Lucien Castex (Internet Society France) "Notre groupe de travail multipartite doit aboutir à une norme de sécurité dans l'IoT"
L'association Internet Society France compte publier en fin d'année des recommandations pour un label de sécurité des objets connectés. Son secrétaire général détaille le projet.
JDN. Quelles sont les spécificités du groupe de travail que vous venez de lancer ?
Lucien Castex. Les groupes de travail existants dans le monde sur la sécurité de l'IoT rassemblent des industriels qui échangent sur leurs problématiques communes. Nous avons pour notre part cherché à réunir les différentes parties prenantes du secteur. Ces dernières, qui se parlent généralement peu, peuvent ainsi collaborer et développer des normes pour la sécurité de l'IoT. La mission d'Internet Society est de mettre en relation des partenaires dans un cadre multipartite pour initier la discussion. Une approche qui renforce l'acceptabilité des normes par l'ensemble des acteurs. La création de ce groupe de travail était naturelle. Nous avons donc réuni 12 membres dont la Quadrature du Net pour la société civile, l'Arcep et l'Anssi pour les organisations publiques, les Universités de Rennes 2 et Paris 3 pour la recherche, ou encore Nokia pour la partie industrielle.
Nous organisons des réunions physiques et virtuelles pour échanger à un rythme régulier. L'objectif est de proposer des recommandations, que nous présenterons le 4 juillet 2019 à l'occasion du Forum français sur la gouvernance de l'Internet, et que nous publierons en fin d'année en vue de constituer un label assurant la sécurité des objets connectés.
Quels sont les sujets sur lesquels vous avez commencé à travailler ?
Nos travaux portent sur les objets connectés de manière large, de la smart home aux véhicules connectés, en passant par les devices pour le sport. Trois questions majeures sont apparues : la sécurité des objets connectés, le respect de la vie privée des utilisateurs et l'interopérabilité entre les différentes solutions proposées sur le marché. Dans le cadre de nos travaux, nous nous interrogeons sur les bonnes pratiques que les industriels peuvent mettre en œuvre ou sur les coûts que la sécurisation de l'IoT représente. Autre exemple, nous analysons dans quelle mesure l'interopérabilité et le choix de fréquences impactent l'industrie.
La sécurité by design et la mise à jour des appareils connectés représentent aussi une problématique importante. Cet aspect est vital pour garantir la sécurité des objets connectés. Selon une étude que nous avons menée en juin 2018 avec l'institut Opinionway, 76% des sondés estiment que les objets connectés présentent un risque pour le respect de la vie privée ou la protection des données personnelles. La moitié des personnes interrogées a déclaré qu'elle aurait davantage confiance en ces dispositifs si ils disposaient d'un label garantissant la protection des données personnelles et la sécurité de l'usager. Notre projet de labellisation vise ainsi à redonner confiance aux utilisateurs. Et notre stratégie est mondiale : nous échangeons notamment avec l'entité implantée au Canada pour assurer l'"interopérabilité" de nos normes et les rendre compatibles avec les réglementations de nos Etats. Nous voulons par ailleurs inscrire notre initiative dans un cadre européen et dans la continuité des travaux menés par l'Enisa, l'agence européenne chargée de la sécurité des réseaux et de l'information.
Quelle importance représentent les industriels dans votre phase de travail préparatoire ?
Nous voulons faire prendre conscience à ces acteurs du rôle qu'ils jouent dans le processus. En s'engageant en faveur d'une norme, ils pourront bénéficier de la confiance des utilisateurs et donner à ces derniers les clés pour choisir au mieux leurs objets. Nous appelons l'ensemble des industriels à nous rejoindre et à participer à la création du label. Nous y invitons également les start-up qui développent des objets connectés pour nous faire part de leurs problématiques. Notre objectif est d'être un groupe ouvert et nous en sommes encore en phase exploratoire.