Audit des Risques et Vulnérabilités de vos systèmes embarqués (SAR)

< Retour à la newsletter
De nos jours, la connectivité des équipements industriels n’est plus une fonction optionnelle mais est devenue une exigence incontournable. Mais cette connectivité amène de nouvelles vulnérabilités en termes de sécurité, dont il est difficile d’évaluer l’étendue et les risques.  Au travers de ses experts en sûreté fonctionnelle et cybersécurité et l’offre de service SAR, ISIT est à même d’assurer un audit de sécurité complet de vos logiciels embarqués.

Audit/Revue d’architecture de sécurité produit ou S.A.R. :

La prestation S.A.R (Security Architecture Revue) consiste à effectuer l’évaluation des risques et des vulnérabilités d’un système embarqué connecté face aux cyberattaques. Il s’agit d’un audit sur la conception et l’architecture logicielle du produit, afin de déterminer si  les fonctions fondamentales de sécurité sont assurées. Il ne s’agit pas néanmoins d’une vérification détaillée de la sécurité notamment de tests de pénétration.

L’objectif du service SAR est d’identifier les risques, les vulnérabilités, les vecteurs d’attaques potentiels, d’évaluer les mesures de sécurité implémentées ou manquantes dans le produit et de fournir des recommandations, entre autres,  sur :
  • Les différents types de menaces possibles
  • La réduction des vecteurs/surfaces d’attaque du système
  •  L’architecture logicielle globale et son implémentation
  • Le processus de développement et de codage du logiciel
Cette analyse porte notamment sur l'accès à distance au système, les méthodes d'authentification, le stockage et l'utilisation des informations d'identification de sécurité, les clés de sécurité et des certificats, les techniques de mises à jour du logiciel embarqué, etc. Si cette revue d’architecture de sécurité est focalisée sur ces points cruciaux, une analyse complète de la conception du système sera également effectuée pour envisager des problèmes de sécurité potentiels.

En complèment du S.A.R., nos experts sécurité sont à même de fournir des services supplémentaires tels que :
  •  Évaluation/Elligibilité des périphériques vis-à-vis de recommandations/exigences de sécurité pour des normes telles que la FDA par exemple
  •  Audit et analyse détaillée du code
  • Analyse de sécurité de protocoles de communication (standards ou propriétaires)
  •  Analyse de l’exploitation et des méthodes de déploiements des systèmes.

Méthodologie/Conduite du S.A.R. :

Dépendante de la compléxité du système concerné, toute revue S.A.R. peut être calibrée en fonction de vos besoins, notamment en tenant comptes de vos objectifs et de la profondeur de l’étude de sécurité que vous souhaitez que nos équipes effectuent.

Eléments d’entrées :
  • Documentation utilisateur
  • Documents d'ingénierie, de conception et d'architecture
  •  Documentation sur les normes/règles de codage
  • Politiques et processus de contrôle de gestion du code source
  •   Processus de production
  •  Un produit à tester (définitif ou prototype)
  •  Code source (Optionnel)
Documents produits :
  • Analyse et hypothèses des menaces possibles
  •  Analyse des vecteurs d’attaques
  • Rapport d'architecture de sécurité
  • Rapport d’analyse du processus de codage et de développement
  • Recommandations pour résoudre les problèmes détectés

Bénéfices du S.A.R. :

Une analyse S.A.R. permet de cartographier la « sécurité » d’un système embarqué, d’en connaitre les failles éventuelles et de définir les recommendations. En cybersécurité, cette « cartographie » est très importante car elle permet de prioriser les actions à mener vis-à-vis des risques encourus, afin de les minimiser, voire de les éliminer.

Cela permet également de quantifier l’effort de sécurisation en hiérarchisant les vulnérabilités détectées.
Haut de la pyramide :
Vulnérabilités les plus importantes et facilement exploitables, mais souvent assez simples à regler.

Bas de la pyramide :
Vulnérabilités difficiles à exploiter, mais généralement difficiles à corriger.
Au final le SAR vous permet de réduire les risques encourus par vos systèmes embarqués et de gagner en maturité « sécurité » dans vos processus de développement.

Contactez-nous