirai...


https://www.a10networks.com/resources/ddos-factor 67


https://www.shodan.io

68


https://intel.malwaretech.com/botnet/mirai

69

Mirai...


Comment gérer les risques

70

Il faut considérer :• Les « objets » intelligents• Le système dans lequel se trouve les

objets


La problématique

71

http://spectrum.ieee.org/telecom/security/how-to-build-a-safer-internet-of-things


Quelques principes de base en sécurité informatique

72

• Il faut une approche holistique• La loi de Paréto s’applique• « Sky is the limit »


Retour sur l’investissementS

écur

ité

Investissement

Quels sont les besoins?

NÉGLIGENCE! Gestion du risque


Vue holistique

74http://bigdata.sys-con.com/node/3304897


Exemple

http://blog.namtek.com/2014/03/27/understanding-a-zero-trust-approach-to-network-segmentation/

75


Concepts du « Zero Trust » (de Forrester)

modifé de: http://fr.slideshare.net/AlgoSec/simplifying-security-management-in-the-virtual-datacenter-final

76

Toutes les ressources doivent être accédées d’une façon sécuritaire, qu’importe le point d’accès

L’accès est sur une base de « besoin de savoir »

Vérifier et ne jamais faire confiance

Visibilité - inspection et journalisation systématique

Le réseau est conçu selon une architecture holistique


Pare-feu

http://listverse.com/wp-content/uploads/2011/08/wall_of_fire_art_by_dan_dos_santos.jpg

77


Architecture « Zero Trust »

https://www.temperednetworks.com/nist-national-institute-of-standards-and-technology/

78


Architecture « Zero Trust »

https://www.wurldtech.com/sites/default/files/wurldtech_wp_zone_segmentation_20160316.pdf

79


Considérations additionnelles

http://otalliance.actonsoftware.com/acton/attachment/6361/f-0099/1/-/-/-/-/OTA%20IoT%20Vision%20Paper.pdf

80


Normes et pratiques

https://ics-cert.us-cert.gov/Recom

mended-P

ractices

81


http://cyborgeducation.com/welcome/

82

Merci!

éts françois coallier pdf

Technology