IRT NANOELEC OBJETS ET SYSTÈMES CONNECTÉS : QUELLES COMPÉTENCES EN SÛRETÉ ET SÉCURITÉ? Présentation du 7 juillet Hervé DISSAUX, KATALYSE

Transcription

1 IRT NANOELEC OBJETS ET SYSTÈMES CONNECTÉS : QUELLES COMPÉTENCES EN SÛRETÉ ET SÉCURITÉ? Présentation du 7 juillet 2015 Hervé DISSAUX, KATALYSE

2 Prise en compte dans l étude de la sureté et de la sécurité Sureté : Elle permet de garantir la production, la fiabilité des systèmes et de prévenir les défaillances sur un système ou une infrastructure physique dans un mode normal ou dégradé d utilisation. Sécurité : C est l ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux risques d attaques techniques sur un système ou une infrastructure. IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 2

3 Présentation générale et enjeux de la sécurité et des risques de l information L information, actif de plus en plus stratégique pour les entreprises avec le développement des technologies de l information Information sur le marché et l environnement économique (marchés, clients, fournisseurs) Information sur les clients, les utilisateurs Secrets industriels, recherche,. La sécurité de l information se définit comme un dispositif global garantissant : Sa disponibilité : garantir que les utilisateurs habilités ont accès à l'information et aux ressources associées au moment voulu. Ex. : dossier médical des patients Son intégrité : sauvegarder l'exactitude et la fidélité d'information et des méthodes de traitement des données. Ex. : archivage de données sensibles Sa confidentialité : garantir que seules les personnes habilitées peuvent accéder à l information Ex. : protection des données bancaires des consommateurs Sa traçabilité (ou preuve) : permettre un audit de la chaîne de parcours entre l émetteur et le destinataire de l information Informations de tiers gérées par l entreprise Informations de tiers gérées par des tiers Informations sensibles Informations de l entreprise gérées par l entreprise Informations de l entreprise gérées par des tiers IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 3

4 LES PRINCIPAUX SYSTEMES TECHNOLOGIQUES ET LES ENJEUX SURETE/SECURITE IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 4

5 Source:Gartner, Xerfi Les objets connectés et embarqués : un marché en plein boom Milliards 26 milliards d objets connectés en circulation aujourd hui, 50 milliards en 2020 (estimation) $5,7 Milliards Taille du marché des objets connectés en % des revenus 2014 sur les secteurs de l énergie, la sécurité et les applications Objets B2B et B2C sont concernés Objets des marchés B2B Exemple: altimètre d avion désormais connecté Objets B2C non-connectés auparavant Exemple : robots de cuisine Nouveaux objets B2C intelligents Exemple : montre Apple (Apple Watch) Objectif: rendre les objets plus performants, plus évolutifs, plus ergonomiques Un environnement développement très favorable à leur Une innovation technologique permanente Démocratisation des technologies : Internet, Smartphones Amélioration continue des performances: vitesse, mémoire, complexité des calculs, résistance Un double attrait économique Créer de la valeur par la vente de l objet Créer de la valeur par les données recueillies Une demande sociale Mode de vie «always on», connecté 24/24 7/7 Besoin de tout, tout de suite, tout le temps Des normes et lois balbutiantes ISO 27001: les fondamentaux de la sécurité EN 16311: cycle de vie des objets connectés Une nébuleuse de règles en constante évolution (respect de la vie privée ) Deux uniques freins au développement exponentiel des objets connectés: l absence d un standard technologique, économique ou légal (= référentiel commun) et la trop faible sécurisation des systèmes IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 5

6 Source:Verizon Data Breach Investigations Report, retraitement Katalyse Des menaces parfois invisibles mais bien réelles Caractéristiques principales des attaques 84% 84% des attaques ne prennent que quelques minutes 78% 78% des intrusions ne demandaient pas ou peu de compétences techniques Les objets connectés, des cibles idéales Un objet = une porte d entrée sur un réseau de milliers (millions) de périphériques Plus la donnée est personnelle, plus elle a de valeur (ID, géolocalisation, comportement, etc.) 66% 66% des attaques ne sont pas découvertes avant plusieurs mois 75% 75% des attaques sont opportunistes : les sociétés n étaient pas visées explicitement et très peu protégées Un cycle de vie des objets pouvant atteindre 10 ans sans mise à jour de sécurité Un accès physiques aux objets limité sentiment erroné d invulnérabilité baisse de la vigilance Des composants peu chers, peu sécurisés en réponses aux exigences de prix et de rapidité du marché 69% 69% des attaques sont découvertes par des tiers 19% 19% des brèches combinent plusieurs techniques : malware, hacking Un danger latent qui deviendra un enjeux crucial de demain Pour autant une faible prise en compte par les programmateurs et les architectes de système des carences en sécurité IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 6

7 Evolution du périmètre de rayonnement d un produit Intelligence développée Syst. D équipements SYSTÈME DE SYSTÈMES DE PRODUITS INTELLIGENTS CONNECTES Syst. De données SYSTÈME DE PRODUITS INTELLIGENTS CONNECTES Syst. D équipements Syst. D optimisation Syst. D anticipation Syst de distribution Syst de production PRODUIT INTELLIGENT CONNECTE Syst de gestion PRODUIT INTELLIGENT PRODUIT Rayonnement IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 7

8 Sources : HBR entretiens Katalyse Empilement de technologies et conséquences sur la vulnérabilité globale IDENTITE ET SECURITE NUAGE PRODUIT Moteurs de règles et d analyses du comportement du produit Banque des données du produit intelligent INFO. EXT. ECOSYSTEME ENTREPRISE Gestion des authentifications Sécurisation des connections Sécurisation des moteurs et applications Plateformes de développement et d execution d applications Applications de gestion des fonctions à distance de produit intelligent RESEAU Protocoles de communication réseau Accès à des sources externes Intégration systèmes de gestion de l entreprise Sécurisation des données et intégrité PRODUIT Applications logicielles embarquées Système d exploitation intégré et interface utilisateurs Autres produits connectés Capteurs et processeurs Composants mécaniques et électriques IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 8

9 LES MÉTIERS DE LA SÉCURITÉ ET DE LA SURETÉ IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 9

10 Cartographie des différents métiers objets connectés et embarqués en sureté Expertise Informatique Gestionnaire de données Concepteur / développement logiciel Responsable support / maintenance Architecte applications embarquées Spécialiste qualification / validation Conception Etude Architecte systèmes embarquées Maintenance Installation Concepteur de système matériel en temps réel Architecte plateformes embarquées Technicien en système mécatronique Spécialiste R&D électrique, électronique ou mécanique Electronique IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 10

11 Sécurité de l information Risques de l information Autres risques Les métiers de la sécurité, de la gestion des risques de l information Risk manager Correspondant informatique et libertés Chargé de la propriété intellectuelle Spécialiste en gestion de crise Juriste Chargé d intelligence économique MSRI RSSI Technicien support «sécurité des systèmes d information» Opérateur «sécurité des systèmes d information» Auditeur «sécurité des systèmes d information» Développeur «sécurité des systèmes d information» Architecte «sécurité des systèmes d information» Intégrateur «sécurité des systèmes d information» Analyste cybersécurité Consultant en sécurité des systèmes d information Post-auditeur «sécurité des Expert en «sécurité des systèmes d information» systèmes d information» Formateur / instructeur sécurité des systèmes d information Expert en test d intrusion Expert connexe Internalisé Externalisable Externalisé IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire

12 OFFRE QUALIFIANTE EN SURETE ET SECURITE IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 12

13 Panorama des formations 300 formations seulement 40 dédiées au risque Sureté et Sécurité Beaucoup de formations avec une coloration Sureté & Sécurité Notamment sur la question de la sureté Techniques de sécurisation informatique d un réseau simple Vision systémique et des processus industriels (création intégration et exploitation) très faibles Faiblesse sur les sujets : modélisation des risques, homologation, scénarisation, reprise suite à attaque Nécessité de créer des formations pour professionnaliser et légitimer des métiers d intelligence Sureté et Sécurité Connaissances techniques Egalement compétences transversales : management, gestion de projets, sensibilisation, organisation, gestion de risque Des possibilités de s inscrire dans de futurs parcours de certification IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 13

14 Cartographie des formations abordant la sûreté et sécurité à différents degrés Source:base de données KATALYSE Sûreté et sécurité 56% = part des gens formés en sûreté sécurité via cette formation Formations courtes privées >> à jours vendus par an Mastères, Mastères Spécialisés, 3 ème année d école d ingénieur 34% (env. 22% d universités) Bac +5 ingénieur et universitaire Formations universitaires d un an 10% 56% (env. 32% université & 24% ingénieur) Spécialisations Générales Formations à coloration sûreté-sécurité Autres 88% des formations: Génie électronique Génie automatique Génie industriel Génie mathématiques Génie informatique IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 14

15 Cartographie des formations certifiantes Certification CIL EXPLOITATION DE DONNEES EBIOS Analyse MEHARI Tests SECURITE DES ISO : risque SI Sécurisation DONNEES Juridique : ESSJUR de LSTI ISO : Système de continuité ISO (I ou A) : Sécurité de la SI GESTION GLOBALE EXPLOITATION ISO SI : processus IT DU RISQUE ISO : mgt des risques Sécurisation : CCSK, LPIC-3, GCWN, GEC Analyse : FOR610; GNFA, GCFE SECURITE DES BIENS CISSP Tests : GWAPT, GMON, SEC560, GPEN, GXPN, GWEB, GCIH, SECURITE DES PERSONNES De nombreux standards existants : Pas de vision métier Pas de mise en musique IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 15

16 Compétences en sureté et sécurité dans les formations Les expertises techniques jugées critiques sont maîtrisées (pre-requis informatiques, compréhension d une attaque ) Un manque au niveau des automaticiens et des électroniciens d une culture de la sécurité alors que les compétences transversales (anglais, gestion de projet, gestion des équipes ), inégalement maîtrisées aujourd hui dans la filière, sont rarement développées dans les formations. Les aspects de réglementation, de méthodologie projet (conception, test ) et d appréhension du produit ou de la structure dans sa globalité (modélisation des risques, homologation, scénarisation, reprise suite à attaque ) restent peu maîtrisés et difficiles à trouver sur le marché de l emploi. Formation interne et tutorat des entreprises Un manque constaté également sur des profils multi compétences : Possibilité de trouver des experts par domaine, mais peu de profils conjuguant des compétences et expertises : or ce sont eux qui sont le plus à même d appréhender les problématiques produit (conception / exploitation) en sureté et sécurité dans leur ensemble. Profils multi compétences qui prendront par la suite la gestion et la responsabilité de structures IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 16

17 Des pistes de parcours de compétences pour la filière des objets connectés Améliorer la sureté des processus et des structures Concevoir des solutions avec une approche Sécurité & Sureté Améliorer la phase de test des produits dans une logique Sécurité & Sureté Auditer la sécurisation des systèmes d information impactés par l utilisation des objets connectés Superviser l exploitation et organiser la réaction en cas d incident Développer les postes de responsable de la sécurité et du management des risques de l information Former et sensibiliser les utilisateurs des systèmes IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 17

18 Présentation de KATALYSE Annexes Cabinet de conseil en stratégie, dédié au développement des entreprises et des territoires Expérience acquise auprès de plus de 500 clients PME et ETI Fonds d investissement Grandes entreprises Pôles de compétitivité et clusters Collectivités publiques Forte présence régionale Fondateur d un réseau de cabinets de conseil en stratégie européen Eléments clés Création en 1990 par Jean-François LECOLE et l équipe de conseil aux PME du BIPE SA au capital de 575 K, détenu par les consultants CA 2014 : 3 M 25 coéquipiers permanents 45 partenaires (experts sectoriels et experts-métiers) Qualifié OPQCM Membre de l Association des Conseils en Innovation IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 18

19 Katalyse, le sens de l engagement PDG Dr Paris Dr Lyon Dr Nantes Dr Toulouse Dr Strasbourg Équipe de 23 consultants issus des meilleures Ecoles de management et d ingénieurs Consultants Managers Actionnariat salarié favorisé (15 salariés actionnaires actuellement) Consultants Seniors Consultants Consultants Juniors IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 19

20 Hervé DISSAUX, Consultant Manager Associé KATALYSE 11 rue guilloud Lyon Tel : Mail : hdissaux à katalyse.com IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité? Présentation séminaire 20