Entité du Groupe Econocom, Digital Security est le premier CERT™ (Computer Emergency Response Team, centre d’alerte et de réaction aux attaques informatiques) mondial dédié aux objets connectés. Des objets dont la sécurisation pose de plus en plus question, en témoigne notamment le piratage d’ampleur qui a paralysé les serveurs de Dyn le 21 octobre 2016, en infectant caméras ou encore thermostats connectés. Avec ses 180 experts aux profils complémentaires, Digital Security propose une approche de bout en bout de la sécurisation de l’Internet des Objets : précisions et illustrations avec Cédric Messeguer, Directeur général de Digital Security.
La sécurisation de l’IoT est aujourd’hui un enjeu majeur, auquel vous répondez de façon innovante via le CERT-UBIK. Pouvez-vous nous présenter les différentes expertises qu’il rassemble, et le rôle de chacun ?
Un CERT est un centre d’expertise en cybersécurité, ce qui se fait de mieux et de plus avancé dans ce domaine – l’acronyme a été déposé par l’Université Carnegie Mellon aux Etats-Unis. Plusieurs types de CERT existent, des CERT internes dont le rôle est de protéger un périmètre, comme le CERT-FR, et des CERT commerciaux, qui vendent des prestations. C’est dans cette deuxième catégorie que nous nous inscrivons.
Pour assurer nos prestations de prévention, de sensibilisation et de réaction, nous regroupons au sein du CERT des profils très variés, car le monde de l’Internet des Objets, depuis la conception des objets connectés jusqu’à leur utilisation, requiert de multiples expertises ! Nous avons des électroniciens, des informaticiens, des spécialistes dans tout ce qui est transmission radio, des personnes capables de faire du reverse engineering…
Notre objectif est de sécuriser les objets connectés sur l’ensemble de la chaîne, de l’objet lui-même au cloud en passant par les passerelles qui les relient et l’interface qui permet de gérer cela. Pour ce faire, nous fournissons deux types de prestations :
- En amont, nous accompagnons nos clients qui veulent intégrer des objets connectés à leur projet de façon sécurisée. Ce sont des personnes qui ont en général un niveau de maturité technologique assez élevé, qui ont conscience de la déferlante que représentent les objets connectés et qui s’interrogent sur la sécurité de cet univers, sécurité qu’ils veulent intégrer au plus tôt dans leur projet. Cela passe par des analyses de risques IoT, du conseil, des démonstrations, des proof of concept, et des approches de type idéation pour brainstormer en direct avec le client.
- Lorsque le client a une idée précise de l’écosystème d’objets connectés qu’il veut mettre en place, nous l’aidons en mettant à sa disposition notre R&D ou avec différentes approches : évaluation selon des protocoles établis, audits de sécurité, tests d’intrusion en se mettant dans la peau d’éventuels attaquants (tests en boîte noire, boîte blanche ou boîte grise).
Ces deux types d’approches sont autant de leviers qui aident nos clients à lever les freins de la transformation numérique et à maitriser les risques inhérents à totu changement. Le lien entre les deux approches, c’est cette volonté de rendre les choses concrètes et de démontrer par l’exemple quels sont les enjeux, les risques, les évolutions techniques…
Tout ceci permet d’expliquer qu’il n’y a pas de bonne ou de mauvaise solution, mais simplement un arbitrage à faire en fonction du projet du client ! La sécurité n’est pas un frein, c’est un levier de croissance pour l’IoT : c’est ce que nous faisons comprendre à chacun de nos clients.
Le premier CERT IoT mondial, que vous avez créé, est européen. Or, l’Union européenne peaufine actuellement son Règlement général sur la protection des données. Ce dernier imposera aux entreprises, dès le 25 mai 2018, d’être « responsables de leur conformité » et « en capacité de la démontrer ». Comment intégrez-vous ces dispositions dans votre démarche d’accompagnement auprès de vos clients ?
Ce Règlement général fait suite à différents règlements précédents autour des données personnelles, mais il est beaucoup plus pénalisant pour les entreprises qui ne seront pas conformes : un couperet va tomber pour celles qui n’auront pas nommé de Data Protection Officer (DPO), et qui ne seront pas en conformité sur cette question des données personnelles, sous la forme d’une amende allant jusqu’à 4% du chiffre d’affaires de l’entreprise ou 20 millions d’euros.
Pour nous, cela signifie accompagner nos clients sur la conformité de leur système d’information au niveau de la gouvernance, de la mise en place de procédures, de solutions techniques… Nous devons également vérifier l’ensemble des bonnes intentions de l’entreprise via un zoom sur les solutions IoT déployées en son sein. Nous analysons les liaisons entre les objets connectés, leur interface de gestion et le cloud, et contrôlons que les données qui transitent entre ces dernières sont bien anonymisées et ne présentent pas de caractère personnel.
Grâce à notre département consulting, qui compte une cinquantaine de personnes, nous faisons de l’accompagnement de type organisationnel, en mode forfait ou régie, avec un volet formation/sensibilisation/conduite du changement pour expliquer à nos clients comment mettre en place un système de gestion sécurisé de leurs données personnelles. Et pour tout ce qui concerne la conformité juridique, nous faisons appel à des cabinets d’avocats partenaires de Digital Security.
Plus largement, quels conseils en matière de cybersécurité donneriez-vous aux entreprises qui voudraient digitaliser leur entreprise en matière d’IoT ? Et aux fabricants d’IoT ?
Pour les entreprises qui souhaitent investir dans l’IoT, la réponse est simple. Pour réussir son projet, il faut faire une analyse de risques le plus tôt possible, en démystifiant la chose : ce n’est pas une prestation de conseil qui va durer des mois. Le plus souvent, il s’agit de prestations flash sur la base d’interviews et de quelques tests, réalisables en quelques jours, au sein de l’entreprise.
Cela permet de figer les bases de ce type de projet, et donc de solidifier son échafaudage. Il y a des innovations tous les jours dans ce domaine, la solution doit donc s’inscrire dans la durée. Nous avons des spécialistes qui participent à toutes les conférences de sécurité, à des travaux de recherche… et nous sommes en liens très étroits avec la business unit « Next » d’Econocom, dédiée à l’IoT.
Pour fournir à nos clients la solution la plus adaptée à leur projet, nous devons être up-to-date : par exemple, si la 5G porte beaucoup de promesses, notamment celle d’absorber le flux de l’Internet des Objets, la 2G peut en revanche parfois suffire à servir un projet client de petite envergure.
Pour les fabricants d’objets connectés, il faut bien réfléchir en amont, dans les phases d’idéation. L’idéal du fabricant, c’est de créer rapidement un objet en mode agile et de le tester sur le marché, pour voir si celui-ci est réceptif. L’écueil principal, de ce point de vue, est de ne pas réfléchir à la sécurité en pensant que ce serait une perte de temps et d’argent dans le cas où le marché ne réponde pas favorablement.
Mais il faut voir les choses de façon inverse : sans sécurité, le marché va avoir du mal à répondre. La sécurité est une exigence de plus en plus présente dans les cahiers des charges des investisseurs. C’est pour cela que nous avons créé, fin 2016, le premier label de sécurité de l’Internet des Objets. Voilà le conseil que je donnerais aux fabricants : faites tout pour décrocher ce label !