formations en surete et securite des systemes : etude d
TRANSCRIPT
OBJETS ET SYSTÈMES
CONNECTÉS :
QUELLES COMPÉTENCES EN
SÛRETÉ ET SÉCURITÉ ?
Présentation du 7 juillet 2015
IRT NANOELEC
Hervé DISSAUX, KATALYSE
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 2
Sureté : Elle permet de garantir la production, la
fiabilité des systèmes et de prévenir les défaillances
sur un système ou une infrastructure physique dans
un mode normal ou dégradé d’utilisation.
Sécurité : C’est l’ensemble des moyens humains,
organisationnels et techniques réunis pour faire face
aux risques d’attaques techniques sur un système ou
une infrastructure.
Prise en compte dans l’étude de la sureté et de
la sécurité
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 3
L’information, actif de plus en plus stratégique pour les
entreprises avec le développement des technologies de
l’information
Information sur le marché et l’environnement économique
(marchés, clients, fournisseurs)
Information sur les clients, les utilisateurs
Secrets industriels, recherche, …
….
La sécurité de l’information se définit comme un dispositif
global garantissant :
Sa disponibilité : garantir que les utilisateurs habilités ont accès
à l'information et aux ressources associées au moment voulu.
Ex. : dossier médical des patients
Son intégrité : sauvegarder l'exactitude et la fidélité d'information
et des méthodes de traitement des données. Ex. : archivage de
données sensibles
Sa confidentialité : garantir que seules les personnes habilitées
peuvent accéder à l´information Ex. : protection des données
bancaires des consommateurs
Sa traçabilité (ou preuve) : permettre un audit de la chaîne de
parcours entre l’émetteur et le destinataire de l’information
Présentation générale et enjeux de la sécurité et
des risques de l’information
Informations de
tiers gérées par
l’entreprise
Informations de
l’entreprise gérées
par l’entreprise
Informations de
tiers gérées par
des tiers
Informations de
l’entreprise gérées
par des tiers
Informations
sensibles
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 4
LES PRINCIPAUX SYSTEMES
TECHNOLOGIQUES ET LES ENJEUX
SURETE/SECURITE
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire
26 milliards d’objets connectés en circulation
aujourd’hui, 50 milliards en 2020 (estimation)
Taille du marché des objets connectés en 2015
60% des revenus 2014 sur les secteurs de l’énergie, la
sécurité et les applications
Objets B2B et B2C sont concernés
Objets des marchés B2B
Exemple: altimètre d’avion désormais connecté
Objets B2C non-connectés auparavant
Exemple : robots de cuisine
Nouveaux objets B2C intelligents
Exemple : montre Apple (Apple Watch)
Objectif: rendre les objets plus performants, plus
évolutifs, plus ergonomiques
5
Les objets connectés et embarqués : un marché
en plein boom
Un environnement très favorable à leur
développement
Une innovation technologique permanente
Démocratisation des technologies : Internet, Smartphones
Amélioration continue des performances: vitesse, mémoire,
complexité des calculs, résistance…
Un double attrait économique
Créer de la valeur par la vente de l’objet
Créer de la valeur par les données recueillies
Une demande sociale
Mode de vie « always on » , connecté 24/24 7/7
Besoin de tout, tout de suite, tout le temps
Des normes et lois balbutiantes
ISO 27001: les fondamentaux de la sécurité
EN 16311: cycle de vie des objets connectés
Une nébuleuse de règles en constante évolution (respect
de la vie privée…)
So
urc
e:G
art
ner,
Xerf
i
Deux uniques freins au développement exponentiel des objets connectés: l’absence d’un standard technologique, économique ou légal
(= référentiel commun) et la trop faible sécurisation des systèmes
26 50 Milliards
$5,7 Milliards
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 6
Des menaces parfois invisibles mais bien réelles
Caractéristiques principales des attaques
So
urc
e:V
eri
zo
n D
ata
Bre
ach
In
vesti
gati
on
s R
ep
ort
, re
trait
em
en
t K
ata
lyse
84%
75%
69%
66%
78%
19%
84% des attaques ne
prennent que quelques
minutes
19% des brèches combinent
plusieurs techniques :
malware, hacking…
75% des attaques sont
opportunistes : les sociétés
n’étaient pas visées explicitement
78% des intrusions ne
demandaient pas ou peu de
compétences techniques
66% des attaques ne sont
pas découvertes avant
plusieurs mois
69% des attaques sont
découvertes par des tiers
Les objets connectés , des cibles idéales…
Un objet = une porte d’entrée sur un réseau de milliers
(millions) de périphériques
Plus la donnée est personnelle, plus elle a de valeur (ID,
géolocalisation, comportement, etc.)
… et très peu protégées
Un cycle de vie des objets pouvant atteindre 10 ans
sans mise à jour de sécurité
Un accès physiques aux objets limité sentiment
erroné d’invulnérabilité baisse de la vigilance
Des composants peu chers, peu sécurisés en réponses
aux exigences de prix et de rapidité du marché
Un danger latent qui deviendra un enjeux crucial
de demain…
Pour autant une faible prise en compte par les
programmateurs et les architectes de système des
carences en sécurité
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 7
Evolution du périmètre de rayonnement d’un
produit
Intelligence développée
Rayonnement PRODUIT
PRODUIT
INTELLIGENT
PRODUIT
INTELLIGENT
CONNECTE
SYSTÈME DE
PRODUITS
INTELLIGENTS
CONNECTES
SYSTÈME DE
SYSTÈMES DE
PRODUITS
INTELLIGENTS
CONNECTES
Syst. De
données
Syst.
D’optimisation
Syst.
D’anticipation Syst.
D’équipements
Syst de
distribution
Syst de
production
Syst de
gestion
Syst.
D’équipements
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 8
Empilement de technologies et conséquences
sur la vulnérabilité globale
Applications de gestion des fonctions à distance de
produit intelligent
Moteurs de règles et d’analyses du comportement du
produit
Plateformes de développement et d’execution
d’applications
Banque des données du produit intelligent
Protocoles de communication réseau
Système d’exploitation intégré et interface utilisateurs
Applications logicielles embarquées
Composants
mécaniques et
électriques
Capteurs et processeurs
Accès à
des
sources
externes
Intégration
systèmes
de gestion
de
l’entreprise
Autres
produits
connectés
Gestion des
authentifications
Sécurisation des
connections
Sécurisation des
moteurs et
applications
Sécurisation des
données et
intégrité
NUAGE PRODUIT
RESEAU
PRODUIT
ECOSYSTEME
ENTREPRISE
IDENTITE ET
SECURITE INFO. EXT.
So
urc
es
: H
BR
20
15
+ e
ntr
eti
en
s K
ata
lys
e
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 9
LES MÉTIERS DE LA SÉCURITÉ ET DE LA
SURETÉ
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 10
Cartographie des différents métiers objets connectés et
embarqués en sureté
Conception
Etude
Informatique
Electronique
Maintenance
Installation
Concepteur / développement
logiciel
Architecte applications
embarquées
Architecte systèmes
embarquées
Spécialiste qualification /
validation
Architecte
plateformes
embarquées
Gestionnaire
de données
Responsable support
/ maintenance
Technicien en
système
mécatronique Concepteur de système
matériel en temps réel
Spécialiste R&D
électrique, électronique ou
mécanique
Expertise
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire
Les métiers de la sécurité, de la gestion des risques de l’information
Internalisé Externalisé
RSSI
Risk manager
Consultant en sécurité des
systèmes d’information
Formateur / instructeur sécurité des
systèmes d’information
Expert connexe
Chargé de la propriété intellectuelle
Juriste
Correspondant informatique et libertés
Chargé d’intelligence économique
Spécialiste en gestion de crise
MSRI
Technicien support « sécurité des systèmes
d’information »
Sé
cu
rité
de
l’in
form
ation
Architecte « sécurité des
systèmes d’information »
Post-auditeur « sécurité des
systèmes d’information »
Intégrateur « sécurité des
systèmes d’information »
Expert en « sécurité des
systèmes d’information »
Expert en test d’intrusion
Analyste cybersécurité
Auditeur « sécurité des systèmes d’information » Ris
qu
es d
e
l’in
form
ation
Au
tres r
isqu
es
Externalisable
Opérateur « sécurité des systèmes d’information »
Développeur « sécurité des systèmes
d’information »
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 12
OFFRE QUALIFIANTE EN SURETE ET
SECURITE
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 13
300 formations… seulement 40 dédiées au risque Sureté et Sécurité
Beaucoup de formations avec une coloration Sureté & Sécurité
• Notamment sur la question de la sureté
• Techniques de sécurisation informatique d’un réseau simple
Vision systémique et des processus industriels (création intégration et exploitation) très faibles
• Faiblesse sur les sujets : modélisation des risques, homologation, scénarisation, reprise suite à attaque…
Nécessité de créer des formations pour professionnaliser et légitimer des métiers d’intelligence
Sureté et Sécurité
• Connaissances techniques
• Egalement compétences transversales : management, gestion de projets, sensibilisation, organisation,
gestion de risque…
Des possibilités de s’inscrire dans de futurs parcours de certification
Panorama des formations
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire
56% (env. 32%
université & 24%
ingénieur)
10%
Formations
universitaires
d’un an
34% (env. 22%
d’universités)
>> 6 000 à 7 000 jours
vendus par an
14
Cartographie des formations abordant la sûreté
et sécurité à différents degrés
Spécialisations Générales
Autres
Sûreté et sécurité
Formations
courtes
privées
Mastères, Mastères
Spécialisés, 3ème
année d’école
d’ingénieur
88% des formations:
Génie électronique
Génie automatique
Génie industriel
Génie mathématiques
Génie informatique
Formations à
coloration
sûreté-sécurité
Bac +5 ingénieur et
universitaire
56% = part des gens formés en sûreté –
sécurité via cette formation
So
urc
e:b
ase d
e d
on
nées
KA
TA
LY
SE
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 15
SECURITE DES
DONNEES
GESTION GLOBALE
DU RISQUE
SECURITE DES
BIENS
EXPLOITATION SI
SECURITE DES
PERSONNES
Cartographie des formations certifiantes
EXPLOITATION DE
DONNEES
▲ ISO 20000 : processus IT
▲ ISO 27005 : risque SI
▲ ISO 27001 (I ou A) : Sécurité de la SI
▲ ISO 22301 : Système de continuité
▲ ISO 31000 : mgt des risques
▲ EBIOS
▲ MEHARI
▲Certification CIL
▲ Tests
▲ Analyse
▲ Tests : GWAPT,
GMON, SEC560,
GPEN, GXPN, GWEB,
GCIH,…
▲ Analyse : FOR610; GNFA, GCFE…
▲ Sécurisation : CCSK, LPIC-3, GCWN, GEC…
▲ Sécurisation ▲ Juridique : ESSJUR de LSTI
▲CISSP
De nombreux standards existants :
Pas de vision métier
Pas de mise en musique
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 16
Les expertises techniques jugées critiques sont maîtrisées (pre-requis informatiques,
compréhension d’une attaque…)
Un manque au niveau des automaticiens et des électroniciens d’une culture de la sécurité
… alors que les compétences transversales (anglais, gestion de projet, gestion des équipes…),
inégalement maîtrisées aujourd’hui dans la filière, sont rarement développées dans les
formations.
Les aspects de réglementation, de méthodologie projet (conception, test…) et d’appréhension du
produit ou de la structure dans sa globalité (modélisation des risques, homologation,
scénarisation, reprise suite à attaque…) restent peu maîtrisés et difficiles à trouver sur le marché
de l’emploi.
Formation interne et tutorat des entreprises
Un manque constaté également sur des profils multi compétences :
Possibilité de trouver des experts par domaine, mais peu de profils conjuguant des compétences et
expertises : or ce sont eux qui sont le plus à même d’appréhender les problématiques produit (conception /
exploitation) en sureté et sécurité dans leur ensemble.
Profils multi compétences qui prendront par la suite la gestion et la responsabilité de structures
Compétences en sureté et sécurité dans les
formations
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 17
Améliorer la sureté des processus et des structures
Concevoir des solutions avec une approche Sécurité & Sureté
Améliorer la phase de test des produits dans une logique Sécurité & Sureté
Auditer la sécurisation des systèmes d’information impactés par l’utilisation des objets
connectés
Superviser l’exploitation et organiser la réaction en cas d’incident
Développer les postes de responsable de la sécurité et du management des risques de
l’information
Former et sensibiliser les utilisateurs des systèmes
Des pistes de parcours de compétences pour la
filière des objets connectés
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire
Présentation de KATALYSE
Cabinet de conseil en stratégie, dédié au développement des entreprises et des territoires
18
Eléments clés
Création en 1990 par Jean-François LECOLE et l’équipe de
conseil aux PME du BIPE
SA au capital de 575 K€, détenu par les consultants
CA 2014 : 3 M€
25 coéquipiers permanents
45 partenaires (experts sectoriels et experts-métiers)
Qualifié OPQCM
Membre de l’Association des Conseils en Innovation
Expérience acquise auprès de plus de 500 clients
PME et ETI
Fonds d’investissement
Grandes entreprises
Pôles de compétitivité et clusters
Collectivités publiques
Forte présence régionale
Fondateur d’un réseau de cabinets de conseil en
stratégie européen
Annexes
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 19
Katalyse, le sens de l’engagement
Équipe de 23 consultants issus des meilleures Ecoles de management et d’ingénieurs
Actionnariat salarié favorisé (15 salariés actionnaires actuellement)
PDG Dr Paris Dr Lyon Dr Nantes Dr Toulouse
Consultants Managers
Consultants Seniors
Consultants Consultants Juniors
Dr Strasbourg
IRT NANOELEC Objets et systèmes connectés : quelles compétences en sûreté et sécurité ? Présentation séminaire 20
Hervé DISSAUX, Consultant Manager Associé
KATALYSE
11 rue guilloud
69003 Lyon
Tel : 04 72 68 08 08
Mail : hdissaux à katalyse.com