Internet des Objets : intégrer la sécurité au niveau du MVP ou du POC
Lorsque l’on développe une solution, il est essentiel de se concentrer sur les fonctionnalités phares. Impossible cependant d’ignorer les technologies sous-jacentes, notamment celles qui sont dédiées à la sécurité.
Quelle que soit la solution IoT, les entreprises doivent avant tout miser sur la création de valeur. Pendant la phase de mise en œuvre, chaque brique technologique supplémentaire peut potentiellement entraîner une fuite de valeur. Quant aux choix d’inclure, ou d’exclure, certaines technologies, ils peuvent nuire à l’efficacité ou générer des risques. Faut-il valider le concept ou créer une architecture viable sur le long terme ? Trouver le juste équilibre est tout un art...Lorsque l’on développe une solution, il est essentiel de se concentrer sur les fonctionnalités phares. Impossible cependant d’ignorer les technologies sous-jacentes, notamment celles qui sont dédiées à la sécurité. Même si la sécurité n’est pas l’argument clé de l’offre, c’est un point auquel clients ou partenaires se montreront attentifs et exigeants.
La question fait d’ailleurs écho au grand défi des entreprises qui, lorsqu’elles conçoivent leur Produit Minimum Viable (MPV), doivent plutôt miser sur la sécurité dès la conception (Security by Design) qu’offrir une sécurité en option. Globalement, ces sujets autour de la définition d’une approche ou d’un cadre adapté, mais aussi sur la façon de rallier la direction aux enjeux de sécurité et sur les achats ont déjà été abordés par de nombreux acteurs de la sécurité informatique.
Vaut-il mieux développer ou acheter une solution de sécurité évolutive pour son MVP ou POC (Proof of Concept)
Supposons que l’entreprise ait dépassé la posture et les exigences de base en matière de sécurité. Elle doit avoir identifié et hiérarchisé les risques auxquels les technologies de sécurité doivent répondre, et avoir recueilli l’adhésion de la direction.
Pour chaque objectif de sécurité, elle doit trancher et choisir de développer ou d’acheter les technologies à utiliser pour limiter les risques.
Bien souvent, les solutions logicielles « maison » ou gratuites séduisent les équipes qui ne disposent que de ressources financières limitées. Mais, dans le domaine des technologies de sécurité, si l’on ne fait pas appel à des fournisseurs et des partenaires de confiance, on s’expose généralement à d’autres risques.
Et comme si cela ne suffisait pas, sans un minimum de planification, les projets sont voués à l’échec. Le succès d’un projet IoT passe par une production à l’échelle industrielle. Votre équipe doit alors également prendre en compte la capacité des technologies de sécurité à s’adapter à de telles échelles. Au-delà des caractéristiques de base de ces technologies, la réflexion portera également sur les spécificités de leur mise en œuvre. Comment l’ensemble fonctionnera-t-il après la phase pilote, une fois que des milliers, des millions ou des dizaines de millions d’appareils auront été fabriqués ?
La plupart des experts recommandent, à juste titre, de concentrer ses ressources sur le développement des fonctionnalités principales de la solution et de faire appel à des experts chevronnés pour les composants de sécurité. Dès lors que l’on choisit les bons fournisseurs et partenaires, la solution est assurée de respecter les bonnes pratiques de gestion des identités et de sécurité, sur la base d’un modèle de coûts qui reste compétitif.
Des programmes pour développeurs et partenaires IoT
Certains acteurs de la sécurité informatique ont bâti des plateformes et services de telle sorte que les risques et la gestion de PKI puissent être externalisés. Avec l’aide de programmes dédiés aux développeurs, les experts de la sécurité travaillent avec les entreprises à l’évaluation des déploiements PKI, depuis le POC jusqu’à la mise en production.
Pour démontrer la valeur de leur POC, ces services peuvent être déployés à plus petite échelle, avec la même interface et le même service qu’en production réelle.
Les entreprises peuvent ensuite faire évoluer leur déploiement de production complet à plus grande échelle. Et pour garantir la pérennité de l’écosystème, un bon architecte prendra en compte ce critère d’échelle.
Chacun de ces acteurs de la sécurité informatique a également créé un réseau de partenaires de sécurité complémentaire. Ce réseau leur permet de répondre à toutes les questions de sécurité liées à l’Internet des Objets — sécurité logicielle ou matérielle, protection des clés sur les appareils, fonctionnement sécurisé, cycle de vie et mises à jour des appareils, sans oublier la connectivité cloud.
Alors, il ne reste plus qu’à choisir le bon expert et se lancer !