La tendance des objets connectés est aujourd’hui indéniable. Ils s’immiscent désormais partout dans notre quotidien et offrent un fort potentiel d’innovation et de développement économique. S’ils ont déjà su séduire le grand public, cet effet de mode n’épargne pas non plus l’industrie et les services. Les possibilités d’usages sont nombreuses, mais beaucoup reste à construire en la matière, notamment en termes d’interopérabilité et de sécurité. Le nombre de données, y compris personnelles, qui transitent sur ces réseaux se retrouve démultiplié, et la surface d’attaques aussi… sans parler d’une réglementation encore floue en ce domaine.

« Nous avons pu observer une explosion du nombre de menaces cyber ces dernières années », constate Bernard Barbier, ancien directeur technique de la DGSE et ancien président de CAP’TRONIC, RSSI pour le groupe Capgemini. Et ce phénomène risque de prendre encore plus d’ampleur avec les objets connectés. En effet, la surface d’attaques est en train de doubler, voire tripler…, avec l’Internet des Objets. Le nombre d’objets désormais connectés démultiplie l’univers des possibles en termes d’attaques.

On estime à 80 milliards le nombre d’objets connectés à l’horizon 2020, souligne Alain Merle, Responsable des programmes sécurité au CEA-Leti - Centre d’Évaluation de la Sécurité des Systèmes d’Information. Technologiquement, nous ne sommes pas encore bien armés pour faire face à cette déferlante d’objets. Les techniques de sécurité existantes ont des limites, y compris la cryptographie, qui n’est pas la solution miracle. Un problème d’échelle se pose également pour traiter ces milliards d’objets. Sans compter que faire de la sécurité n’est pas chose simple, et reste aujourd’hui une affaire de spécialistes. La certification a, en ce sens, pour lui, un intérêt certain, puisqu’elle permet aux entreprises de comparer les différentes offres de sécurité proposées sur le marché.

Lorsque l’on choisit un système de sécurité, il est de plus important d’adapter le niveau d’évaluation aux besoins, complète Guillaume Poupard, Directeur général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). L’analyse de risques est une étape essentielle dans ce processus. Il est primordial, pour une entreprise, de savoir contre quoi elle doit se défendre. En outre, la sécurité ne s’invente pas. Les entreprises ne doivent donc pas hésiter à faire appel à des professionnels.

Pour Pierre Girard, Expert en solutions de sécurité chez Gemalto, la « Security by Design » est également un facteur clé. En effet, la sécurité doit aussi être prise en compte dès la conception d’un objet connecté, et plus globalement de tout nouveau système ou technologie. Elle doit faire partie intégrante de tout projet en amont, pendant la phase de développement, mais aussi tout au long du cycle de vie. Il est important que cette sécurité puisse être évolutive, par exemple pour l’application des mises à jour. Cet aspect est encore trop souvent négligé, notamment dans l’univers de l’Internet des Objets, car il nécessite des ressources temporelles et financières plus élevées en amont. Toutefois, cela peut au final s’avérer payeur, si l’on veut éviter comme Fiat Chrysler de rappeler plus d’un million de véhicules après commercialisation, en raison d’une faille de sécurité dans leur système multimédia Uconnect. Le manque à gagner est énorme, sans parler de l’atteinte à l’image de marque du groupe, et la perte de confiance des utilisateurs, qui s’avère encore plus prépondérante en matière de sécurité routière. La sécurité doit donc être perçue comme une valeur ajoutée, explique-t-il, puisqu’elle apporte de la confiance aux consommateurs. Il faut, de plus, rester vigilant quant au choix des prestataires qui seront amenés à traiter et/ou stocker les données personnelles des clients. Il est important de savoir où ces données seront stockées géographiquement parlant, et de bien connaître les clauses qui les encadrent.

La sécurité a, certes, un coût, reprend Bernard Barbier, mais aussi une utilité indéniable aujourd’hui. De nombreux PDG ont pris conscience des risques, et du besoin d’investir en la matière. Le piratage de la société Target, qui a d’ailleurs conduit à sa perte, a contribué à cette prise de conscience. Toutefois, les dirigeants sont assez démunis face à ce phénomène et ne savent pas vraiment quoi faire. Les nombreuses solutions de sécurité présentes à l’heure actuelle sur le marché ne les y aident d’ailleurs pas, puisque les dirigeants s’y perdent et ne savent pas quoi acheter, ni dans quoi investir.

En outre, la sécurité n’est pas une science exacte. Les entreprises se sont trompées à l’époque en misant tout sur la technique, alors que la sécurité c’est en moyenne 60% de technique et 40% d’humain, explique-t-il. Les RSSI étaient aussi, à l’origine, principalement des gens de la technique, qui dépendaient de l’informatique. A l’heure actuelle, le métier de RSSI repose plus sur de la gouvernance que de la technique. Le RSSI est aujourd’hui un gestionnaire des risques. La sécurité n’est pas là pour freiner le business de l’entreprise, mais pour gérer les risques inhérents à son activité.
Selon Pierre Girard, il est également important que la réglementation impose un minimum de sécurité dans les produits dès leur conception. Après la différence se joue principalement sur la certification ou la labellisation de ces solutions.

En conclusion de cette table ronde, Alain Merle souligne que la sécurité doit être prise en compte d’emblée, car le manque de sécurité peut tuer un business. La façon dont elle est implémentée est également un facteur clé, sans oublier la certification des produits. Prendre la sécurité en compte dès la conception est, effectivement, une bonne manière de développer son projet intelligemment, complète Guillaume Poupard. L’analyse de risques est également une phase indispensable dans ce processus. Il faut faire en sorte que la sécurité apporte une plus-value, mais aussi une crédibilité aux technologies. L’ANSSI publie régulièrement des guides en vue d’aider les différents acteurs à se prémunir face aux risques, comme le « Guide des bonnes pratiques de l’informatique » réalisé conjointement par l’ANSSI et la CGPME. Ce guide délivre 12 recommandations essentielles destinées aux dirigeants de PME. S’approprier ces règles permettrait déjà aux entreprises d’éviter une grande majorité d’attaques.

L’innovation est souvent amenée par de nouvelles fonctionnalités ; ce n’est pas la sécurité qui pousse l’innovation, conclut Bernard Barbier. Cependant, aucune innovation ne peut se trouver au cœur d’un changement majeur, si elle ne s’accompagne pas de confiance. Et c’est bien là que la sécurité est créatrice de valeur ajoutée, puisqu’elle apporte la confiance nécessaire à l’innovation.

L’Association JESSICA FRANCE, fondée par le CEA et Bpifrance, porte le programme CAP’TRONIC, qui aide les PME françaises à améliorer leur compétitivité grâce à l’intégration de solutions électroniques et de logiciels embarqués dans leurs produits. Ce programme organise également depuis plusieurs années les Trophées CAP’TRONIC, afin de récompenser les projets particulièrement innovants. A l’occasion de cette journée, les 13 projets nominés à la 9ème édition des Trophées CAP’TRONIC ont ainsi été présentés, et les prix remis aux côtés de Nicolas Le Roux, Conseiller au sein du Cabinet d’Axelle Lemaire, Secrétaire d’Etat au Numérique. Ces projets, sélectionnés par les membres du jury, composé d’entrepreneurs, d’experts et de journalistes, ont été sélectionnés pour leur caractère innovant dans les catégories suivantes :

– Produit à usage du Grand Public :
• Qivivo : un thermostat connecté Intelligent - Lauréat de cette catégorie ;
• Connected Cycle : la pédale connectée - Trophée Cap sur l’innovation décerné par la salle ;
• Devialet : Phantom Implosive sound center, un produit audio connecté - Prix spécial du jury ;
• X’Sin : la salle d’escalade interactive LUXOV.

– Industrie & Services :
• Partnering Robotics 3.0 : robot de service Diya One de purificateur d’air intérieur - Lauréat de cette catégorie ;
• Coval : mini pompe LEMCOM pour la préhension par le vide dans l’industrie ;
• Sapoval : Dispositif d’élimination des déchets graisseux.

– Santé & Bien-être :
• Physidia : S³, appareil d’hémodialyse quotidienne à domicile - Lauréat de cette catégorie ;
• BBRC : Bio impédancemètre mobile My BiodyBalance ;
• Elvetec : système PASSERELLE de traçabilité des échantillons sanguins prélevés à domicile.

– Jeune entreprise :
• Terradona : Cliiink – la consigne 2.0, solution innovante pour le tri des déchets - Lauréat de cette catégorie ;
• Keecker : robot multimédia mobile et connecté pour la maison ;
• Ledixis : système d’éclairage modulaire EXALUX BRIKS pour les industries de l’audiovisuel, du cinéma et de la photographie.?