Gweltas Radenac (Wisekey) "La révocation de l'identité des IoT que propose Wisekey s'inscrit dans le cycle de vie des produits"
L'une des problématiques actuelles liée à la cybersécurité des objets connectés concerne, selon l'entreprise franco-suisse Wisekey, l'identité des appareils. Son directeur de la business unit IoT détaille comment l'identité intervient en réponse aux questions d'éco-responsabilité.
JDN. La cybersécurité reste un sujet majeur dans l'IoT, mis en avant au Sido ces 8 et 9 novembre, et vous appelez de votre côté les acteurs à doter leurs IoT d'identité. Quelle est la problématique autour de l'identité des objets connectés ?
Gweltas Radenac. Les objets se connectent et communiquent des données entre eux, avec des ERP ou d'autres systèmes, ainsi qu'avec l'utilisateur. Notre message est de dire qu'ils doivent s'identifier par des certificats d'identité numériques quand ils se connectent. Cette pratique est encouragée par la réglementation européenne, qui stipule que les fabricants ne doivent plus utiliser seulement le mot de passe pour sécuriser leurs objets. Elle est également mise en avant par les consortiums sur le marché, comme celui autour de la norme Matter, de la GSMA ou du protocole libre de droit Wi-Sun. Or, il y a encore des freins à la sécurisation de l'IoT car cette action est perçue comme un coût perdu qui ne sera pas rentabilisé par la suite et complexe à mettre en œuvre. D'autant qu'il y a un manque de compétence à propos de la sécurité dans les entreprises. Nous avons à cœur d'aider les fabricants et l'écosystème à concevoir dès la conception des solutions sécurisées tout au long du cycle de vie du produit car l'attribution d'identité offre de réels atouts dans l'IoT.
Quels sont-ils ? Pouvez-vous donner des exemples ?
Identifier ses objets permet de s'assurer que l'un d'eux ne se connecte pas à un service non voulu. C'est un gage de sécurité. Dans le secteur médical par exemple où il est question des données de patient, il est nécessaire de les protéger. Deuxième avantage, l'identité permet d'engager entre un fabricant et les utilisateurs une notion de confiance. Nous travaillons par exemple depuis 2020 avec le fabricant français de drones Parrot qui a doté d'une identité plusieurs dizaines de milliers de drones. Cela permet à Parrot de se différencier sur le marché, notamment face à son concurrent chinois DJI, en indiquant à ses clients ce que fait son drone, comment il s'identifie et interagit, où sont stockées ses données de vol et celles prises par la caméra. Le discours commercial de Parrot est basé sur la confiance et la transparence. Enfin, l'identité joue un rôle dans le cycle de vie des produits.
Concrètement, comment cet élément de sécurisation s'intègre-t-il dans les démarches d'éco-responsabilité ?
En attribuant une identité à un objet connecté, il est possible de la révoquer quand l'utilisateur n'en a plus besoin. Cela favorise la vente entre particuliers en seconde main. Il y a actuellement trop d'objets connectés jetés, comme les box domotiques, car la gestion des données de l'utilisateur contenues dessus est floue, alors qu'ils pourraient être réutilisables. C'est une perte écologique. La révocation de l'identité s'inscrit ainsi dans le cycle de vie des produits.
Pour les acteurs désireux d'instaurer une identité à leurs objets connectés, quels conseils pouvez-vous leur donner dans leur manière de procéder ?
Les clients qui développent une solution doivent appliquer une méthodologie traditionnelle, en se demandant si l'objet se connecte à un réseau, si une passerelle intervient, si l'objet est sur batterie, etc. Les questions de sécurité doivent se poser à ce moment-là dans la phase de design, en se demandant si des tiers vont opérer les objets, s'il y a une notion de transfert de propriété, si l'objet fournit des données à différents acteurs dans la chaîne, etc. Les identités se matérialisent de manière digitale, quand le hardware présente les bonnes caractéristiques, il suffit de faire une mise à jour logicielle. Les identités doivent permettre à chaque acteur de s'identifier pour son service. La faculté d'intégrer à l'objet une identité unique ne doit pas être perçue comme un frein mais comme une opportunité de business.
Au sein de Wisekey, Gweltas Radenac pilote la BU IoT, notamment les services de gestion d'identités IoT tels que les certificats numériques & les plateformes PKI mais également les solutions hardware & software permettant de protéger ces identités dans les objets. Il possède une vaste expérience dans l'industrie high-tech dans des domaines tels que la téléphonie mobile, l'électronique grand public, la robotique au sein de Softbank et plus récemment dans le smart building.