La sécurité des objets connectés

Découverte des principales vulnérabilités existantes sur des objets connectés au niveau matérielles et logicielles, au travers de la rétro-ingénierie et l’utilisation d’une plateforme d’entraînement. 

Formation de 3 jours

  • Parcourir les vulnérabilités possibles d’un objet connecté
  • Découvrir les bonnes pratiques de sécurisation cryptographique pour limiter les risques
  • Anticiper les risques d’attaques dès la conception et penser à la sécurité du système dans son ensemble

Développeur, architecte, intégrateur, concepteur hardware et logiciel embarqué

Il est possible d’installer une marchine virtuelle (instruction de virtualisation activée dans le BIOS).

Avoir un PC/Mac portable avec :

  • Avoir déjà installer un outil de virtualisation tel que Vmware Player, Vmware Workstation ou
    Vmware Fusion (ou VirtualBox le cas échéant)
  • Minimum de 15Go d’espace libre (pour déposer et déployer la machine virtuelle)
  • Minimum 6Go de RAM
  • Minimum 2 coeurs de CPU (Intel, I3, I5, I7 ou AMD équivalent)
  • 2 ports USB libres (USB2)
  • Système 64bits avec les droits d’administrations (Windows, Linux ou Mac OS)
  • Un fichier OVA pour déployer simplement la VM sera fourni

Il sera remis à chaque participant un kit d’entraînement I²Cx Cyber Range comprenant une plateforme d’entraînement (I²Cx Platform) ainsi qu’une carte permettant de s’interfacer avec la plateforme (I²Cx Scanner Lite).

  • QCM (en début et fin de session)
  • Support de cours PowerPoint (en français)
  • Travaux pratiques (plateforme d’entraînement I²Cx Cyber Range)

Programme

JOUR 1

Introduction à la cybersécurité

  • Les acteurs
  • Vocabulaire
  • Audit de sécurité vs Test d’intrusion
  • Sécurité vs Sûreté
  • La cybersécurité IT vs IoT
  • Top 10 OWASP
  • Retour d’expérience et constat

Cybersécurité IoT : méthodes et outils

  • Démonstration d’attaques
  • Méthodologie
  • Test d’intrusion It vs IoT
  • Protocoles (SWD, JTAG, 2C, RS485, RS232, SPI; CAN…)

Travaux Pratiques

  • Interaction (I²C, SPI, UART, SWD / JTAG)
  • Extraction du Firmware
  • Rétroingénierie (analyse statique et dynamique de la mémoire interne)

JOUR 2

Cryptographie

  • Notion d’aléatoire et utilisation de l’entropie
  • Algorithmes
  • Mode d’opération (ECB, CBC, XTS)
  • Chiffrement et signature par bloc (GCM)
  • Chiffrement asymétrique et symétrique
  • Attaque par force brute
  • Démarrage sécurisé (Secure Boot)

JOUR 3

Attaques par lien radio

  • Introduction
  • Aperçu des outils SDR
  • Transmission RF
  • GNU radio
  • Test d’intrusion HF (méthodologie)

Attaques par canaux cachés

  • Introduction
  • Injection de fautes
  • Contremesures

De l’IoT au Cloud

  • La notion de confiance
  • Concevoir un système qui puisse être mis à jour de manière sécurisé
  • Concevoir et implémenter des procédures d’audit
  • Corriger convenablement les vulnérabilités
  • Comment concevoir ou choisir une implémentation robuste

Gouvernance et analyse de risque

  • Notions clés
  • Mettre en place un cycle de développement sécurité (SDLC)
  • Mettre en place une analyse de risque
  • La conformité (normes et CSPN)
  • L’avenir de la conformité Cyber IoT

Vous avez un besoin en cybersécurité ?

Retour en haut