Ouvrir le menu Fermer le menu

Audit des Risques et Vulnérabilités de vos systèmes embarqués (SAR)

Audit des Risques et Vulnérabilités de vos systèmes embarqués (SAR)

De nos jours, la connectivité des équipements industriels n’est plus une fonction optionnelle mais est devenue une exigence incontournable. Mais cette connectivité amène de nouvelles vulnérabilités en termes de sécurité, dont il est difficile d’évaluer l’étendue et les risques.

Grâce à ses experts en sûreté fonctionnelle et cybersécurité, combiné à l’offre de service SAR, ISIT est à même d’assurer un audit de sécurité complet de vos logiciels.

S.A.R. - Objectifs :


L’objectif du service SAR est d’identifier les risques, les vulnérabilités, les vecteurs d’attaques potentiels, d’évaluer les mesures de sécurité implémentées ou manquantes dans le produit et de fournir des recommandations, entre autres, sur :

  • Les différents types de menaces possibles
  • La réduction des vecteurs/surfaces d’attaque du système
  • L’architecture logicielle globale et son implémentation
  • Le processus de développement et de codage du logiciel

Audit/Revue d’architecture de sécurité produit ou S.A.R. :


La prestation S.A.R (Security Architecture Revue) consiste à effectuer l’évaluation des risques et des vulnérabilités d’un système embarqué connecté face aux cyberattaques. Il s’agit d’un audit sur la conception et l’architecture logicielle du produit, afin de déterminer si  les fonctions fondamentales de sécurité sont assurées. Il ne s’agit pas néanmoins d’une vérification détaillée de la sécurité notamment de tests de pénétration.

Cette analyse porte notamment sur l'accès à distance au système, les méthodes d'authentification, le stockage et l'utilisation des informations d'identification de sécurité, les clés de sécurité et des certificats, les techniques de mises à jour du logiciel embarqué, etc. Si cette revue d’architecture de sécurité est focalisée sur ces points cruciaux, une analyse complète de la conception du système sera également effectuée pour envisager des problèmes de sécurité potentiels.

En complément du S.A.R (Security Architecture Revue), nos experts sécurité sont à même de fournir des services supplémentaires tels que :

  • Évaluation/Eligibilité des périphériques vis-à-vis de recommandations/exigences de sécurité pour des normes telles que la FDA par exemple
  • Audit et analyse détaillée du code
  • Analyse de sécurité de protocoles de communication (standards ou propriétaires)
  • Analyse de l’exploitation et des méthodes de déploiements des systèmes.

Méthodologie/Conduite du S.A.R. 


Dépendante de la complexité du système concerné, toute revue S.A.R. peut être calibrée en fonction de vos besoins, notamment en tenant comptes de vos objectifs et de la profondeur de l’étude de sécurité que vous souhaitez que nos équipes effectuent.

Eléments d’entrées :

  • Documentation utilisateur
  • Documents d'ingénierie, de conception et d'architecture
  • Documentation sur les normes/règles de codage
  • Politiques et processus de contrôle de gestion du code source
  • Processus de production
  • Un produit à tester (définitif ou prototype)
  • Code source (Optionnel)

Documents produits :

  • Analyse et hypothèses des menaces possibles
  • Analyse des vecteurs d’attaques
  • Rapport d'architecture de sécurité
  • Rapport d’analyse du processus de codage et de développement
  • Recommandations pour résoudre les problèmes détectés

Bénéfices du S.A.R (Security Architecture Revue) :


Une analyse S.A.R (Security Architecture Revue) permet de cartographier la « sécurité » d’un système embarqué, d’en connaitre les failles éventuelles et de définir les recommandations. En cybersécurité, cette « cartographie » est très importante car elle permet de prioriser les actions à mener vis-à-vis des risques encourus, afin de les minimiser, voire de les éliminer.

Cela permet également de quantifier l’effort de sécurisation en hiérarchisant les vulnérabilités détectées.
Au final le S.A.R (Security Architecture Revue) vous permet de réduire les risques encourus par vos systèmes embarqués et de gagner en maturité « sécurité » dans vos processus de développement.

Moyens/Procédure 

Eléments d’entrées :

  • Documentation utilisateur
  • Documents d'ingénierie, de conception et d'architecture
  • Documentation sur les normes/règles de codage
  • Politiques et processus de contrôle de gestion du code source
  • Processus de production
  • Un produit à tester (définitif ou prototype)
  • Code source (Optionnel)

Résultats

  • Analyse et hypothèses des menaces possibles
  • Analyse des vecteurs d’attaques
  • Rapport d'architecture de sécurité
  • Rapport d’analyse du processus de codage et de développement
  • Recommandations pour résoudre les problèmes détectés