SecurityInsider
Le blog des experts sécurité Wavestone

CARA : les 4 dimensions de la sécurité des objets connectés (présentation GSDays 2015)


Les objets connectés envahissent notre quotidien et cela est parti pour durer ! Au-delà des aspects grand public, les objets connectés s’invitent également dans les entreprises par les usages des collaborateurs mais aussi et surtout par leur intégration dans les processus métier.

Nous avons réalisé, en 2014, des interventions sur ce thème dans l’énergie, le transport, le jeu en ligne et la banque, qui nous ont permis de consolider des retours d’expérience concrets. Dans ce cadre, nous avons identifié 4 dimensions de risques en fonction de situations d’usage que nous avons regroupées sous l’acronyme « CARA » : Concevoir, Acquérir, Recommander, et Accueillir. Ces 4 situations génèrent des facettes de risques spécifiques qui se complètent et se recoupent.

Lors des GSDays 2015, Gérôme Billois et Chadi Hantouche ont réalisé une présentation sur ce thème afin de dresser un panorama des risques spécifiques à chacune de ces dimensions puis ils ont exposé une méthode d’identification des risques dans un contexte métier particulier (« heat map »).  Afin de concrétiser les contres-mesures possibles, les différents modèles de sécurité des smartwatches majeures du marché ont également été exposés.

La présentation disponible ci-dessous traite les points suivants :
  • Les objets connectés au cœur de la transformation numérique : panorama des usages et d’expérimentations dans l’automobile, l’énergie, la banque et l’assurance.
  • Les 4 dimensions de risques des objets connectés via l’approche CARA : identification des 4 dimensions (Concevoir, Acquérir, Recommander, et Accueillir) et présentation des risques spécifiques à chacune de ces dimensions.
  • Un exemple de modélisation des risques des objets connectés : exposition d’une méthodologie de modélisation des risques (« heat map ») et détail sur le domaine de la banque.
  • Les mesures à implémenter : présentation des mesures précises à prioriser pour chacune des dimensions d’un point de vue organisationnel et technique.
  • Déclinaison concrète sur les smartwatches : présentation des modèles de sécurité de fournisseurs majeurs (Google Android Wear, Apple Watch…) et les fonctions de sécurité complémentaires activables.


Gérôme BILLOIS
Chadi HANTOUCHE

Aucun commentaire:

Enregistrer un commentaire