Internet des objets : le casse-tête de la sécurité
Apparus avec les premiers smartphones, les objets connectés sont aujourd’hui partout dans notre quotidien – on estime que 50 à 80 milliards d’entre eux sont en circulation dans le monde. Thermostat autogéré, voiture intelligente, monitoring médical à distance, éclairage urbain automatique… Il existe aujourd’hui une véritable constellation de d’objets connectés qui s’échangent des informations sans intervention humain pour nous offrir plus de confort dans nos usages et nos interactions. Si toutes les possibilités offertes par l’IOT sont prometteuses, elles ne sont pas sans risque. Devant les logiciels espions et malveillants, les chevaux de Troie, et autres intrusions menaçant la vie privée, chaque unité doit être protégée.
La sécurité de l’IOT au cœur du débat
Longtemps considéré comme le parent pauvre de leur développement, la sécurité des objets connectés est ainsi devenue la nouvelle obsession des développeurs. Les constructeurs ont pris conscience des indiscrétions potentielles des objets connectés et des impacts dramatiques que pourraient représenter une intrusion dans les smart cities ou dans les maisons. Ils ont notamment compris que l’enjeu de la sécurité de l’IOT requiert d’avoir une vision globale de la solution, afin d’éviter toute faille dans le système, du capteur à la plateforme applicative, en passant par les infrastructures réseaux.
Cette approche doit aussi être affinée en fonction des besoins. Les différents usages induisent en effet un niveau de risque différent, et de besoins sécuritaires spécifiques. Un réseau, dont la plupart des usages sont informatifs et qui ne présente donc qu’un risque de vol d’information, pourra ainsi se contenter d’un chiffrage des données. En revanche, les systèmes de contrôle-commande sont vulnérables à une prise de contrôle à distance, et à ce titre doivent être supervisés de plus près, notamment par le fournisseur du service qu’ils assurent.
Le Cybersecurity Act (adopté par l’UE en juin 2019) a introduit un système européen de certification pour les produits et services du secteur numérique. Il a permis de consolider le marché de sorte à accroître la sécurité des consommateurs dans les technologies digitales. Il instaure deux concepts : « Privacy by design » qui impose une protection des données de la conception jusqu’à la distribution, l’utilisation et l’élimination finale d’un objet connecté. De l’autre côté, « privacy by default » prévoit que les paramètres de confidentialité garantissent par défaut un niveau maximal de protection des données qu’ils génèrent.
Une manne pour les investisseurs ?
Si de façon générale, les experts en cybersécurité regrettent que le marché ne fasse pas assez attention à la cybersécurité, la tendance semble en train de s’inverser. Citons, par exemple, Ockham – un nouvel acteur de la Silicon Valley – qui a réussi à lever 4,9 millions de dollars pour développer une solution qui permet de sécuriser l’accès aux applications utilisées par les objets connectés. Cet aspect est en effet souvent oublié, et pourtant il est au cœur des risques, en particulier pour les systèmes de contrôle-commande. En s’appuyant sur des clés cryptographiques et l’attribution d’identifiants à différentes entités, la startup entend renforcer le contrôle sur cette étape cruciale.
Cet exemple est encourageant : le sujet du financement demeure encore majeur pour les start-ups. Or, ces acteurs sont certainement les plus dynamiques, du fait de leur capacité à s’aligner sur les besoins du jour, là où les grosses structures ont plus de difficultés à s’adapter au changement. Et considérant les besoins croissants du secteur – à la fois portée par le bon sens et les nouvelles obligations sécuritaires mises en place par les États – l’intérêt pour de telles initiatives ne pourra être que croissant.
Des investisseurs connus pour leur flair se sont ainsi penchés sur le berceau d’Ockham, à l’image de SGH Capital qui a développé une réputation de dénicheur de talents. En 5 ans, ce fonds a en effet su parier sur de nombreux succès (Guardant Health, the Real Real) dès la phase de seeding, dont certains sont désormais cotés au Next40 (comme Wynd), la plateforme qui compte les futures licornes françaises. Plus récemment, SGH Capital a réalisé un beau gain, en remportant plus de 35 fois sa mise sur Honey, une start-up qui permet à ses utilisateurs de faire « des affaires » sur la toile, et qui a été rachetée 4 milliards de dollars par PayPal en novembre.