Tests de sécurité IoT
Sécurisez vos produits connectés de bout en bout, du silicium à l'API cloud. Identifiez les vulnérabilités du matériel, du firmware, des applications mobiles, de l'infrastructure cloud et des protocoles de communication avant les attaquants.
Notre processus de test de sécurité IoT
1. Cadrage
Définir l'appareil, les interfaces et la surface d'attaque
2. Évaluation
Tests manuels sur le matériel, le firmware, le réseau et le cloud
3. Reporting
Constats détaillés avec notation des risques et preuve d'impact
4. Remédiation
Recommandations actionnables et préconisations de conception sécurisée
5. Nouveau test et vérification
Valider les correctifs et émettre un certificat d'attestation
Aperçu
La sécurité IoT est la pratique consistant à protéger les appareils connectés et les réseaux par lesquels ils communiquent, couvrant le matériel physique, le firmware qui s'y exécute, les liaisons radio et réseau qu'il utilise, ainsi que les applications compagnons et les services cloud avec lesquels il dialogue. Les tests de sécurité IoT évaluent les appareils connectés sur l'ensemble de leur écosystème, y compris le matériel, le firmware, les communications sans fil et réseau, les applications compagnons et les API cloud.
Méthodologie et standards
Chaque engagement débute par une phase de cadrage qui définit l'ensemble de la surface d'attaque couvrant le matériel, le firmware, la radio, l'application compagnon et le cloud, afin que les interfaces et normes appropriées soient convenues avant le début des tests. Le travail est aligné sur l'OWASP IoT Top 10, l'OWASP IoT Security Testing Guide (ISTG) et l'OWASP Firmware Security Testing Methodology (FSTM), mappés à l'ETSI EN 303 645 pour l'EU CRA et le UK PSTI.
Ce qui est inclus
Types de tests
Test d'intrusion IoT
Exploitation pratique couvrant l'appareil, ses radios, les applications compagnons et les API cloud afin de prouver comment des chemins d'attaque réels s'enchaînent.
Modélisation des menaces
Analyse structurée de l'architecture de l'appareil, des flux de données et des frontières de confiance afin d'identifier où il est le plus susceptible d'être attaqué et de prioriser les tests en conséquence.
Analyse du firmware
Extraction et rétro-ingénierie du firmware pour mettre au jour les identifiants codés en dur, les mécanismes de mise à jour non sécurisés, les services exposés et les composants connus comme vulnérables.
Ce que vous recevez
Questions fréquentes
Oui, idéalement deux ou trois unités afin que nous puissions tester les interfaces matérielles, extraire le firmware et conserver une référence, ainsi que les applications compagnons et les détails du cloud.
Oui. Nos résultats et lettres d'attestation se mappent directement à l'ETSI EN 303 645, la norme technique qui sous-tend à la fois l'EU Cyber Resilience Act et le régime UK Product Security and Telecommunications Infrastructure. Le rapport peut servir de preuve à l'appui dans votre processus de conformité ou d'évaluation de conformité, vous offrant une base documentée et indépendante pour vos déclarations de sécurité.
Nous commençons par une session de cadrage et de modélisation des menaces qui cartographie l'ensemble de la surface d'attaque de l'appareil (interfaces matérielles, firmware, protocoles sans fil, applications compagnons et API cloud) et identifie les frontières de confiance les plus susceptibles d'être visées. À partir de là, nous convenons des interfaces, radios et normes incluses dans le périmètre, afin que les tests se concentrent sur les chemins présentant un risque réel pour votre produit. Vous recevez le périmètre et la surface d'attaque par écrit avant le début de tout test.