menu
L'expérience de nos cyber-consultants au service de votre organisation

Cybersécurité des Objets Connectés

Actualité publiée par Coessi le 11/05/2018 | Mise à jour le 11/05/2018 à 14:02
Cybersécurité des Objets Connectés

Étude de cas

 

Le problème à résoudre :


Un de nos clients, constructeur de Yachts de luxe, avait, air du temps oblige, intégré l’IoT (Internet of Things) dans le prototype de ses futurs bateaux. Il voulait ainsi, tout en démontrant sa capacité d’innovation, offrir de nouveaux services à sa clientèle haut de gamme. Avant la mise sur le marché cependant, et soucieux de s’assurer de la maturité de son nouveau produit en termes de Cybersécurité, il voulait le mettre à l’épreuve en le laissant aux mains de spécialistes du domaine pour y subir une série d’évaluations, investigations et attaques en règle. Sa crainte n’était pas tant le scénario catastrophe que la simple compromission de tout ou partie des systèmes présents sur le bateau, pouvant entraîner, outre des nuisances plus ou moins graves pour les  acquéreurs, une atteinte irrémédiable de son image de marque.


La solution mise en œuvre :


La nouvelle génération de bateaux de plaisance dispose de fonctions de pilotage centralisées, activables à travers une simple interface Web ou une application mobile, en se connectant directement au réseau du bateau ou à distance via Internet. Ces fonctions peuvent être des fonctions de confort mais aussi des fonctions plus essentielles de navigation. Différentes architectures sont possibles, mais toujours sur le même principe de systèmes autonomes interconnectés grâce au bus CAN et au respect de protocoles de communication standard comme NMEA2000, et connectés au monde IP via des passerelles. Une étude des risques a été combinée à la réalisation de tests d’intrusion sur le bateau-test. Une série d’entretiens ont été réalisés avec le constructeur mais également avec certains de ces sous-traitants, notamment ceux en charge des systèmes embarqués. La plupart des scénarios d’attaque déroulés lors des tests ont été extraits de la cartographie des risques. Différents points d’accès physiques et logiques ont été testés. Divers outils, standards ou développés spécifiquement, ont été utilisés.

 

Les résultats obtenus :

 

La cartographie des risques validée par les tests sur site a été présentée aux différentes parties prenantes du projet. Un certain nombre de recommandations chiffrées et priorisées ont été formulées. Chaque partie prenante (constructeur et sous-traitants) a pris en compte les recommandations qui le concernaient, et proposé un plan de remédiation échelonné en phase avec la roadmap du projet. CoESSI a pu constater qu’il n’y a rien de fondamentalement différent entre les architectures présentes au sein des bateaux et celles présentes au sein des voitures connectées, si ce n’est l’utilisation de standards propres à chaque domaine (NMEA2000 ou protocoles propriétaires versus J1939 ou autre). Les principes de sécurisation essentiels sont directement transposables d’un système à l’autre Ces travaux ne font que renforcer notre stratégie à poursuivre nos travaux de R&D sur la sécurité des objets connectés et la protection de la vie privée. Nous abordons des domaines variés (réseaux intelligents, bateaux connectés, outils de mobilité, etc.) qui nous permettent d’en déceler les problématiques génériques et d’y apporter des solutions. Nous revendiquons une cohérence sur l’ensemble de notre démarche : les scénarios de menace identifiés et traités en R&D sont inclus dans l’analyse de risques et démontrés par les tests.

Nous nous enrichissons au travers de chaque système étudié, et nous capitalisons nos expériences.

expand_less