Une approche basée modèles combinant les analyses de risque dysfonctionnelles et la cybersécurité

La cybersécurité est devenue une composante majeure des analyses de risques pour les systèmes embarqués, notamment dans les transports, la défense, l’énergie. Elle s’associé avec d’autres analyses de risque notamment les analyses dysfonctionnelles.

L’ensemble de ces analyses peuvent être réalisées à partir de modèles d’architecture conçus par les ingénieurs systèmes s’appuyant sur des outils basés modèles.

Ansys, avec la solution medini présentera comment réaliser ces analyses dans une plateforme unique, en support des normes ISO26262, IEC 61508, ARP4761 et ISO21434, D0 356.

Enforcing security legislation compliance in IoT applications

Let’s face it: good security is hard, but the new legislation for IoT security and privacy rapidly being introduced globally will force you implement security.  You probably already know that governments in Europe, UK and US are at the forefront of IoT device security and have many requirements that devices must meet in order to be sold.  You may think that injecting security into an existing product can be costly and hard, but there are practical ways to improve security throughout your product’s lifecycle.  We will show you how to jump-start your road to developing secure devices by introducing you to the 13 Best Practices of IoT security and how they can be easily implemented in your application.

The 13 best practices include no default passwords, a secure update mechanism, end-of-life policies clearly communicated to customers, and more.  While the legislation globally is evolving, we know that it will include steps similar to the 13 best practices.  Once you have these implemented, it is easily possible to adapt to whatever additional requirements that may be imposed by European EN 303645 and the evolving US Cybersecurity Improvement Act (NISTIR 8259).

Securyzr integrated Security Services Platform (iSSP) : Protection des IoT tout au long de leur cycle de vie

Comme les deux lames d’une épée à double tranchant, la connectivité des objets connectés offre donc à la fois inconvénients et avantages. Pour intégrer ces considérations dans une politique de sécurité globale, il s’agit d’une part, de définir clairement les services déployés et leur protection, et d’autre part, de les faire valider dans le cadre d’une démarche de certification.

La gestion des services de sécurité des IoT connectés fait appel à différentes fonctions. La première est la “programmation initiale”, à savoir l’injection des premières clés et logiciels, dans le respect de leur confidentialité et leur authenticité. Cette première étape “instancie” véritablement l’IoT comme racine de confiance. Sur cette base, peuvent se déployer essentiellement deux services. Le premier est la descente d’information et/ou de mises à jour depuis une plateforme “cloud” débarquée, qui rend possible le maintien, voire même le renforcement de la sécurité. Le second est la remontée d’incidents de sécurité, permettant, du côté “cloud”, d’assurer une veille active de sécurité. Ces deux services peuvent être rendus pour la plateforme IoT ou pour les applications qu’elle héberge.

Concernant la certification, les schémas se mettent en place pour permettre une évaluation ouverte. Mentionnons la norme EN ETSI 303 645 (Cyber Security for Consumer Internet of Things) en Europe ou la norme NIST SP 800 193 (Firmware Resiliency) aux États-Unis. En termes de marchés verticaux, les considérations de gestion distante sont explicitées dans la clause 13 du standard ISO/SAE 21434 pour les véhicules, dans l’IEC 62443-4-2 pour les applications de type “industrial IoT”.

Aujourd’hui, Secure-IC propose “integrated Security Services Platform” (iSSP), une solution qui  permet de configurer, déployer et de gérer une flotte d’iSE depuis le cloud, sous forme de SaaS ou d’une application logicielle à installer sur les infrastructures du client.

How to improve cybersecurity robustness with intrusion detection system in automotive

La cybersécurité est un élément important qui ouvre la voie à la connectivité des véhicules. Par le passé, l’industrie automobile a déployé des efforts considérables pour doter les architectures E/E des véhicules de mécanismes de sécurité. Par exemple, les mises à jour logicielles signées, le démarrage des calculateurs sécurisé et la communication embarquée (inter-ECU) sécurisée sont de plus en plus répandus.

Aujourd’hui, les systèmes de détection d’intrusion (IDS) attirent l’attention des constructeurs et des équipementiers automobiles en tant que mécanisme de sécurité supplémentaire. Bien que la détection d’intrusion soit un mécanisme de sécurité connu et couramment utilisé depuis longtemps dans les systèmes informatiques classiques, ces mécanismes n’ont pas fait l’objet d’un déploiement massif dans le monde automobile jusqu’à maintenant.

Deliver Secure, Embedded Solutions with DevSecOps and Static Code Analysis

Embedded software powers critical functions in products that support applications such as industrial, manufacturing, medical, automotive, aerospace, military and defense. In these cases, device failure from software defects is not an option. Ensuring quality, security and safety of these systems, devices and controls must start and span the entire software development lifecycle (SDLC). Establishing a DevSecOps process that integrates and automates static application security testing (SAST) into the SDLC is an effective and efficient strategy.

In this session, you will learn best practices for:

Implementing quality, safety and security testing at every step of the SDLC

Integrating SAST into CI/CD pipelines to achieve DevSecOps success

Applying industry standards for critical safety and security (i.e. AUTOSAR, MISRA, ISO, IEC, BSA, FDA, JPL, etc.) at every step of the way

Accelerating development projects by analyzing code and fixing defects early

Harmonisation mondiale des attentes de sécurité pour les systèmes industriels avec l’IEC 62443

Depuis maintenant plusieurs années, la cybersécurité des systèmes industriels n’est plus une option. L’ensemble des acteurs de la chaine de fourniture, du fabricant à l’opérateur en passant par l’intégrateur, ont conscience de l’importance et de l’étendue du sujet. Les menaces évoluent rapidement, le profil des attaquants se diversifie et les campagnes d’attaques deviennent de plus en plus sophistiquées. Si ce tableau est globalement connu et admis aujourd’hui, il convient de coordonner les stratégies afin d’offrir une réponse efficace aux menaces courantes et à venir.

La plupart des normes de sécurité se concentrent sur le produit lui–même : c’est le point d’attention obligatoire pour adresser le sujet de la cybersécurité d’un système industriel et il est porté majoritairement par le fabricant. Malheureusement, cela ne suffit plus face aux menaces actuelles : l’intégration de multiples produits impliquent des communications qui doivent être intégrées dans le modèle de cyber défense. Aussi, l’opération de ces systèmes doit se faire dans des conditions établies afin de ne pas dégrader les niveaux de protection en place sur les équipements déployés. Comment assurer une défense en profondeur des systèmes industriels en intégrant l’ensemble des acteurs (fabricant, intégrateur, opérateur) ?

L’IEC 62443 adresse cette problématique, tout en offrant de la flexibilité sur les niveaux de sécurités visés.