fr

  • Articles de blog {{ `(${results.blog.length})` }}

  • Offres d’emploi {{ `(${results.job_offer.length})` }}

  • Offres commerciales {{ `(${results.commercial_offer.length})` }}

  • Références projets {{ `(${results.project.length})` }}

  • Détails d’actualités {{ `(${results.news.length})` }}

Articles de blog

Offres d’emploi

Offres commerciales

Références projets

Détails d’actualités

Aucun résultat pour votre recherche

4 place des Ailes

92100 Boulogne Billancourt

 

+33 (0)1 41 10 01 61

Suivez-nous !

fr
Réaliser un projet Nous rejoindre
Les 5 grandes étapes pour sécuriser un système embarqué
Accueil > Les 5 grandes étapes pour sécuriser un système embarqué

Les 5 grandes étapes pour sécuriser un système embarqué

11-01-2023 Industrie

Les 5 grandes étapes pour sécuriser un système embarqué

Enjeu de la sécurisation d’un système embarqué //

En 2023, les fonctions cruciales des entreprises et industries modernes reposent notamment sur des produits et systèmes embarqués. Alors que près de 54% des PME ont fait l’objet d’une cyberattaque en 2021, il devient primordial de protéger ces systèmes embarqués efficacement contre les différents risques qui peuvent affecter leur performance et leur disponibilité. Cela implique de maîtriser 5 étapes clés nécessaires à cette sécurisation.

Sécurisation d’un système embarqué : grandes étapes //

Afin de répondre à ces enjeux majeurs, l’Expertise Unit Cyber Apside propose une méthodologie de sécurisation des systèmes embarqués en 5 grandes étapes :

  1. L’identification : elle consiste à identifier le contexte du système et les menaces potentielles qui pourraient l’affecter en prenant en compte les aspects techniques, organisationnels et humains.
  2. L’étude : elle repose sur l’évaluation de ses vulnérabilités en analysant ses points forts et ses points faibles qui pourraient être exploités par les sources de menace identifiées.
  3. La définition du plan d’action : il s’agit de déterminer les mesures de sécurité adéquates en employant des outils et des techniques de sécurité adaptés à l’environnement.
  4. La mise en place opérationnelle : elle s’appuie sur l’instauration de mesures de sécurité identifiées, en veillant à leur intégration dans les processus et les procédures de l’entreprise tout en formant les employés à leur utilisation.
  5. La veille : qui comprend la surveillance et l’audit régulier de la sécurité du système en testant l’efficacité des mesures de sécurité mises en place et en adaptant ces dernières en cas de besoin.
étapes sécurisation systems embarqués

Sécurisation des systèmes embarqués : l’identification //

identifier_faille_sécuriser_système_embarqué

Afin de mettre en œuvre une politique de sécurité efficace et adaptée à son environnement, il est indispensable en premier lieu d’identifier de manière précise le contexte et le périmètre du produit/système embarqué à protéger.

Cette étape primordiale consiste notamment à comprendre le fonctionnement et les mécaniques du système industriel dont il est question afin d’en déduire les sécurisations à appliquer. Par ailleurs, il est particulièrement important de distinguer si le système étudié est un équipement isolé (ECU véhicule, robot-aspirateur, drone, valve de contrôle) ou bien s’il fait partie d’un ensemble de produits interconnectés dans un réseau (GVN, CAN, Modbus, EtherCAT, Profinet). En effet, la politique de sécurité sera forcément impactée par ces corrélations éventuelles.

Sécurisation des systèmes embarqués : l’étude //

Dès que contexte et périmètre ont été identifiés, il convient d’étudier les vulnérabilités potentielles.

Comme dans toute phase de cadrage, se poser les bonnes questions permet de déterminer les actions à mener. En effet, les investissements et enjeux de cybersécurité sont évalués différemment suivant les situations et les scénarios envisagés. Apporter les réponses aux interrogations suivantes permettra de mieux calibrer ses enjeux :

  • « Des exigences fonctionnelles concourent-elles déjà à la sécurité de mon système ?»
  • « Mon produit possède-t-il des sécurités (antivirus, pare-feu, HIDS, MDP JTAG) et est-il administré par un système centralisé (SCADA, SIEM, UEM/MDM) ?».
  • « Quels impacts pour mon business en cas d’attaque sur mon système ?».

Évaluer et auditer la sécurité déjà en place aide à mieux identifier ses failles et ainsi à déterminer les efforts techniques et financiers requis pour élever son niveau de sécurité. Par ailleurs, un dysfonctionnement causé par une source malveillante aura de lourdes conséquences sur une organisation.

Ces impacts peuvent notamment être :

  • Matériels (sureté de fonctionnement) ;
  • Financiers (contexte opérationnel, chaîne de production) ;
  • Réputationnels (image de marque) ;
  • Humains (atteintes à l’intégrité physique des personnes).
cybersécurité_système_embarqué

Il faut enfin se demander quelles sont les spécificités et contraintes (s’appliquant au système) dont on ne peut pas se séparer. La réponse à cette interrogation permettra d’identifier les limites d’un système, car toutes les mesures ne sont pas implémentables et le coût lié à la cybersécurité doit être maîtrisé.

Sécurisation des systèmes embarqués : définition du plan d’actions //

Une fois que l’état des lieux est dressé, il devient pertinent de déterminer les mesures de sécurité à mettre en œuvre pour couvrir les risques cyber identifiés précédemment. Afin de contrer les menaces d’ordre physique et matériel sur un produit, voici quelques exemples de mesures :

  • Verrouillage des interfaces du matériel: Les interfaces de communication et de débogage doivent être protégées par mots de passe voire condamnés à l’aide d’obturateurs/scellés ;
  • Désactivation des fonctions non essentielles du micrologiciel : Des guides de sécurisation et de configuration sont disponibles (cf. guide ANSSI pour la sécurisation d’un système GNU/Linux) ;
  • Fonctions cryptographiques: le démarrage sécurisé (Secure Boot) authentifiera un micrologiciel et l’ajout d’un HSM protègera les secrets cryptographiques ;
  • Politique de mise à jour: Ces MAJ régulières assureront une sécurité efficace face aux dernières menaces avancées (0-day) ;
  • Sauvegardes régulières et PRA : Les sauvegardes sont rappelées en production via un plan de reprise d’activité (PRA). C’est une procédure documentée indispensable définissant les règles de déploiement des sauvegardes ;
  • Ségrégation : Une bonne pratique consiste à fragmenter physiquement les réseaux en fonction des usages. En cas de compromission, seule une partie du système sera impacté et les risques réduits. Si l’isolation n’est pas possible, l’emploi de zones démilitarisées et de diodes réseaux garantiront une ségrégation logique.

Sécurisation des systèmes embarqués : la sécurisation //

cybersécurité_système_embarqué

Toutes les étapes précédentes sont nécessaires afin d’effectuer la phase de sécurisation de manière optimale. Les exigences et mesures de sécurité pourront alors être mises en œuvre selon une procédure et un plan d’actions précis qu’il faut définir en prenant soin de préserver l’écosystème de production.

Pour ce faire :

  1. Déploiement dans un environnement de test: Il est d’usage d’expérimenter les ajouts dans un environnement de test ou de développement afin de garantir le bon fonctionnement du système final une fois sécurisé.
  2. Vérification d’intégration : Il est important de tester la viabilité de toutes les fonctions du système via des tests unitaires dédiés. Certaines pourraient être corrompues ou nécessiteraient d’être adaptées à l’environnement sécurisé.
  3. Simulations d’incidents: Des incidents type cyber pourront être simulés afin de vérifier la bonne intégration et le bon fonctionnement des mesures de sécurité dans les processus de l’entreprise.
  4. Formation des employés : Afin de s’assurer de la bonne gestion des incidents cyber, les employés devront aussi être formés à la bonne conduite des procédures de sécurité dans l’entreprise.

Sécurisation des systèmes embarqués : la veille //

Parce qu’une résolution d’un incident réussie ne garantit pas d’être définitivement à l’abris, il faut rester en veille permanente, en auditant et éprouvant régulièrement sa politique de sécurité et afin de l’adapter si besoin.

Cette surveillance passe notamment par 3 axes :

  • Supervision

Il est conseillé de mettre en œuvre des solutions de gestion centralisée (type SCADA) qui, associés à des systèmes de supervision (SIEM), faciliteront la détection d’incidents et d’alertes de cybersécurité. Les solutions d’IAM et de PKI aideront à la gestion des divers secrets manipulés au sein de votre environnement.

 

  • Sécurité réseau

Les communications, au sein d’un réseau doivent être chiffrées à l’aide d’algorithmes/protocoles sécurisés. Les NIDS/NIPS aident à détecter les attaques réseau et empêchent les exfiltrations de données en cas de défaillances des systèmes de sécurité.

 

  • Audit du système

Faire auditer son système par des professionnels de la cybersécurité ! Non seulement ils apportent un regard extérieur, mais ils permettent également la détection de vulnérabilités potentielles non couvertes, de mieux évaluer le niveau de sécurité des systèmes et de rationaliser les actions cyber à mettre en œuvre. Les audits peuvent prendre diverses formes (organisationnel, technique, web, réseau, code source) suivant une large sélection de mesures de sécurité en s’appuyant sur de nombreux catalogues (ISO-27002, ISO-62433) et guides (ANSSI, CIS) et peuvent permettre de faire certifier vos produits vis-à-vis de normes (ISO-27001, ISO/SAE-21434, ISO/IEC 62443, CC-EAL).

L’expertise unit Cyber //

apside_cybersécurité_expertise_unit

Ces 5 grandes étapes s’inscrivent dans une méthodologie globale et théorique, mais chacune d’entre elle aura un poids et une importance différente selon la nature de chaque organisation. Au sein d’Apside, nous avons une expertise unit dédiée à la cybersécurité qui se tient à la disposition des structures de toutes tailles ayant besoin de conseil pour sécuriser leur système embarqué. N’hésitez pas à prendre contact avec nous via cet email ([email protected]) si vous souhaitez l’avis de nos experts.

A propos de l’auteur : Rémi Viard – Responsable de la division CCIS (Cryptology and Cybersecurity for Industrial Systems) au sein de l’Expertise Unit Cyber du groupe Apside – Responsable et créateur du TAESC’Lab (Laboratoire électronique de tests de pénétration des systèmes industriels et embarqués) – Spécialiste sur les sujets liés à la cybersécurité dans de nombreux secteurs (IT, OT, aérospatiale, Automobile).

Notre Blog par nos experts

Des ressources précieuses pour rester à la pointe de l'information

Rendus 3D - ITIL 4 pour ITSM et ESM
08-04-2024 Expertise

ITIL® 4, pour ITSM et ESM : conduire la transformation des services au travers de toute l’entreprise

ITIL® 4, un cadre de gestion des services informatiques élargi à l'Enterprise Service Management (ESM), favorise la transformation holistique des services à travers toute l'entreprise, en intégrant des principes agiles, Lean et DevOps pour une collaboration efficace et une valeur accrue pour les parties prenantes.

Voir plus
IA dans la formation ?
04-04-2024

L’IA en formation, pour quoi faire ?

Pour les ingénieurs pédagogiques, les formateurs ou encore les concepteurs e-learning, il ne s’agit plus de s’interroger sur la pertinence ou non d’utiliser, l’IA mais bien d’en déterminer les usages pour s’en emparer. L’IA en formation oui, mais pour quoi faire ? Comme cette révolution technologique n’en est qu’à ses débuts, toutes les imaginations voire les fantasmes émergent tant les possibilités semblent illimitées. Cet article, rédigé à la date du 05 avril 2024, se concentre sur les usages pour la formation des GENIA et pour chacun sur quelques outils représentatifs.

Voir plus
Un drone volant au dessus d'un bâtiment avec un ciel bleu en arrière-plan
18-06-2023 Industrie

Tourelle anti-drone : une protection anti-drone autonome, adaptable et abordable

Avec la démocratisation des appareils numériques, les drones deviennent de plus en plus fréquents dans notre paysage et faciles à se procurer.

Voir plus
brett-jordan-lpzy4da9aro-unsplash-scaled-1.jpg
10-05-2023

Comment protéger efficacement la messagerie de votre entreprise

Voir plus
risques_cybersécurité
10-03-2023 Cyber

Cybersécurité : comment mesurer l’exposition d’une organisation aux risques cyber

En 2021, 54% des PME ont fait l’objet d’une cyberattaque (CESIN).

Voir plus
gyrolift-1.png
23-02-2023 Industrie

Apside x Gyrolift : bien plus qu’une solution pour les PMR

La startup Gyrolift, fondée par Lambert Trénoras en 2017, propose un fauteuil roulant électrique composé d’un gyropode et d’un siège présentant la fonction de verticalisation.

Voir plus
personnes en train de travailler devant leur ordinateur, dans un bureau vitré avec vue sur les buildings d'une grande ville
11-02-2023 Partenariats

MAM Sport Santé x Apside : enjeux de la Qualité de Vie et des Conditions de Travail (QVCT)

Depuis plusieurs années, la qualité de vie au travail est devenue, à juste titre, un véritable enjeu pour les entreprises.

Voir plus
habilitation_élec
30-01-2023 Industrie

Retour d'expérience : comment se doter d’une formation habilitation électrique

Dans les métiers de l’électronique ou de l’informatique embarquée, les Apsidiens sont amenés à manipuler des cartes électroniques alors que celles-ci sont alimentées (principalement en très basse tension).

Voir plus
Esaclier en colimaçon menant à un jardin verdoyant
25-10-2022 Engagements

Fresque du Numérique : sensibilisez vos équipes aux enjeux environnementaux du numérique

À l’aube de grands bouleversements environnementaux et sociétaux, la Fresque du Numérique est un serious game d’une demi-journée, qui permet de comprendre les impacts du numérique, et d’être visionnaire pour adapter nos usages digitaux aux besoins d’aujourd’hui et de demain.

Voir plus
Main féminine posée sur un carnet où est écrit lets get started
30-09-2022 Digital Learning

Les enjeux et bénéfices du coaching des nouveaux arrivants

Florence et Jean-Michel, respectivement Responsable du plateau SI à Aix et directeur de projet, ont développé un programme de coaching pour les nouveaux arrivants sur leur plateau.

Voir plus
Découvrir tous nos articles

Newsletter

Les données personnelles recueillies par Apside, en sa qualité de responsable de traitement, à partir de ce formulaire sont nécessaires à l’instruction de votre demande d’information. Elles sont transmises à notre service Communication et à nos équipes commerciales. Il s’agit de vos nom, prénom, téléphone et adresse email. Toutes les conditions applicables à leur traitement sont détaillées dans notre politique confidentialité.

En application du RGPD, vous disposez d’un droit d’information, d’accès, d’opposition, de rectification, de limitation, de suppression et de portabilité sur vos données que vous pouvez exercer en contactant notre Délégué à la Protection des Données :

Soit par email : [email protected]

Soit par courrier : Apside – 58 avenue du Général Leclerc – 92100 Boulogne Billancourt)

Ce Site est également protégé par reCAPTCHA. En donnant, votre consentement pour le traitement du formulaire, vous acceptez également les Conditions de service et Politique de confidentialité de Google