Formations en surete et securite des systemes : etude d

OBJETS ET SYSTÈMES

CONNECTÉS :

QUELLES COMPÉTENCES EN

SÛRETÉ ET SÉCURITÉ ?

Présentation du 7 juillet 2015

IRT NANOELEC

Hervé DISSAUX, KATALYSE

IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 2

Sureté : Elle permet de garantir la production, la

fiabilité des systèmes et de prévenir les défaillances

sur un système ou une infrastructure physique dans

un mode normal ou dégradé d’utilisation.

Sécurité : C’est l’ensemble des moyens humains,

organisationnels et techniques réunis pour faire face

aux risques d’attaques techniques sur un système ou

une infrastructure.

Prise en compte dans l’étude de la sureté et de

la sécurité


L’information, actif de plus en plus stratégique pour les

entreprises avec le développement des technologies de

l’information

Information sur le marché et l’environnement économique

(marchés, clients, fournisseurs)

Information sur les clients, les utilisateurs

Secrets industriels, recherche, …

….

La sécurité de l’information se définit comme un dispositif

global garantissant :

Sa disponibilité : garantir que les utilisateurs habilités ont accès

à l'information et aux ressources associées au moment voulu.

Ex. : dossier médical des patients

Son intégrité : sauvegarder l'exactitude et la fidélité d'information

et des méthodes de traitement des données. Ex. : archivage de

données sensibles

Sa confidentialité : garantir que seules les personnes habilitées

peuvent accéder à l´information Ex. : protection des données

bancaires des consommateurs

Sa traçabilité (ou preuve) : permettre un audit de la chaîne de

parcours entre l’émetteur et le destinataire de l’information

Présentation générale et enjeux de la sécurité et

des risques de l’information

Informations de

tiers gérées par

l’entreprise

Informations de

l’entreprise gérées

par l’entreprise

Informations de

tiers gérées par

des tiers

Informations de

l’entreprise gérées

par des tiers

Informations

sensibles


LES PRINCIPAUX SYSTEMES

TECHNOLOGIQUES ET LES ENJEUX

SURETE/SECURITE

IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire

26 milliards d’objets connectés en circulation

aujourd’hui, 50 milliards en 2020 (estimation)

Taille du marché des objets connectés en 2015

60% des revenus 2014 sur les secteurs de l’énergie, la

sécurité et les applications

Objets B2B et B2C sont concernés

Objets des marchés B2B

Exemple: altimètre d’avion désormais connecté

Objets B2C non-connectés auparavant

Exemple : robots de cuisine

Nouveaux objets B2C intelligents

Exemple : montre Apple (Apple Watch)

Objectif: rendre les objets plus performants, plus

évolutifs, plus ergonomiques

5

Les objets connectés et embarqués : un marché

en plein boom

Un environnement très favorable à leur

développement

Une innovation technologique permanente

Démocratisation des technologies : Internet, Smartphones

Amélioration continue des performances: vitesse, mémoire,

complexité des calculs, résistance…

Un double attrait économique

Créer de la valeur par la vente de l’objet

Créer de la valeur par les données recueillies

Une demande sociale

Mode de vie « always on » , connecté 24/24 7/7

Besoin de tout, tout de suite, tout le temps

Des normes et lois balbutiantes

ISO 27001: les fondamentaux de la sécurité

EN 16311: cycle de vie des objets connectés

Une nébuleuse de règles en constante évolution (respect

de la vie privée…)

So

urc

e:G

art

ner,

Xerf

i

Deux uniques freins au développement exponentiel des objets connectés: l’absence d’un standard technologique, économique ou légal

(= référentiel commun) et la trop faible sécurisation des systèmes

26 50 Milliards

$5,7 Milliards


Des menaces parfois invisibles mais bien réelles

Caractéristiques principales des attaques

So

urc

e:V

eri

zo

n D

ata

Bre

ach

In

vesti

gati

on

s R

ep

ort

, re

trait

em

en

t K

ata

lyse

84%

75%

69%

66%

78%

19%

84% des attaques ne

prennent que quelques

minutes

19% des brèches combinent

plusieurs techniques :

malware, hacking…

75% des attaques sont

opportunistes : les sociétés

n’étaient pas visées explicitement

78% des intrusions ne

demandaient pas ou peu de

compétences techniques

66% des attaques ne sont

pas découvertes avant

plusieurs mois

69% des attaques sont

découvertes par des tiers

Les objets connectés , des cibles idéales…

Un objet = une porte d’entrée sur un réseau de milliers

(millions) de périphériques

Plus la donnée est personnelle, plus elle a de valeur (ID,

géolocalisation, comportement, etc.)

… et très peu protégées

Un cycle de vie des objets pouvant atteindre 10 ans

sans mise à jour de sécurité

Un accès physiques aux objets limité sentiment

erroné d’invulnérabilité baisse de la vigilance

Des composants peu chers, peu sécurisés en réponses

aux exigences de prix et de rapidité du marché

Un danger latent qui deviendra un enjeux crucial

de demain…

Pour autant une faible prise en compte par les

programmateurs et les architectes de système des

carences en sécurité


Evolution du périmètre de rayonnement d’un

produit

Intelligence développée

Rayonnement PRODUIT

PRODUIT

INTELLIGENT

PRODUIT

INTELLIGENT

CONNECTE

SYSTÈME DE

PRODUITS

INTELLIGENTS

CONNECTES

SYSTÈME DE

SYSTÈMES DE

PRODUITS

INTELLIGENTS

CONNECTES

Syst. De

données

Syst.

D’optimisation

Syst.

D’anticipation Syst.

D’équipements

Syst de

distribution

Syst de

production

Syst de

gestion

Syst.

D’équipements


Empilement de technologies et conséquences

sur la vulnérabilité globale

Applications de gestion des fonctions à distance de

produit intelligent

Moteurs de règles et d’analyses du comportement du

produit

Plateformes de développement et d’execution

d’applications

Banque des données du produit intelligent

Protocoles de communication réseau

Système d’exploitation intégré et interface utilisateurs

Applications logicielles embarquées

Composants

mécaniques et

électriques

Capteurs et processeurs

Accès à

des

sources

externes

Intégration

systèmes

de gestion

de

l’entreprise

Autres

produits

connectés

Gestion des

authentifications

Sécurisation des

connections

Sécurisation des

moteurs et

applications

Sécurisation des

données et

intégrité

NUAGE PRODUIT

RESEAU

PRODUIT

ECOSYSTEME

ENTREPRISE

IDENTITE ET

SECURITE INFO. EXT.

So

urc

es

: H

BR

20

15

+ e

ntr

eti

en

s K

ata

lys

e


LES MÉTIERS DE LA SÉCURITÉ ET DE LA

SURETÉ


Cartographie des différents métiers objets connectés et

embarqués en sureté

Conception

Etude

Informatique

Electronique

Maintenance

Installation

Concepteur / développement

logiciel

Architecte applications

embarquées

Architecte systèmes

embarquées

Spécialiste qualification /

validation

Architecte

plateformes

embarquées

Gestionnaire

de données

Responsable support

/ maintenance

Technicien en

système

mécatronique Concepteur de système

matériel en temps réel

Spécialiste R&D

électrique, électronique ou

mécanique

Expertise


Les métiers de la sécurité, de la gestion des risques de l’information

Internalisé Externalisé

RSSI

Risk manager

Consultant en sécurité des

systèmes d’information

Formateur / instructeur sécurité des

systèmes d’information

Expert connexe

Chargé de la propriété intellectuelle

Juriste

Correspondant informatique et libertés

Chargé d’intelligence économique

Spécialiste en gestion de crise

MSRI

Technicien support « sécurité des systèmes

d’information »

Sé

cu

rité

de

l’in

form

ation

Architecte « sécurité des

systèmes d’information »

Post-auditeur « sécurité des


Intégrateur « sécurité des


Expert en « sécurité des


Expert en test d’intrusion

Analyste cybersécurité

Auditeur « sécurité des systèmes d’information » Ris

qu

es d

e

l’in

form

ation

Au

tres r

isqu

es

Externalisable

Opérateur « sécurité des systèmes d’information »

Développeur « sécurité des systèmes

d’information »


OFFRE QUALIFIANTE EN SURETE ET

SECURITE


300 formations… seulement 40 dédiées au risque Sureté et Sécurité

Beaucoup de formations avec une coloration Sureté & Sécurité

• Notamment sur la question de la sureté

• Techniques de sécurisation informatique d’un réseau simple

Vision systémique et des processus industriels (création intégration et exploitation) très faibles

• Faiblesse sur les sujets : modélisation des risques, homologation, scénarisation, reprise suite à attaque…

Nécessité de créer des formations pour professionnaliser et légitimer des métiers d’intelligence

Sureté et Sécurité

• Connaissances techniques

• Egalement compétences transversales : management, gestion de projets, sensibilisation, organisation,

gestion de risque…

Des possibilités de s’inscrire dans de futurs parcours de certification

Panorama des formations


56% (env. 32%

université & 24%

ingénieur)

10%

Formations

universitaires

d’un an

34% (env. 22%

d’universités)

>> 6 000 à 7 000 jours

vendus par an

14

Cartographie des formations abordant la sûreté

et sécurité à différents degrés

Spécialisations Générales

Autres

Sûreté et sécurité

Formations

courtes

privées

Mastères, Mastères

Spécialisés, 3ème

année d’école

d’ingénieur

88% des formations:

Génie électronique

Génie automatique

Génie industriel

Génie mathématiques

Génie informatique

Formations à

coloration

sûreté-sécurité

Bac +5 ingénieur et

universitaire

56% = part des gens formés en sûreté –

sécurité via cette formation

So

urc

e:b

ase d

e d

on

nées

KA

TA

LY

SE


SECURITE DES

DONNEES

GESTION GLOBALE

DU RISQUE

SECURITE DES

BIENS

EXPLOITATION SI

SECURITE DES

PERSONNES

Cartographie des formations certifiantes

EXPLOITATION DE

DONNEES

▲ ISO 20000 : processus IT

▲ ISO 27005 : risque SI

▲ ISO 27001 (I ou A) : Sécurité de la SI

▲ ISO 22301 : Système de continuité

▲ ISO 31000 : mgt des risques

▲ EBIOS

▲ MEHARI

▲Certification CIL

▲ Tests

▲ Analyse

▲ Tests : GWAPT,

GMON, SEC560,

GPEN, GXPN, GWEB,

GCIH,…

▲ Analyse : FOR610; GNFA, GCFE…

▲ Sécurisation : CCSK, LPIC-3, GCWN, GEC…

▲ Sécurisation ▲ Juridique : ESSJUR de LSTI

▲CISSP

De nombreux standards existants :

Pas de vision métier

Pas de mise en musique


Les expertises techniques jugées critiques sont maîtrisées (pre-requis informatiques,

compréhension d’une attaque…)

Un manque au niveau des automaticiens et des électroniciens d’une culture de la sécurité

… alors que les compétences transversales (anglais, gestion de projet, gestion des équipes…),

inégalement maîtrisées aujourd’hui dans la filière, sont rarement développées dans les

formations.

Les aspects de réglementation, de méthodologie projet (conception, test…) et d’appréhension du

produit ou de la structure dans sa globalité (modélisation des risques, homologation,

scénarisation, reprise suite à attaque…) restent peu maîtrisés et difficiles à trouver sur le marché

de l’emploi.

Formation interne et tutorat des entreprises

Un manque constaté également sur des profils multi compétences :

Possibilité de trouver des experts par domaine, mais peu de profils conjuguant des compétences et

expertises : or ce sont eux qui sont le plus à même d’appréhender les problématiques produit (conception /

exploitation) en sureté et sécurité dans leur ensemble.

Profils multi compétences qui prendront par la suite la gestion et la responsabilité de structures

Compétences en sureté et sécurité dans les

formations


Améliorer la sureté des processus et des structures

Concevoir des solutions avec une approche Sécurité & Sureté

Améliorer la phase de test des produits dans une logique Sécurité & Sureté

Auditer la sécurisation des systèmes d’information impactés par l’utilisation des objets

connectés

Superviser l’exploitation et organiser la réaction en cas d’incident

Développer les postes de responsable de la sécurité et du management des risques de

l’information

Former et sensibiliser les utilisateurs des systèmes

Des pistes de parcours de compétences pour la

filière des objets connectés


Présentation de KATALYSE

Cabinet de conseil en stratégie, dédié au développement des entreprises et des territoires

18

Eléments clés

Création en 1990 par Jean-François LECOLE et l’équipe de

conseil aux PME du BIPE

SA au capital de 575 K€, détenu par les consultants

CA 2014 : 3 M€

25 coéquipiers permanents

45 partenaires (experts sectoriels et experts-métiers)

Qualifié OPQCM

Membre de l’Association des Conseils en Innovation

Expérience acquise auprès de plus de 500 clients

PME et ETI

Fonds d’investissement

Grandes entreprises

Pôles de compétitivité et clusters

Collectivités publiques

Forte présence régionale

Fondateur d’un réseau de cabinets de conseil en

stratégie européen

Annexes


Katalyse, le sens de l’engagement

Équipe de 23 consultants issus des meilleures Ecoles de management et d’ingénieurs

Actionnariat salarié favorisé (15 salariés actionnaires actuellement)

PDG Dr Paris Dr Lyon Dr Nantes Dr Toulouse

Consultants Managers

Consultants Seniors

Consultants Consultants Juniors

Dr Strasbourg


Hervé DISSAUX, Consultant Manager Associé

KATALYSE

11 rue guilloud

69003 Lyon

Tel : 04 72 68 08 08

Mail : hdissaux à katalyse.com

Documents

Formations en surete et securite des systemes : etude d