Conférence IOT Kherfallah 29 Mai 2020 PDF

IoT: enjeux de la sécurité de réseau
KHERFALLAH Boubaker
Cisco Instructor Trainer - Expert CCNA
29 Mai 2020
Les experts de la
Communauté Cisco
Boubaker Kherfallah
ASC Academy Specialist
chez une Académie Cisco
(Algérie)
CCNA R&S, Security et Cybersecurity Présentateu
r
© 2019 Cisco and/or its affiliates. All rights reserved.

Introduction à l’IOT
IoT et Cybersécurité
Menaces, vulnérabilités et
Au programme attaques
Opportunités
Certifications Sécurité
Introduction

I. Introduction
Aujourd’hui…L’IoT

Qu’est-ce que l’IoT ?
L’IoT est l’acronyme de Internet Of Things (Internet des Objets en français).
Objets de la vie courante connectés avec des composants électroniques,

logiciels, capteurs, actionneurs et connectivités qui leur permettent d'échanger
des données. Chaque objet est identifiable de manière unique grâce à son
système intégré et il est capable d'interagir avec l'infrastructure Internet
existante.
Au fil du temps, le terme a évolué et il englobe maintenant tout l’écosystème des objets
connectés. Cet écosystème englobe, des fabricants de capteurs, des éditeurs
de logiciels, des opérateurs historiques ou nouveaux sur le marché,
des intégrateurs…
Composantes IoT
l'impact de
l'IOT sur
modèle économi
l'impact de que
l'IOT dans l'impact de
l’industrie l'IOT sur le
secteur de la
santé
l'impact de
l'IOT sur le l'impact de
secteur l'IOT sur le
énergétique secteur de
l’éducation
l'impact de
l'IOT sur les
immeubles et l'impact de
maisons l'IOT sur
intelligentes l’environneme
nt
l'impact de
l'IOT sur la
sécurité des
données

Données : stockées, en traitement ou en transit
Data Management Data Management
IoT
Données Données
Personnelles d’Entreprises
Sur le Cloud
Expansion du cyberespace Espace d’attaques plus large

Qu’est-ce que la cybersécurité ?
 La cybersécurité est l’état recherché pour un système d’information
lui permettant de résister à des événements issus du cyberespace et
susceptibles de compromettre la disponibilité, l’intégrité ou la
confidentialité des données stockées, traitées ou transmises.
Data storage Processing Distribution

Autrement dit
 La cybersécurité consiste en l’effort continu pour protéger les
systèmes mis en réseau et les données contre l’utilisation ou le
méfait non autorisés.

Surface d’attaque
Access Public facing
point servers
Printer Switch 3
Switch 1 Branch Office
Service Service
Computer 1 provider provider
Router 1
Computer 3
Switch 2 Firewall
Router 2
INTERNET
Computer 2
Internal
server

Connaître les risques !

I. Les vulnérabilités d’un
Vulnérabilité, système
Menaces et II. Malwares et codes
Attaques malveillants
III. Les attaques

I. I. Les vulnérabilités d’un système
1. Vulnérabilité
 Une vulnérabilité est une faiblesse d'un système ou de sa conception,
qui peut être exploitée par une menace (un point faible, maillon faible,
etc.)

Exemple de maison
Chercher une vulnérabilité

=
Chercher un point d’entrée pour
accéder à une cible

Types de vulnérabilité de Sécurité
1. Failles
Technologiques
2. Failles de
Configuration
3. Failles de la Politique
de Sécurité

2. Menace
 Une menace est un danger potentiel pour les biens. Les menaces
sont souvent réalisées par le biais d'une attaque ou d'un exploit qui
tire parti d'une vulnérabilité existante.
3. Risque
 Le risque est la probabilité qu'une menace particulière utilisant une
attaque spécifique exploite une vulnérabilité particulière d'un actif.

II. II. Malwares et codes malveillants
 Virus Un logiciel conçu pour perturber le bon

fonctionnement d'un ordinateur ou obtenir
 Vers l'accès à des systèmes informatiques à
 Cheval de Troie l'insu ou sans l'autorisation de l'utilisateur.
 Bombes logiques
 Portes dérobées et rootkits
 Ransomware
 …

III. Les attaques
En plus d'attaques de codes malveillants , il est possible pour les

réseaux de tomber en proie à diverses attaques réseau :
1. Attaques de reconnaissance
2. Attaques d'accès
3. Déni de service

1. Attaques de reconnaissance

Attaquesd’accès
2. Attaques d’accès
a. Attaque de mot de passe b. Redirection des ports

c. Man-in-the-Middle
 Le hacker intercepte les communications entre plusieurs ordinateurs
pour voler les informations en transit sur le réseau.

3. Déni de service (Dos)
 Une attaque par déni de

service (DoS) se traduit
par une interruption des
services de réseau pour
les utilisateurs, les
appareils ou les
applications.

Attaques de type « zero-day »
 Ces attaques ont la particularité de tirer parti de telles vulnérabilités

non encore identifiées, ainsi que de variantes de malware pour
exploiter une faille de sécurité particulière.

Opportunités

 Quels enjeux pour la
sécurité ?
 Vers une nouvelle forme
de logiciels malveillants
 Nouveau modèle de
sécurité
• Des opportunités qui
se dessinent

Quels enjeux pour la sécurité ?
 Si l’IoT a enregistré une croissance exponentielle ces dernières

années, on observe également une augmentation alarmante des
attaques qui les ciblent. La raison tient au fait que la majorité des
objets connectés ne contient peu, voire aucune mesure de sécurité
pour se protéger contre ces attaques.

•  La sécurité bien souvent négligée !

Les entreprises cherchent des réponses à trois
questions:
• Comment maintenir le niveau de sécurité et de la conformité tout en
s’adaptant au nouveau modèle de consommation.
• Comment faire face aux menaces encore plus sophistiqué et plus
ciblé.
• Comment faire garantir les services et apporter la flexibilité toute en
diminuant les couts de la complexité des solutions proposés.

Focalisation : Confidentialité, intégrité et
disponibilité
Triade CIA
 Chaque outil déployé et
chaque procédure mise en
place répond toujours à au
moins un de ces éléments :
Disponibilité Confidentialité
Intégralité

La Confidentialité
 Consistant à assurer que seules les personnes autorisées aient
accès aux ressources échangées ;
 Rendre l’information inintelligible à d’autres personnes que les
seuls acteurs de la transaction.

Technologies liées à la confidentialité
I. Cryptage
Cryptographie (chiffrement)
Données
Inintelligibles
Clé de (ex: 232RIUA129w)
Chiffrement
Chiffrement
Algorithme de
Données Chiffrement
Utiles
(ex: Bonjour …)

Cryptographie symétrique :
Clé secrète partagée
$100 $100
e42a09c33b10f…
Crypter Décrypter
X32KWJ
S6UM5Z
Une seule clé pour chiffrer

et déchiffrer un message
 L’échange des clés
Cryptographie asymétrique :
Clé Privée Clé Publique
Alice Jean
Clair Cryptage Crypté Décryptage Clair
KL3CQ Clé publique Clé privée

VKV23 de Jean de Jean

II. AAA
 Authentification, Autorisation et comptabilisation noté (AAA ou “triple A”)
 Authentification (Authentication): Les utilisateurs et les administrateurs doivent
prouver leur identité. Elle peut être établie en utilisant :
 Combinaisons de nom d'utilisateur et mot de passe,
 Enjeu (challenge) de questions/réponse,
 Cartes à jeton
 Autres méthodes.
 Autorisation (Authorization): les ressources auxquelles l'utilisateur peut accéder

et les opérations que l'utilisateur est autorisé à effectuer.
 Comptabilisation (Accounting) : enregistre quelles actions on a effectué lors de
l'accès au réseau ou système, la durée d'accès à la ressource, et toute
modification apportée.
Certificat Numérique
 Pourquoi utiliser les certificats ?

• Pour prouver l'identité de nos services (Web, Courriel…).
• Pour offrir une confidentialité des données envoyées par
l'intermédiaire du chiffrement.

L’intégrité
 Les données font l'objet de nombreuses opérations telles que la
capture, le stockage, la récupération, la mise à jour et le
transfert.
 Cependant, elles ne doivent, à aucun moment, être altérées par
des entités non autorisées.

Technologies liées l’intégrité
1. Algorithmes de hachage
Exemple d’algorithmes: MD5 - SHA Authentification par hachage (HMAC)
Message
Données de Données de
en texte
longueur longueur
clair
arbitraire arbitraire
Clé secrète
Fonction Fonction
de hachage de hachage
Hash de Hash de
longueur fixe e883ba0a24d011 longueur fixe e883ba0a24d011

1. Algorithmes de hachage
Exemple
Emetteur : Alice
Données
Payer Jean $50 Payer Jean $50
Clé secrète
Payer Jean $50
Clé secrète Algorithme Algorithme
de hachage 0xfbdd1b1b8aac6c0832 de hachage
Récepteur : Jean
0xfbdd1b1b8aac6c0832 0xfbdd1b1b8aac6c0832
HMAC HMAC
Empreinte digitale Vérifié
authentifiée
2. Signature numérique
Exemple
Emetteur : Jean Récepteur : Alice

Données Données
signées
Achat de $1000
Clair
Algorithme Achat de $1000
de hachage
Achat de $1000
SHA-1 Hash E10d34a0220 E10d34a0220
49de3e7aa4… SHA-1 Hash
Clé publique
E10d34a0220… de Jean
Clé privée Signature RSA

de Jean 49de3e7aa4… 49de3e7aa4…

La disponibilité
 Principe selon lequel il est nécessaire d'assurer une disponibilité en
continu des systèmes et services d'information.
 Certains dysfonctionnements et attaques peuvent empêcher l'accès
aux systèmes et services d'information.
 Le terme de haute disponibilité décrit des systèmes conçus pour
éviter les interruptions.

Les « cinq neuf »
99,999%
Systèmes
normalisés
+
Objectif :
99,999%
(moins de 5,26
minutes par an)
Systèmes à
Clustering composants
partagés

+ +
Faire face aux attaques sophistiquées
 Les pirates informatiques d'aujourd'hui sont parfaitement équipés et
possèdent l'expertise et la ténacité pour compromettre la sécurité de
n'importe quelle entreprise et à tout moment. Les méthodes de
protection traditionnelles ne sont plus efficaces contre les attaques de
plus en plus sophistiquées dont les vecteurs d’attaque se multiplient.

Opportunité prometteuse
• La complexité des solutions du marché et le manque

d’interactions être elles, tout le secteur écoute, et les DSI,
en première ligne, sont attentifs aux solutions proposées.
• Face à la complexification des réseaux et la diversité des
solutions de sécurité du marché, de nouvelles failles de
sécurité se révèlent chaque jour.

Pourquoi une nouvelle approche est nécessaire ?
 Impossible de protéger ce qu’on ne voit pas !
 Nécessité de collection des informations concernant ce qui

se passe sur le réseau.
 Un mécanisme d’automatisation intelligente permet de voir et

en temps réel le maximum de données corrélées.

Bloquer les attaques
Nouvelle Détecter les attaques plutôt

Meilleure visibilité pour agir le plutôt possible
Approche
Gestion unifiée et
corrélation automatisée
Gestion des menaces avant, pendant et après
 Gestion des menaces avant, pendant et après les attaques en remontant
dans le temps si nécessaire pour mieux identifier les dommages.
Les informations contextuelles dont nous

avons besoin pour évaluer correctement
Visibilité
Permet les utilisateurs, les hôtes et les
d’avoir applications sur le réseau, pour détecter
les menaces multivecteurs et pour
élaborer une réponse automatisée.

 Rassemble donc :
Sur une seule

 Des fonctions de firewall.
plateforme, afin
 De contrôle des applications.
de fournir une
 De protection contre les malwares.
protection en
 De prévention des intrusions.
continu.

Les applications, les
utilisateurs, les
appareils, les systèmes
d'exploitation, les
vulnérabilités, les
services, les processus,
les comportements Corrélation de grandes
réseau, les fichiers et quantités de données
les menaces.

Access Public
point facing
Printer servers Switch 3
Switch 1 Branch Office
Service Service
Computer
provider provider
1 Router 1
Computer
3 Switch 2 Firewall Router 2
Computer INTERNET
2
Internal
server
Difficile à rassembler des informations concernant: les hôtes ciblés, les

versions des systèmes d’exploitation, les serveurs et les applications
en cours d’exécution, les terminaux mobiles, les activités des
utilisateurs en temps réel dans un seul endroit à portée de clic.
+
 Détecter les attaques plus tôt pour agir plus vite.
 Gestion unifiée et de la corrélation automatisée des attaques par le
biais de fonctions de sécurité étroitement intégrées.

Devenir un acteur de la protection
Comment ?

Certifications
des IT managers

Nouvelle vision de certification ( Cisco comme
exemple)

Domaines d'intérêt et changements majeurs
CCNA 7.0
Fondation IP (réseau
de base) - 75%
3 Cours
Sécurité - 15%
CCNA
Automatisation du réseau -
10%

nouveau module: Network Automation
• Automatisation des reseaux : concept
• Formats de données: Formats de données concept, règles de format de
données, JSON, YAML, XML
• Apis: API Concept, API exemple, Open, interne et API Partner, les types d'API
Web Service
• REST : REST et API RESTful, la mise en œuvre RESTful, URI / URN / URL,
Anatomie de la demande RESTful, API RESTful Applications
• Outils de gestion de configuration: Configuration traditionnelle du réseau,
Network Automation, Ansible, Chef cuisinier, Marionnettes, SaltStack
• IBN et Cisco ADN Centre: Intention basée sur réseau, l'infrastructure réseau
en tissu, l'ADN Cisco, CDA Centre

Dissipez vos
doutes

Votre avis nous
intéresse !
Veuillez remplir le sondage qui

apparaîtra sur votre écran à la fin
de cette présentation.
Merci pour votre participation !

Conférence IOT Kherfallah 29 Mai 2020 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Conférence IOT Kherfallah 29 Mai 2020 PDF

Transféré par

Droits d'auteur :

Formats disponibles

IoT: enjeux de la sécurité de réseau

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

L’IoT est l’acronyme de Internet Of Things (Internet des Objets en français).

Objets de la vie courante connectés avec des composants électroniques,

© 2019 Cisco and/or its affiliates. All rights reserved.

Data Management Data Management

Expansion du cyberespace Espace d’attaques plus large

© 2019 Cisco and/or its affiliates. All rights reserved.

Data storage Processing Distribution

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

Switch 1 Branch Office

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

Chercher une vulnérabilité

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

 Virus Un logiciel conçu pour perturber le bon

© 2019 Cisco and/or its affiliates. All rights reserved.

En plus d'attaques de codes malveillants , il est possible pour les

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

 Une attaque par déni de

© 2019 Cisco and/or its affiliates. All rights reserved.

 Ces attaques ont la particularité de tirer parti de telles vulnérabilités

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

 Si l’IoT a enregistré une croissance exponentielle ces dernières

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

Clé secrète partagée

Une seule clé pour chiffrer

Clé Privée Clé Publique

Clair Cryptage Crypté Décryptage Clair

KL3CQ Clé publique Clé privée

© 2019 Cisco and/or its affiliates. All rights reserved.

 Autorisation (Authorization): les ressources auxquelles l'utilisateur peut accéder

 Pourquoi utiliser les certificats ?

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

Exemple d’algorithmes: MD5 - SHA Authentification par hachage (HMAC)

© 2019 Cisco and/or its affiliates. All rights reserved.

Emetteur : Jean Récepteur : Alice

SHA-1 Hash E10d34a0220 E10d34a0220

49de3e7aa4… SHA-1 Hash

Clé privée Signature RSA

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

© 2019 Cisco and/or its affiliates. All rights reserved.

• La complexité des solutions du marché et le manque