Security by design, un avantage compétitif pour les entreprises Les pépites du FIC 2019
La sécurité des objets connectés n’existe que très peu aujourd’hui, alors qu’il faut la penser au début de la phase de conception des produits.
La démonstration programmée au Forum international de la cybersécurité (FIC), fin janvier à Lille, a attiré beaucoup de monde : Qwant, le moteur de recherche européen respectueux de la vie des utilisateurs, a montré de quelle manière on pouvait pirater une Tesla avec un simple boîtier pour en ouvrir le coffre et les portières. Avec ce simple exemple, on cerne tout l’enjeu du Security by design, ou comment la sécurité doit être pensée en amont de la conception de l’objet connecté.
TOUS CONSCIENTS DES RISQUES
« Le domaine aéronautique et spatial est confronté au problème de la sécurité dès la phase de conception : c’est dans l’ADN de notre entreprise, a expliqué le responsable des ventes d’Airbus CyberSecurity, Laurent Porracchia. Pour la mettre en place, il faut revenir aux bases : d’abord, savoir quel périmètre et quels éléments sensibles sont à protéger ; ensuite, analyser les risques dans le but d’améliorer la gouvernance ; enfin, enclencher un processus d’amélioration continue pour maintenir un niveau de sécurité acceptable. » Pour Airbus CyberSecurity, il est important que chacun soit conscient des risques : « Chaque maillon est essentiel, si un de vos sous-traitants n’a pas fait son travail, même le meilleur système de sécurisation ne résistera pas. » Pour Hervé Champenois, directeur du programme Linky, le compteur électrique intelligent d’Enedis (ex-ERDF), « la sécurité a été pensée dès l’origine, puisque nous étions dans un système de concentrateurs distribués chez les particuliers qui communiquent les données : un important travail a été mené avec la Commission nationale de l’informatique et des libertés (Cnil) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui, dès le départ, nous ont transmis des recommandations pour établir le référentiel de sécurité. »
LA RGPD EN ACTION
Gwendal Le Grand, directeur de la technologie et de l’innovation à la Cnil, rappelle que le Security by design fait partie intégrante de l’article 25 du Règlement général sur la protection des données (RGPD) : « Le pari du RGPD est de faire balance [équilibre, ndlr] entre innovation et protection des personnes. La réglementation s’applique au responsable de traitement des données personnelles, mais aussi aux sous-traitants. La brique de base du by design fait partie de l’ADN de la RGPD. »
UN ARGUMENT MARKETING
D’après les premiers chiffres, beaucoup d’acteurs semblent s’être appropriés ce texte sur la réglementation des données personnelles, avec 11 000 plaintes des particuliers en 2018, contre 8 000 en 2017.Pour Gwendal Le Grand, de la Cnil, « tous les acteurs sont attentifs au by design pour maintenir les marchés ou en conquérir de nouveaux : tout se joue sur la confiance, qui permet aux utilisateurs d’accepter d’utiliser le produit. Le Security by design va produire un avantage compétitif ». « La sécurité est devenue un élément du discours marketing, confirme Guillaume Tissier, président de CEIS et co-organisateur du FIC. Il faut désormais que la sécurité soit intégrée de façon native dans les technologies que l’on utilisera demain. » D’où la devise martelée de l’Anssi : « Tous connectés, tous impliqués, tous responsables. »