L’ambition de Digital Security ? Définir l’équilibre qui va permettre le développement économique de l’Internet des Objets (IoT) dans le respect des bonnes pratiques de sécurité. Créée en juin 2015 avec le soutien du groupe Econocom, l’entreprise est à l’origine du premier CERT™ européen dédié à la sécurité des objets connectés et assure des prestations d’audit et de conseil auprès des grands comptes et des start-ups.
Quels sont les enjeux de la sécurisation de l’écosystème des objets connectés ? Comment aider les entreprises à développer des services et process plus sûrs ? Jean-Claude Tapia, président de Digital Security, a répondu à nos questions.
L’histoire de Digital Security est celle de la rencontre entre le groupe Econocom et un ensemble d’experts et de consultants convaincus que les modèles de sécurité appliqués dans les entreprises ne sont plus tout à fait adaptés aux caractéristiques du monde numérique. A l’origine du projet, Cédric Messeguer, un entrepreneur qui a fait le choix de s’associer avec Econocom pour bénéficier de l’appui d’un grand groupe dans les services numériques tout en conservant une certaine forme d’autonomie, synonyme d’agilité et de réactivité.
>>> A lire aussi : Cédric Messeguer, Digital Security : « Sans le soutien d’un grand groupe, nous aurions difficilement pu nous lancer » <<<
Aujourd’hui, Cédric Messeguer est toujours directeur général de Digital Security et Jean-Claude Tapia est devenu président de l’entreprise. En rejoignant Digital Security, l’ancien directeur général délégué d’Orange Cyberdéfense a voulu retrouver l’esprit entrepreneurial, l’agilité et une relation de proximité avec ses collaborateurs qu’il avait un peu perdus. Son rôle ? Impulser la stratégie de l’entreprise et faire en sorte qu’elle s’articule avec le projet de développement du groupe Econocom.
Digital Security a été créée en juin 2015, où en êtes-vous aujourd’hui ?
Jean-Claude Tapia : L’entreprise compte désormais une trentaine de collaborateurs. Nous avons environ 70% de profils très techniques : des experts en informatique, en télécoms, en radiofréquence, mais aussi en électronique. C’est une des particularités des objets connectés : nous ne pouvons pas nous contenter de n’avoir que des expertises informatiques.
Le tiers de collaborateurs restants, ce sont des consultants ayant vocation à accompagner sous un angle stratégique et fonctionnel la transformation digitale des entreprises, de leurs processus, de leurs services, de leur environnement.
« Plutôt que d’objets connectés, on parle d’écosystèmes d’objets connectés. L’objet, s’il contient des données à protéger, s’intègre la plupart du temps dans une chaine de valeur complexe qui implique une vision de la sécurité technologique (nombreux systèmes d’exploitation et protocoles de communication) et fonctionnelle, c’est-à-dire qui tienne compte des usages, des menaces, des comportements, des processus de pilotage et opérationnels »
Au-dela de la protection des donnees, la sécurite des personnes
Quels sont les enjeux de la sécurisation du secteur des objets connectés ?
On parle de 80 milliards d’objets connectés en 2020, tous secteurs confondus. Ce sont donc d’énormes enjeux en matière de sécurité. Evidemment, on pense tout de suite au respect de la vie privée et au vol de données personnelles, mais il est nécessaire d’aller au-delà de ça : il s’agit aussi de préserver l’intégrité physique des personnes et de notre environnement.
« La particularité des objets connectés, c’est qu’ils font converger le monde physique et le monde logique : de plus en plus de systèmes pilotent des appareils médicaux (pompes à insuline), des dispositifs industriels (compteurs intelligents, instruments de mesure…), des systèmes embarqués dans les voitures, les trains, les avions… »
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) vient d’ailleurs de souligner le risque mortel lié à certaines implémentations de l’IoT dans le monde de la santé.
Pour des raisons de délai de mise sur le marché, la première génération d’objets est très exposée. Les industriels n’ont pas intégré la sécurité dès le départ et commencent seulement à le faire.
« Les enjeux sont très fort car la sécurité des objets connectés et de leurs écosystèmes est une condition de base de la vie économique… Et de la vie tout court ! »
Quand la sécurité devient une opportunité pour l’entreprise
En quoi consiste votre activité ?
Notre première activité, c’est une activité de conseil et d’audit, qui consiste à accompagner la transformation digitale des entreprises. Quand une entreprise envisage de développer un nouveau service ou de modifier un mode de fonctionnement en intégrant du numérique, notre rôle est de faire en sorte que la sécurité soit prise en compte dès le début.
En phase d’étude préalable, nous déterminons les exigences de sécurité à intégrer et les objectifs à atteindre, mais nous recherchons aussi les opportunités que peut induire la sécurité.
« Il ne faut pas voir la sécurité comme une contrainte ou comme un élément qui n’a pas de valeur : pour une entreprise, elle peut être un facteur différenciant et faciliter la création d’un nouveau service ou l’aménagement d’espaces collaboratifs par exemple. »
Dès le départ, nous réfléchissons donc avec l’IT et le métier concerné aux exigences et opportunités. Ensuite, nous accompagnons toutes les phases du projet avant de rentrer dans une logique de gestion patrimoniale. En effet, une fois que le service ou le process sont opérationnels, nous suivons leur niveau d’exposition puisque les technologies et les menaces évoluent en permanence.
Le premier CERT dédie aux objets connectés
Notre deuxième activité est beaucoup plus opérationnelle : nous développons le premier CERT™ dédié aux objets connectés.
Un CERT™ – Computer Emergency Response Team – est une entité opérationnelle qui propose des services préventifs et réactifs. Les services préventifs peuvent, par exemple, consister à mettre un processus ou un service sous contrôle pour s’assurer que le niveau de risque n’évolue pas et que les objectifs de sécurité fixés sont atteints. Pour cela, nous définissons des points de contrôle en fonction de règles établies, puis nous regardons si la sécurité est assurée telle que prévue. L’environnement évoluant, de nouvelles vulnérabilités et menaces peuvent apparaitre. Une de nos autres activités consiste à exercer des services de veille en lien avec l’environnement numérique de nos clients pour anticiper ces évolutions.
Les services réactifs, eux, consistent à mettre sous surveillance un écosystème d’objets connectés pour détecter le plus tôt possible d’éventuelles attaques, menaces ou évènements considérés comme inhabituels ou inappropriés. L’objectif est d’informer l’entreprise de ces évènements et, si elle se trouve confrontée à un incident avéré, de l’accompagner dans sa résolution. Une fois l’incident résolu ou circonscrit, nous exerçons des activités de type post-mortem pour essayer de comprendre ce qui s’est passé et éviter que la situation se reproduise.
Tous les secteurs d’activité sont concernes
Toute entreprise peut nous demander de mettre sous contrôle ou sous surveillance un processus, un service ou un écosystème. Les applications sont multiples et concernent tous les secteurs d’activité : il peut s’agir par exemple de systèmes de pilotage ou de collecte intelligents. Nous allons alors soit analyser en amont ces systèmes et proposer des solutions palliatives permettant de réduire les vulnérabilités ou limiter l’impact d’une éventuelle menace, soit mettre le système sous contrôle ou surveillance, c’est-à-dire définir avec l’entreprise un processus récurrent pour contrôler régulièrement ce service et nous assurer qu’il n’y a pas de phénomène imprévu.
Nous développons également une plate-forme de test (un banc d’essai) que nous mettons à disposition des industriels qui peuvent ainsi nous confier un produit (ou un service) pour que nous le testions selon des protocoles préétablis avant sa mise en production.
proposer de nouveaux modéles Du grand compte à la start-up innovante
L’arrivée massive du numérique nous conduit à proposer des modèles de sécurité adaptatifs davantage fondés sur les usages, la protection des éléments essentiels et le principe de coopération entre les parties prenantes.
« Aujourd’hui, il n’y a pas de sécurité si l’ensemble des parties prenantes – c’est-à-dire clients ou usagers, prestataires, autorités, industriels… – ne mettent pas en place des processus pour s’auto-alerter et réagir de manière coordonnée en cas d’attaques ou de menaces. »
Nos clients, ce sont les grands comptes : les banques, les industries et les administrations. Nous avons collaboré avec des grands groupes comme Total, BNP, La Poste, Orange… Mais aussi les PME et start-ups innovantes qui souhaitent que l’on évalue la robustesse, la résilience et la sécurité de leurs produits avant leur commercialisation.
« Nous nous inscrivons dans une chaîne de valeur : nous travaillons à la fois avec les métiers et ceux qui portent les technologies. »
Souvent, dans les entreprises, le métier est considéré comme responsable des niveaux de risques acceptés et la DSI est perçue comme une fonction support. Or, aujourd’hui, si on veut véritablement gérer les risques dans le monde numérique, il faut s’inscrire dans une logique de co-arbitrage associant IT et métier.
A lire aussi :
– Sécurité et Big Data demandent Big Intelligence de toute urgence
– Alexis Normand, Withings : « Le marché des objets connectés santé a explosé en 2015 »
– Avec son offre de ski connecté, Rossignol suit la piste du Big Data
Crédit photo : Yuri Samoilov / Flickr.com / Licence CC BY 2.0