Appel à soumissions - complet

Contenu de cette pages

Thème

Il y a une tendance à déployer de plus en plus de traitement de l’information vers les bords des systèmes d’information, à proximité des sources et des puits de données, et des utilisateurs finaux [31]. En 2018, Gartner a évalué que 10% des “données générées par l’entreprise sont créées et traitées en dehors d’un centre de données centralisé traditionnel ou d’un cloud” [55], et a prédit en 2021 que ce nombre passerait à 50% en 2025 [63] (qu’il prévoyait à l’origine à 75 % dans son rapport de 2018 [55]) tandis que le nombre d’appareils IoT triplera [63] ou quadruplera [23] entre 2020 et 2030 atteignant “plus de 15 milliards d’appareils IoT [qui] se connecteront à l’infrastructure de l’entreprise d’ici 2029” [23] (IoT analytics prévoit même 27 milliards d’appareils IoT connectés en 2025 [38]]). Les raisons de cette tendance sont diverses, parmi lesquelles : améliorer la latence, soulager la bande passante du réseau d’une partie de l’énorme quantité de données générées et apporter une certaine autonomie aux utilisateurs finaux interagissant à la périphérie du système d’information. Cette tendance existe dans le monde civil, et notamment dans l’industrie avec le concept spécifique d’Industrial IoT (IIoT) [86] [81] [52] [80], mais aussi dans le militaire avec les concepts de l’Internet of Battle Things (IoBT) [49] [78] [2] ou Internet of Military Things (IoMT) [87] [18], qui visent en partie à accroître l’exploitation des informations locales [73] [57] [58]. Pour développer ces concepts dans le domaine militaire, entre autres initiatives, l’Internet of Battlefield Things Collaborative Research Alliance (IoBT-CRA) [70] [1] [89] a été créé en 2017 pour une durée de 10 ans.

Dans cet appel, les appareils gérant ces calculs périphériques sont appelés Smart Peripheral Devices (SPD). Ces SPD sont assez différents et ont plus de variabilité que les appareils trouvés dans le “cœur” des systèmes d’information (serveurs, ordinateurs de bureau et ordinateurs portables). Ils vont : d’appareils quelque peu coûteux et puissants, tels que les smartphones ou les équipements de communication des véhicules militaires [58] ; aux appareils à faible consommation et à faible coût, tels que les appareils portables jetables ou les récipients jetables [54] [25] ; via des appareils Internet des objets (IoT) [88] et certains appareils Edge Computing légers [85]. Bien qu’assez différents, les SPD partagent certaines caractéristiques : ils résident à la périphérie du système et sont plus susceptibles d’être perdus et volés ; ils doivent respecter des contraintes spécifiques limitant les ressources qu’ils peuvent utiliser ; ils s’exécutent sur du matériel spécifique généralement introuvable dans les périphériques “de base” ; ils utilisent des technologies de connexion absentes du cœur du système pour communiquer avec le cœur et entre eux ; ils gèrent directement certains traitements de l’information, indépendamment du cœur du système ; ils doivent permettre des déconnexions « temporaires » du cœur, tout en continuant à fonctionner correctement ; et ils ne sont pas visibles et surveillés en permanence par le cœur du système d’information.

Ces spécificités soulèvent certaines inquiétudes quant à leur résistance aux attaques de cybersécurité [20] [21] [61] [8] [77] [9] [37] [50] [26] [53] [5] [79], et même la confiance que l’on peut accorder à leur chaine d’approvisionnement [72]. Comme l’indique Verizon for IoT [83], mais s’appliquant à tous les SPD, “un [SPD] peut être un vecteur d’attaque (un point faible qui peut être exploité pour monter une attaque), un véhicule d’attaques ( comme une partie d’un botnet utilisé pour mener une attaque par déni de service distribué (DDoS)) ou une cible à part entière ». Par exemple, le botnet Mirai [4] a infecté de nombreux appareils IoT et a été utilisé pour attaquer de nombreux autres systèmes. Les mobiles sont également une cible intéressante pour les attaquants [74] [90] [14] [67]. Sur une période d’un an, la moitié des entreprises récemment interrogées par Verizon ont subi une compromission impliquant un appareil mobile [83] ; pour la moitié des entreprises concernées, les applications étaient concernées (en 2021, le pourcentage d’organisations connaissant l’installation d’un malware sur un appareil distant a doublé [43]) ; et la moitié des PME qui ont subi un piratage lié au mobile ont déclaré que cela avait eu un impact majeur. Les attaquants conçoivent des applications et des campagnes de phishing spécifiquement pour les mobiles [83], et s’ils le font, c’est parce qu’il y a un avantage à le faire. En conséquence, plus de 8 entreprises sur 10 ont un budget spécifique pour la sécurité mobile [83]. L’année dernière C&ESAR a abordé le concept de Zero Trust, entre autres. Du point de vue de la sécurité du cœur du système d’information, un SPD peut être déconnecté si le cœur a perdu confiance en lui. Cependant, les fonctionnalités portées par ce SPD seront également perdues. Il est donc important de pouvoir sécuriser ces SPDs.

Cependant, les technologies et méthodologies de cybersécurité appliquées au cœur des systèmes d’information ne sont pas nécessairement directement applicables aux SPDs. Adapter les solutions standard Endpoint Detection and Response (EDR) à la grande variété de SPD et les intégrer au cœur du système informatique SIEM n’est pas une tâche simple. Les technologies spécifiques utilisées pour les SPD peuvent contenir des faiblesses et des vulnérabilités différentes de celles des technologies du système de base [84] [76]. Assurer la cybersécurité des SPDs peut également nécessiter des méthodologies spécifiques [51].

Par exemple, les SPD utilisent des technologies spécifiques dans leur pile de traitement (matériel et logiciel). Parmi les différents matériels utilisés, ils s’appuient plus couramment sur les plates-formes et technologies ARM. Ces matériels et environnements de déploiement ont des caractéristiques spécifiques impactant leur cybersécurité [6] [75]. Parmi les différents supports matériels de sécurisation des SPD [39], on peut citer Secure Elements (SE) [11] ou Tusted Execution Element (TEE). Les SPD utilisent également des systèmes d’exploitation spécifiques, comme Android et iOS pour les smartphones [91] [35]. Et, pour certains d’entre eux, ils permettent aux utilisateurs finaux (espérons-le l’administrateur de l’appareil) d’extraire des charges utiles de calcul à partir de magasins d’applications peuplés de logiciels provenant de sources diverses, parfois obscures. La faible confiance dans le niveau de cybersécurité de ces magasins d’applications a poussé certaines institutions telles que Google à lancer des initiatives pour améliorer la situation [36] ou à lancer des projets visant à normaliser les exigences de cybersécurité pour ces applications [62] [42]. Cet état de fait concernant le faible niveau de cybersécurité des applications mobiles pousse à des améliorations indispensables [16].

Les SPD utilisent également différentes technologies pour se connecter au cœur du système d’information et pour se connecter entre eux. Une technologie prometteuse est la 5G [46] [7] [44] [38] [40], et la 6G à l’avenir [24] [3]. Cependant, cette technologie, ainsi que les autres, ont soulevé des inquiétudes en matière de cybersécurité parmi les chercheurs [10], les institutions [22] [28] [27] [60] [59] [32] [65] [69] et l’industrie [66] [41]. Par exemple, même la spécification de Bluetooth contient des vulnérabilités [19] [13] [12]. L’environnement de déploiement et la capacité des SPD à créer des connexions d’appareil à appareil se traduisent par des réseaux, tels que des réseaux ad hoc ou maillés, ayant des formes différentes et se comportant différemment des réseaux de système d’information de base, et ayant des problèmes de cybersécurité spécifiques.

Pour sécuriser les communications dans ces réseaux, les SPD peuvent s’appuyer sur la cryptographie. Cependant, le faible niveau de support d’infrastructure que certains d’entre eux reçoivent et la faible puissance de calcul dont disposent certains d’entre eux peuvent nécessiter des solutions cryptographiques spécifiques, telles que la cryptographie légère [34] ou des protocoles d’accord de clés spécifiques [56].

Un autre défi des SPDs est leur déploiement « loin » du cœur du système d’information, et avec une connexion intermittente à celui-ci. Ce paramétrage empêche la mise en place de politiques de sécurité centrées sur le cœur du système d’information. Les SPD nécessitent des politiques de sécurité spécifiques qui nécessitent des moyens spécifiques pour le déploiement, la gestion et l’application. Ces moyens doivent être sécurisés en eux-mêmes afin d’éviter que des attaquants ne les exploitent pour prendre le contrôle des SPDs gérés.

Enfin, le déploiement périphérique des SPD, leur proximité avec les sources d’informations et leur dépendance commune à la collecte d’informations impliquent des préoccupations concernant les questions de confidentialité et de protection des données [33] [45] [48] [47]. En conséquence, les décideurs politiques ont publié des lois et réglementations spécifiques et génériques qui s’appliquent aux SPDs [64] [82] [68] [15] [17] [71] [29] [30].

Références

[1]
T. Abdelzaher, Alliance for IoBT Research on Evolving Intelligent Goal-driven Networks (IoBT REIGN),” University of Illinois at Urbana-Champaign, Website, 2022. [Online]. Available: https://iobt.illinois.edu/.
[2]
T. Abdelzaher et al., Toward an Internet of Battlefield Things: A Resilience Perspective,” Computer, vol. 51, no. 11, pp. 24–36, Nov. 2018, doi: 10.1109/MC.2018.2876048.
[3]
C. D. Alwis et al., Survey on 6G Frontiers: Trends, Applications, Requirements, Technologies and Future Research,” IEEE Open Journal of the Communications Society, vol. 2, pp. 836–886, 2021, doi: 10.1109/OJCOMS.2021.3071496.
[4]
M. Antonakakis et al., Understanding the Mirai Botnet,” in Proc. USENIX security symposium, 2017, pp. 1093–1110, [Online]. Available: https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/antonakakis.
[5]
M. Aqeel, F. Ali, M. waseem Iqbal, T. Rana, M. Arif, and M. Auwul, A Review of Security and Privacy Concerns in the Internet of Things (IoT),” Journal of Sensors, vol. 2022, pp. 1–20, Sep. 2022, doi: 10.1155/2022/5724168.
[6]
Arrow, Hardware Security for IoT Devices and Types of Hardware Security Attacks,” Arrow, Technical article, 2020. [Online]. Available: https://www.arrow.com/en/research-and-events/articles/understanding-the-importance-of-hardware-security.
[7]
H. Attar et al., 5G System Overview for Ongoing Smart Applications: Structure, Requirements, and Specifications,” Computational Intelligence and Neuroscience, pp. 1–11, Oct. 2022, doi: 10.1155/2022/2476841.
[8]
H. Awan, Mobile Security Threats Prediction for 2023,” efani, 2022. [Online]. Available: https://www.efani.com/blog/mobile-threats-prediction-2023.
[9]
P. S. Bangare and K. P. Patil, Security Issues and Challenges in Internet of Things (IOT) System,” in Proc. Advance Computing and Innovative Technologies in Engineering (ICACITE), 2022, pp. 91–94, doi: 10.1109/ICACITE53722.2022.9823709.
[10]
D. Basin, J. Dreier, L. Hirschi, S. Radomirovic, R. Sasse, and V. Stettler, A Formal Analysis of 5G Authentication,” in Proc. Computer and Communications Security (CCS), 2018, pp. 1383–1396, doi: 10.1145/3243734.3243846.
[11]
E. Bernard-Moulin, Protect your IoT device with hardware-based Secure Elements,” IC’ALPS, Blog post, 2021. [Online]. Available: https://www.icalps.com/news/blog_post/embedded-security-iot/.
[12]
Bluetooth SIG, Inc., Bluetooth SIG Statement Regarding the ‘Pairing Mode Confusion in BLE Passkey Entry’ Vulnerability,” Bluetooth SIG, Inc., Dec. 2022. [Online]. Available: https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/confusion-in-ble-passkey/.
[13]
Bluetooth SIG, Inc., Bluetooth SIG Statement Regarding the ‘Pairing Mode Confusion in BR/EDR’ Vulnerability,” Bluetooth SIG, Inc., Dec. 2022. [Online]. Available: https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/confusion-in-br-edr/.
[14]
C. Brown et al., Assessing Threats to Mobile Devices & Infrastructure: The Mobile Threat Catalogue,” National Institute of Standards; Technology (NIST), NIST Interagency Report 8144, Sep. 2016. Draft.
[15]
I. Brown, Regulation and the Internet of Things. Oxford Internet Institute, 2015.
[16]
Build38, Mobile application security trends for 2023,” Build38, Blog post, 2022. [Online]. Available: https://build38.com/trends-app-protection-2023/.
[17]
California Senate, California Senate Bill No. 327,” California Senate, Sep. 2018. Référence 209 dans la page wikipedia sur IoT.
[18]
L. Cameron, Internet of Things Meets the Military and Battlefield: Connecting Gear and Biometric Wearables for an IoMT and IoBT,” IEEE Computer Society, 2018.
[19]
CERT-FR, Multiples vulnérabilités dans Bluetooth Core Specification,” ANSSI, Avis du CERT-FR CERTFR-2022-AVI-1107, Dec. 2022. [Online]. Available: https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1107/.
[20]
Check Point, Mobile Security Report 2021,” Check Point Software Technologies Ltd., Apr. 2021. [Online]. Available: https://resources.checkpoint.com/cyber-security-resources/mobile-security-report-2021.
[21]
Check Point, Mobile Security Trends in 2022,” Check Point Software Technologies Ltd., Blog Post, 2022. [Online]. Available: https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-mobile-security/mobile-security-trends-in-2022/.
[22]
CISA, 5G Security and Resilience,” Cybersecurity; Infrastructure Security Agency (CISA), Website, 2023. [Online]. Available: https://www.cisa.gov/5g.
[23]
K. Costello, Gartner Predicts the Future of Cloud and Edge Infrastructure,” Gartner, Inc., Article, 2021. [Online]. Available: https://www.gartner.com/smarterwithgartner/gartner-predicts-the-future-of-cloud-and-edge-infrastructure.
[24]
S. Dang, O. Amin, B. Shihada, and M.-S. Alouini, What should 6G be? Nature Electronics, vol. 3, no. 1, pp. 20–29, Jan. 2020.
[25]
DARPA Staff, Ocean of Things Aims to Expand Maritime Awareness across Open Seas,” DARPA, Dec. 2017. [Online]. Available: https://www.darpa.mil/news-events/2017-12-06.
[26]
P. Delgado-Santos, G. Stragapede, R. Tolosana, R. Guest, F. Deravi, and R. Vera-Rodriguez, A Survey of Privacy Vulnerabilities of Mobile Device Sensors,” ACM Computing Surveys, vol. 54, no. 11s, pp. 1–30, Jan. 2022, doi: 10.1145/3510579.
[27]
Enduring Security Framework (ESF) working group, ESF Potential Threats to 5G Network Slicing,” National Security Agency (NSA), the Cybersecurity; Infrastructure Security Agency (CISA),; the Office of the Director of National Intelligence (ODNI), Guidance, Dec. 2022. [Online]. Available: https://www.cisa.gov/5g-library.
[28]
Enduring Security Framework (ESF) working group, Potential Threat Vectors to 5G Infrastructure,” National Security Agency (NSA), the Cybersecurity; Infrastructure Security Agency (CISA),; the Office of the Director of National Intelligence (ODNI), Apr. 2021. [Online]. Available: https://www.cisa.gov/5g-library.
[29]
ETSI, Cyber Security for Consumer Internet of Things: Baseline Requirements,” ETSI, European Standard EN 303 645, Jun. 2020. Version 2.1.1. [Online]. Available: https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf.
[30]
ETSI, Guide to Cyber Security for Consumer Internet of Things,” ETSI, Technical Report 103 621, Sep. 2022. Version 1.2.1. [Online]. Available: https://www.etsi.org/deliver/etsi_tr/103600_103699/103621/01.02.01_60/tr_103621v010201p.pdf.
[31]
European Commission, Europe’s Internet of Things Policy,” European Commission, Webpage, 2022. [Online]. Available: https://digital-strategy.ec.europa.eu/en/policies/internet-things-policy.
[32]
European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security,” European Union (EU), Press release, 2019. [Online]. Available: https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049.
[33]
FTC Staff, FTC Report on Internet of Things Urges Companies to Adopt Best Practices to Address Consumer Privacy and Security Risks,” Federal Trade Commission (FTC), Press Release, Jan. 2015. [Online]. Available: https://www.ftc.gov/news-events/news/press-releases/2015/01/ftc-report-internet-things-urges-companies-adopt-best-practices-address-consumer-privacy-security.
[34]
S. Ganiev and Z. Khudoykulov, Lightweight Cryptography Algorithms for IoT Devices: Open issues and challenges,” in Proc. Information Science and Communications Technologies (ICISCT), 2021, pp. 01–04, doi: 10.1109/ICISCT52966.2021.9670281.
[35]
S. Garg and N. Baliyan, Comparative analysis of Android and iOS from security viewpoint,” Computer Science Review, vol. 40, p. 100372, 2021, doi: 10.1016/j.cosrev.2021.100372.
[36]
Google, App Defense Alliance.” 2023, [Online]. Available: https://appdefensealliance.dev.
[37]
Y. Harbi, Z. Aliouat, S. Harous, A. Bentaleb, and A. Refoufi, A Review of Security in Internet of Things,” Wireless Personal Communications, vol. 108, no. 1, pp. 325–344, Sep. 2019, doi: 10.1007/s11277-019-06405-y.
[38]
M. Hasan, State of IoT 2022: Number of connected IoT devices growing 18% to 14.4 billion globally,” IoT Analytics GmbH, Blog post, 2022. [Online]. Available: https://iot-analytics.com/number-connected-iot-devices/.
[39]
W. Hu, C.-H. Chang, A. Sengupta, S. Bhunia, R. Kastner, and H. Li, An Overview of Hardware Security and Trust: Threats, Countermeasures, and Design Tools,” IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems, vol. 40, no. 6, pp. 1010–1038, Jun. 2021, doi: 10.1109/TCAD.2020.3047976.
[40]
X. Huang, T. Yoshizawa, and S. B. M. Baskaran, Authentication Mechanisms in the 5G System,” Journal of ICT Standardization, vol. 9, no. 2, pp. 61–78, 2021, doi: 10.13052/jicts2245-800X.921.
[41]
D. Hutchins, Making the Move to 5G,” Government Business Council (GBC), Playbook, Jul. 2022. Underwritten by Verizon Communications Inc. [Online]. Available: https://www.verizon.com/business/resources/reports/making-the-move-to-5g.pdf.
[42]
ioXt Alliance, The Global Standard for IoT Security.” Online, Jan. 2023, [Online]. Available: https://www.ioxtalliance.org/.
[43]
Jamf, Security 360 Annual Trends Report,” Jamf, 2022.
[44]
X. Ji et al., Overview of 5G security technology,” Science China: Information Sciences, vol. 61, no. 8, Aug. 2018, doi: 10.1007/s11432-017-9426-4.
[45]
A. Karale, The Challenges of IoT Addressing Security, Ethics, Privacy, and Laws,” Internet of Things, vol. 15, p. 100420, 2021, doi: 10.1016/j.iot.2021.100420.
[46]
R. Khan, P. Kumar, D. N. K. Jayakody, and M. Liyanage, A Survey on Security and Privacy of 5G Technologies: Potential Solutions, Recent Advancements, and Future Directions,” IEEE Communications Surveys & Tutorials, vol. 22, no. 1, pp. 196–248, 2020, doi: 10.1109/COMST.2019.2933899.
[47]
T. Klosowski, How Mobile Phones Became a Privacy Battleground—and How to Protect Yourself,” The New York Times: Wirecutter, 2022, [Online]. Available: https://www.nytimes.com/wirecutter/blog/protect-your-privacy-in-mobile-phones/.
[48]
K. Kollnig et al., Before and after GDPR: Tracking in Mobile Apps,” Internet Policy Review, vol. 10, no. 4, 2021, doi: 10.14763/2021.4.1611 .
[49]
A. Kott, A. Swami, and B. West, The Internet of Battle Things,” Computer, vol. 49, no. 12, pp. 70–75, Dec. 2017, doi: 10.1109/MC.2018.2876048.
[50]
B. Liao, Y. Ali, S. Nazir, L. He, and H. U. Khan, Security Analysis of IoT Devices by Using Mobile Computing: A Systematic Literature Review,” IEEE Access, vol. 8, pp. 120331–120350, 2020, doi: 10.1109/ACCESS.2020.3006358.
[51]
B. Liao, Y. Ali, S. Nazir, L. He, and H. U. Khan, Security Analysis of IoT Devices by Using Mobile Computing: A Systematic Literature Review,” IEEE Access, vol. 8, pp. 120331–120350, Jul. 2020, doi: 10.1109/ACCESS.2020.3006358.
[52]
P. K. Malik et al., Industrial Internet of Things and its Applications in Industry 4.0: State of The Art,” Computer Communications, vol. 166, pp. 125–139, 2021, doi: 10.1016/j.comcom.2020.11.016.
[53]
Y. Mekdad et al., A Survey on Security and Privacy Issues of UAVs.” arXiv, 2021, doi: 10.48550/ARXIV.2109.14442.
[54]
MeriTalk Staff, DARPA Floats a Proposal for the Ocean of Things,” MeriTalk, Jan. 2018, [Online]. Available: https://www.meritalk.com/articles/darpa-floats-a-proposal-for-the-ocean-of-things/.
[55]
R. van der Meulen, What Edge Computing Means for Infrastructure and Operations Leaders,” Gartner, Inc., Article, 2018. [Online]. Available: https://www.gartner.com/smarterwithgartner/what-edge-computing-means-for-infrastructure-and-operations-leaders.
[56]
M. Miettinen and N. Asokan, Ad-hoc key agreement: A brief history and the challenges ahead,” Computer Communications, vol. 131, pp. 32–34, 2018, doi: 10.1016/j.comcom.2018.07.030.
[57]
Ministère des Armées, SICS (Système d’information du combat de SCORPION),” Ministère des Armées, Webpage, 2022. [Online]. Available: https://www.defense.gouv.fr/eurosatory/poles-thematiques/scorpion/connectivite/sics-systeme-dinformation-du-combat-scorpion.
[58]
Ministère des Armées, The SCORPION programme,” Ministère des Armées, Webpage, 2022. [Online]. Available: https://www.defense.gouv.fr/eurosatory/the-scorpion-programme.
[59]
MITRE, MITRE and the Office of the Under Secretary of Defense Announce FiGHT™ Framework to Protect 5G Ecosystem,” MITRE; the Department of Defense (DoD), Press Release, Sep. 2022.
[60]
MITRE and the Department of Defense (DoD), FiGHT™ (5G Hierarchy of Threats),” MITRE; the Department of Defense (DoD), Knowledge Base, 2022. [Online]. Available: https://fight.mitre.org/.
[61]
M. binti Mohamad Noor and W. H. Hassan, Current research on Internet of Things (IoT) security: A survey,” Computer Networks, vol. 148, pp. 283–294, 2019, doi: 10.1016/j.comnet.2018.11.025.
[62]
B. Mueller, S. Schleier, J. Willemsen, and C. Holguera, OWASP Mobile Application Security Verification Standard (MASVS),” Open Web Application Security Project (OWASP), Jan. 2022. Version 1.4.2. [Online]. Available: https://mas.owasp.org/.
[63]
A. Neff, Predicts 2022: The Distributed Enterprise Drives Computing to the Edge,” Gartner, Inc., 2021.
[64]
M. Nelson, Understanding Global IoT Security Regulations,” Security Boulevard, Blog Post, 2021. [Online]. Available: https://securityboulevard.com/2021/06/understanding-global-iot-security-regulations/.
[65]
NIS Cooperation Group, EU coordinated risk assessment of the cybersecurity of 5G networks,” European Union (EU), 2019. [Online]. Available: https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049.
[66]
NIST, 5G Cybersecurity: Volume B: Approach, Architecture, and Security Characteristics,” NIST, Special Report (SP) 1800-33B, Apr. 2022. Preliminary Draft. [Online]. Available: https://www.nccoe.nist.gov/5g-cybersecurity.
[67]
NIST, Mobile Threat Catalogue,” NIST, Website, 2023. [Online]. Available: https://pages.nist.gov/mobile-threat-catalogue/.
[68]
P. Nolan, The ’Internet of Things’: Legal Challenges in an Ultra-connected World,” Mason Hayes & Curran LLP, Insights: Privacy & Data Security, Jan. 2016. [Online]. Available: http://www.mhc.ie/latest/blog/the-internet-of-things-legal-challenges-in-an-ultra-connected-world.
[69]
V. Oeselg, R. Šalaševičius, H. Ploom, and A. Palm, Military Movement: Risks from 5G Networks,” NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), Research Report, 2022.
[70]
Office of Strategic Communications, Internet of Battlefield Things (IoBT) CRA,” U.S. Army DEVCOM Army Research Laboratory, Website, 2023. [Online]. Available: https://www.arl.army.mil/cras/iobt-cra/.
[71]
Office of the Privacy Commissioner of Canada, Privacy guidance for manufacturers of Internet of Things devices,” Office of the Privacy Commissioner of Canada, Guidance, Aug. 2020. [Online]. Available: https://www.priv.gc.ca/en/privacy-topics/technology/gd_iot_man/.
[72]
C. Parton, Chinese Cellular IoT technology: An analysis of threats and mitigation measures,” OODA LLC, White paper, Jan. 2023. Full report "Cellular IoT modules – Supply Chain Security" available at https://www.oodaloop.com/wp-content/uploads/2023/01/Cellular_IoT_Paper_JAN_Master_PDF.pdf. [Online]. Available: https://www.oodaloop.com/globalrisk/2023/01/23/chinese-cellular-iot-technology-an-analysis-of-threats-and-mitigation-measures/.
[73]
M. Pesqueur, L’ailier de demain : le partenariat homme-machine dans l’armée de Terre,” Ifri, Notes de l’Ifri, Nov. 2021. [Online]. Available: https://www.ifri.org/sites/default/files/atoms/files/pesqueur_partenariat_homme_machine_2021.pdf.
[74]
Pradeo, Mobile security predictions for 2022,” Pradeo, Blog post, 2022. [Online]. Available: https://blog.pradeo.com/pradeos-predictions-2022.
[75]
M. K. Pratt, Bolster physical defenses with IoT hardware security,” TechTarget, News article, 2021. [Online]. Available: https://www.techtarget.com/iotagenda/tip/Bolster-physical-defenses-with-IoT-hardware-security.
[76]
A. Qamar, A. Karim, and V. Chang, Mobile malware attacks: Review, taxonomy & future directions,” Future Generation Computer Systems, vol. 97, pp. 887–909, 2019, doi: 10.1016/j.future.2019.03.007.
[77]
G. Rowlands, The Internet of Military Things & Machine Intelligence: A Winning Edge or Security Nightmare? III, 2017.
[78]
S. Russell and T. Abdelzaher, The Internet of Battlefield Things: The Next Generation of Command, Control, Communications and Intelligence (C3I) Decision-Making,” in Proc. IEEE Military Communications Conference (MilCom), Oct. 2018, pp. 737–742, doi: 10.1109/MILCOM.2018.8599853.
[79]
S. Sendhil, The security impact of IoT on business transformation,” ManageEngine, Insights, 2023. [Online]. Available: https://insights.manageengine.com/digital-transformation/the-security-impact-of-iot-on-business-transformation/.
[80]
M. Serror, S. Hack, M. Henze, M. Schuba, and K. Wehrle, Challenges and Opportunities in Securing the Industrial Internet of Things,” IEEE Transactions on Industrial Informatics, vol. 17, no. 5, pp. 2985–2996, 2021, doi: 10.1109/TII.2020.3023507.
[81]
E. Sisinni, A. Saifullah, S. Han, U. Jennehag, and M. Gidlund, Industrial Internet of Things: Challenges, Opportunities, and Directions,” IEEE Transactions on Industrial Informatics, vol. 14, no. 11, pp. 4724–4734, 2018, doi: 10.1109/TII.2018.2852491.
[82]
Thales, IoT Cybersecurity: regulating the Internet of Things,” Thales, Webpage, Jun. 2021. [Online]. Available: https://www.thalesgroup.com/en/markets/digital-identity-and-security/iot/inspired/iot-regulations.
[83]
Verizon, Verizon 2022 Mobile Security Index,” Verizon, Aug. 2022.
[84]
P. Weichbroth and L. Łysik, Mobile Security: Threats and Best Practices,” Mobile Information Systems, vol. 2020, Dec. 2020, doi: 10.1155/2020/8828078.
[85]
Wikipedia contributors, Edge computing — Wikipedia, The Free Encyclopedia.” https://en.wikipedia.org/w/index.php?title=Edge_computing&oldid=1127185952, 2022.
[86]
Wikipedia contributors, Industrial internet of things — Wikipedia, The Free Encyclopedia.” https://en.wikipedia.org/wiki/Industrial_internet_of_things, 2023.
[87]
Wikipedia contributors, Internet of Military Things — Wikipedia, The Free Encyclopedia.” https://en.wikipedia.org/w/index.php?title=Internet_of_Military_Things&oldid=1130011550, 2022.
[88]
Wikipedia contributors, Internet of things — Wikipedia, The Free Encyclopedia.” https://en.wikipedia.org/w/index.php?title=Internet_of_things&oldid=1128546461, 2022.
[89]
Wikipedia contributors, IoBT-CRA — Wikipedia, The Free Encyclopedia.” https://en.wikipedia.org/wiki/IoBT-CRA, 2022.
[90]
Wikipedia contributors, Mobile security — Wikipedia, The Free Encyclopedia.” 2022, [Online]. Available: https://en.wikipedia.org/w/index.php?title=Mobile_security&oldid=1127644660.
[91]
M. Zinkus, T. M. Jois, and M. Green, Data Security on Mobile Devices: Current State of the Art, Open Problems, and Proposed Solutions.” arXiv, 2021, doi: 10.48550/ARXIV.2105.12613.

Processus de soumission

C&ESAR sollicite les types de communications suivants :

  • Article régulier (regular paper) : communication de 10 à 16 pages décrivant des travaux non encore publiés ;
  • Article court (regular paper) : communication de 4 à 8 pages décrivant des travaux non encore publiés ;
  • Résumé étendu (extended abstract) : résumé de 3 à 6 pages d’une communication pédagogique à large audience publiée récemment (par les mêmes auteurs ou un sur-ensemble des auteurs) dans une revue ou les actes d’un congrès avec comité de lecture (les publications concernées incluent en particulier : les états de l’art ; les états de la pratique ; les enquêtes et sondages ; les retours d’expériences ; et les solutions directement applicables à des problématiques courantes).

Le type article régulier comprend les articles de type systématisation des connaissances (SoK) qui “évaluent, systématisent et contextualisent les connaissances existantes” (https://www.jsys.org/type_SoK/). La page https://oaklandsok.github.io/ fournit de nombreux exemples d’articles de type SoK.

Déroulé

C&ESAR suit un processus de soumission en 3 étapes (résumé, proposition, version finale). L’évaluation et la sélection se font sur les étapes proposition et version finale. Lors de l’étape de proposition, une évaluation sélective est faite avec un faible taux de sélection sur un plan détaillé de l’article proposé (ou directement sur la version finale si une version finale est soumise comme proposition). Lors de l’étape de version finale, une évaluation avec un taux de sélection élevé est effectuée sur la version finale des propositions acceptées.

  • Première phase (résumé): titre, auteurs et résumé des propositions doivent être enregistrées au plus tard le mercredi 10 mai 2023 sur EasyChair : https://easychair.org/conferences/?conf=cesar2023.
  • Deuxième phase (proposition): les propositions (3 à 16 pages pour tous les types de communication) doivent être soumises sous forme de fichier PDF au plus tard le mercredi 17 mai 2023 via EasyChair. Les auteurs seront informés de la préselection de leur proposition le mercredi 28 juin 2023 (une sélection finale est effectuée sur les versions finales).
    • Article régulier : S’ils le souhaitent, les auteurs peuvent déjà soumettre un article complet d’au maximum 16 pages. Cependant les relecteurs n’auront pas obligation d’investir plus d’efforts qu’ils ne le feraient pour une proposition de 6 pages.
    • Article court : S’ils le souhaitent, les auteurs peuvent déjà soumettre un article complet d’au maximum 8 pages. Cependant les relecteurs n’auront pas obligation d’investir plus d’efforts qu’ils ne le feraient pour une proposition de 6 pages.
    • Les propositions de communication de type résumé étendu doivent : être clairement identifiées par la mention “résumé étendu” ou “extended abstract” dans leur titre ; clairement identifier et citer la publication originale résumée ; et contenir une annexe contenant les retours (anonymisés) effectués par les relecteurs de la publication originale résumée. S’ils le souhaitent, à cette étape, les auteurs peuvent soumettre le PDF de l’article original au lieu du PDF d’un résumé. Cependant, les relecteurs ne seront pas tenus d’investir plus d’efforts à ce stade qu’ils ne le feraient pour un résumé de 6 pages.
  • Troisième phase (version finale): les auteurs des articles présélectionnés doivent charger la version finale de leur article sur EasyChair avant le mercredi 30 août 2023. Les auteurs s’engagent à répondre aux commentaires des relecteurs dans cette version finale. Une dernière sélection avec un très haut taux de sélection est effectuée à cette étape.

Langue et critères de sélection

Langue

Les articles sont rédigés en français ou en anglais (si l’article est en français, il doit être accompagné d’une traduction en anglais de son titre et résumé).

Audience

C&ESAR s’adresse au public suivant de décideurs et de praticiens :

  • Décideurs intéressés par :
    • un aperçu large et bien construit d’une problématique et de ses solutions ;
  • « éclaireurs technologiques » d’unités opérationnelles intéressés par :
    • l’état de la pratique (ce que font les autres dans le même domaine),
    • identifier les technologies matures récentes qui peuvent aider à résoudre certains de leurs problèmes opérationnels ;
  • Ingénieurs et chercheurs d’unités d’innovation intéressés par :
    • l’état de l’art dans leur spécialité,
    • les problèmes opérationnels abordés par d’autres dans leur communauté,
    • identifier les technologies récentes à mûrir qui peuvent aider à résoudre certains de leurs problèmes opérationnels ;
  • Ingénieurs et chercheurs d’unités de recherche intéressés par :
    • l’état de l’art des spécialités liées à la leur,
    • identifier les problèmes opérationnels liés à leurs spécialités de recherche

Critères de sélection

Pour touts les types de communication, les critères de sélection incluent en particulier : l’adéquation à l’audience ; la clarté ; la dimension pédagogique ; et le respect du thème et des instructions de cet appel à contributions.

Pour les articles réguliers et les articles courts, les communications très techniques ou très spécialisées sont les bienvenus si elles contribuent à expliquer et analyser l’état de l’art ou de la pratique et leurs lacunes.

Pour les résumés étendus, la publication originale doit être clairement identifiée et citée. En outre, le processus de sélection est plus relevé, et met un focus particulier sur l’aspect pédagogique et l’audience large des communications.

Instructions pour le format des propositions et articles

Les propositions et articles en version finales doivent être soumis sous forme de fichiers PDF sans numérotation des pages, en respectant le format simple colonne des “CEUR Workshop Proceedings” et le “emphasizing capitalized style” (http://ceur-ws.org/HOWTOSUBMIT.html#PREPARE).

Des patrons sont disponibles pour les formats LaTeX, docx (Word) et ODT (Word et LibreOffice) à l’adresse suivante : http://ceur-ws.org/Vol-XXX/CEURART.zip.

Un exemple PDF et un patron TeX configurés pour C&ESAR 2023 sont disponibles sur Overleaf à l’adresse suivante : https://www.overleaf.com/read/pybqxvxhzpwj (il doit être dupliqué dans un nouveau projet pour être édité). Les soumissions ne ressemblant pas à cet exemple ne seront pas considérées pour inclusion dans les actes officiels.

Publication des actes

Les auteurs peuvent choisir d’exclure leur soumission de toute forme d’inclusion dans les actes de la conférence.

Dans la mesure du possible (et depuis 2021), les actes officiels de la conférence sont soumis pour publication en tant que “CEUR Workshop Proceedings” (http://ceur-ws.org), et des efforts sont mis en oeuvre pour faciliter l’indexation des articles dans Google Scholar. Cette publication est conditionnée par le respect des contraintes de cette maison d’édition (http://ceur-ws.org/HOWTOSUBMIT.html) et ses critères d’acceptation, en particulier le respect de son format d’article et une majorité d’articles de qualité en anglais.

Dans le but d’augmenter la probabilité de publication par cette maison d’édition et l’indexation des articles dans des bases de données telles que DBLP, seulement une sélection des articles les plus qualitatifs forment les actes officiels de la conférence. La décision d’inclusion dans cette sélection pour former les actes officiels est à la discrétion des éditeurs des actes et s’appuie entre autre sur les recommandations suivantes :

  • les articles ne respectant pas le format “CEUR Workshop Proceedings” ne sont pas inclus;
  • les articles en français ont une faible probabilité d’être inclus ;
  • les articles doivent décrire l’état de l’art, et positionner le contenu de l’article dans ce contexte ;
  • les articles doivent contenir un nombre de références et de citations en adéquation avec le volume de publications liées aux travaux décrits ;
  • les articles réguliers sont plus susceptibles d’être inclus que les articles courts.

Les articles acceptés pour présentation à la conférence, mais ne faisant pas partie des actes officiels de la conférence (tous les articles si il n’y a pas d’actes publiés au format “CEUR Workshop Proceedings”), sont publiés sur les sites Web de C&ESAR.

Afin de faciliter la présentation de travaux déjà publiés ailleurs ou destinés à être publiés ailleurs, les auteurs peuvent explicitement exclure leur soumission de toute inclusion dans les actes de la conférence..

Principales dates

  • Enregistrement des propositions (titre et résumé) : mercredi 10 mai 2023
  • Soumission des propositions (3 à 16 pages): mercredi 17 mai 2023
  • Notification de présélection aux auteurs: mercredi 28 juin 2023
  • Soumission des versions finales : mercredi 30 août 2023
    • 10 à 16 pages pour les articles réguliers
    • 4 à 8 pages pour les articles courts
    • 3 à 6 pages pour les résumés étendus
  • Notification d’acceptation aux auteurs: mercredi 20 septembre 2023
  • European Cyber Week (ECW): mardi 21 novembre 2023 au jeudi 23 novembre 2023