IDCA : plus haute autorité internationale de certification des Data Center
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
1. Sécurité de l’IoT
Nice, France
10 Mars 2017
Pascal Delprat – pdelprat@cisco.com
75 Milliards d’objets à horizon 2025
2016 Cisco and/or its affiliates. All rights reserved. Cisco confidential.
3. Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Exemples IOT : Réseaux de capteurs urbains
Présentation dispositifs Place de la Nation et bâtiments intelligents
4. 1. Mieux comprendre l’espace public
2. Optimisation de la gestion de l’énergie dans
les bâtiments
CDP, MERAKI wifi, CMX, LoRaWAN, cameras, video
analytics, Energy / Asset Management
5. Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Place de la Nation –Des cas d’usage orientés flux et environnement
•Comptage des piétons, vélos, véhicules par zone
•Comptage des équipement mobiles Wi-Fi / BLE
•Mesure de l’environnement sonore
•Mesure de la qualité de l’air
•Suivi des espaces verts
•Mesure du remplissage des colonnes de collecte de verres
•Analyse du stationnement gênant
•Analyse des données flux
•Indices de confort des piétons
•Arbre dépolluant connecté
7. Plug&Play Services
Data Producers
Analytics
Correlation
Trending
CMX
Analytics
Place de la nation
Wifi AP Camera
Powered Sensor
(air, temp, humidity)
Low Power Sensor
(waste, soil,, vehicle)
Wifi
Infrastructure VSM
Video
Analytics
(flow)
Adapter Adapter Adapter Adapter
Video
Streams
Wireless
Data
LORAWAN
Infrastructure
Video
Streams
Video
Analytics
(other)
Adapter
Social
Data
Financial
Data
City
Asset
Open Data
GIS VisualizationFlow VisualizationFlow Dashboard
DATA Lake
App Layer / API (Normalized Data)
Real Time
Analytics
Batch
Analytics
Time Series
Tools
ANY
…
Adapter
ANY
Infra
Flow CITY BOTS
ANY
APP/SERVICE
…
8. Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Exemples IOT : Réseaux de capteurs urbains
Présentation dispositifs Place de la Nation et bâtiments intelligents
9. Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Exemples IOT : Réseaux de capteurs urbains
Présentation dispositifs Place de la Nation et bâtiments intelligents
10. DE NOUVEAUX ENJEUX DE SÉCURITÉ
CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
11. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Objets démocratisés, abordables, autonomes ; et tout
le monde les veut !
Non pensés autour de sécurité
Un mécanisme d’espionnage (vie privée) et une arme
massive de DDoS - L’exemple Dyn, Oct 2016
493 000 objets compromis par Mirai (botnet) !!!
Particuliers & IoT déjà des enjeux forts
12. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Nouveaux usages : caméras connectées, bâtiment
intelligent, …
BYOD avec objets (montres, …) & des employés
qui se connectent. Shadow IoT.
Ex: frayeur du Romantik Hotel en Autriche, Jan 2016
(serrures & ransomware)
Entreprises & IoT de nouveaux usages
13. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Environnements critiques 24/7, besoin absolu de continuité
d’activité (réseaux électriques, ...) & de sécurité (risque de
mort)
Un nouveau paradigme : SCADAs, contrôleurs
programmables, pas de sécurité spécifique !
Risques : attentat, vol de données, perturbation d’activité, …
Ex: Stuxnet (2010), aciérie allemande (2015), Ukraine …
Environnements industriels/Smart Cities
14. IT – Info Tech OT Oper Tech
Connected
City
Connected
Transportatio
n
Connected
Car
Connected
Service Provider
Connected
Retail
Digital
Manufacturing
Connected
Utilities
Digital
Healthcare
Note: IT & OT As Defined by IOT BU
*OT Baseline Features
Illustrative
Level 5
Enterprise Network
Level 4
Site Business
Planning
Level 2 Cell/Area
Zone
Area Control
Level 3 Plant Zone
Site Operations &
Control
Level 1 Cell/Area
Zone
Basic Control
Level 0 Cell/Area Zone
Process
Level 3.5 DMZ
Demilitarized
Zone
PurdueModel
100% IT
E.g. Virtual
Patient, IP
Video, Wi-
Fi, RFID,
Medical
Inventory
Trackers,
Patient
Media
Experience
90% IT
E.g. Store-
in-a-box,
Digital
Experience,
Electronic
Shelf-Edge
Labels,
Product
Tracking
Tags
70% OT
E.g. SCADA,
ICS,EMS,AG
C,
Automation,
Robots,
Assets
Tracking, &
RFID Tag
Reader
10% OT
E.g. Asset
Tracking
30% IT
E.g. ERP,
Finance, &
A/P
70% OT
E.g. Smart
Gas Meter,
Power Room,
Distribution &
Substation,
Oilfield,
Refinery, &
Smart Grid
Devices
30% IT
E.g.
Backend
Offices
40% OT
E.g.
Roadways,
Trackside,
Onboard, &
Mobile
Signature
Device
60% IT
E.g. 60% IT
Stations, Wi-
Fi,
Automated
Kiosks/Conso
le Traffic &
Parking
Sensor
40% OT
E.g.
Automotive
Subsystems
Interior to
Safety
Sensors
60% IT
E.g.
Collaborative
to Navigation
Applications
90% IT
E.g. City
Wi-Fi,
Location,
Traffic,
Safety/
Security,
Smart Trash
Bins,&
Smart
Building
10% OT
E.g. Asset
Tracking
30% OT
E.g. Remote
Cell Towers
70% IT
E.g. Fleet,
asset
Managemen
t
Tous les secteurs sont concernés
15. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Infrastructure
Connexion initiale de l’objet, échanges avec
l’infrastructure & vers l’extérieur
Sécurité – à quels niveaux ?
Objet
Sécurité au niveau matériel, logiciel & firmware
17. • L’objet : firmware, mot de passe,
accès physique, …
• Entre l’objet et l’infrastructure :
chiffrement, communication RF
• L’infrastructure : routers,
commutateurs, pare-feu, détection
d’intrusion, Stealthwatch, Umbrella,
Cloudlock, …
BRKIOT-2112 17
CYBERSECURITE
Sécurisation de l’IoT
18. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Un modèle réseau & sécurité spécifique IoT & durci pour
un environnement industriel :
• Continuité d’activité 24/7
• Intelligent : vérifie la politique d’accès, protège contre
les DDoS, sert de capteur
• PVLAN, DAI, DHCP snooping, IP Source guard
• Protection de l’intégrité: Secure Boot/Trusted Anchor
& Image Signing
1. La fondation d’une infrastructure intelligente
19. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Classification de tous les appareils qui se connectent
(caméra de surveillance connue, imprimante, objet
étranger, …)
Politique de sécurité dynamique poussée au réseau
(Trustsec/802.1X)
Accès distant sécurisé & authentifié
(PKI/FlexVPN/SSH/TACAS/X509)
Une anomalie ? Mise en quarantaine automatique
2. Profilage à la connexion
20. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Stealthwatch - Collecte & corrèle toute l’activité du
réseau, identifie les anomalies (communications
anormales entre les objets, vers le reste du réseau, …)
Agit sur la politique d’accès en conséquence
Apporte cette visibilité & cette sécurité à l’IoT y
compris sur couche Fog
3. Réseau comme capteur & protecteur
21. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
DNS : utilisé par tout objet voulant communiquer
vers l’extérieur
OpenDNS/Umbrella pour empêcher toute
connexion vers une destination anormale ou
malveillante
Visibilité en temps réel sur 4 à 5% des requêtes
DNS mondiales
4. Flux extérieurs, un filtrage au niveau DNS
IoT
Systems
22. CYBERSECURITE
Cisco confidential.2016 Cisco and/or its affiliates. All rights reserved.
Douze
Nouveaux
malware/sec
600 Mds d’Emails
(environ 1/3)
16 Milliards
Requêtes Web
Honeypots
Communautés
Open Source
150M+
Sandboxes, Endpoints,
…
250+ chercheurs
& ingénieurs
4-5% des
Requêtes DNS
20 Milliards
De menaces bloquées/j
TALOS
24. CYBERSECURITE
Cisco confidential.
L’IoT va transformer tous les secteurs
L’enjeu de sécurité associé est massif – une fondation solide & sécurisée
constitue le point de départ
25. 2016 Cisco and/or its affiliates. All rights reserved. Cisco confidential.
C Y B E R S E C U R I T E