La démonstration programmée au FIC a attiré beaucoup de monde : Qwant, le moteur de recherche européen qui respecte la vie des utilisateurs, a démontré de quelle manière on pouvait pirater une Tesla avec un simple boîtier, pour en ouvrir le coffre et les portières. Rien qu'avec cet exemple, on cerne tout l'enjeu du 'Security by Design', ou comment la sécurité doit être pensée en amont de la conception de l'objet connecté.

"Le domaine aéronautique et spatial est confronté dès le début au problème de sécurité dès la conception : c'est dans l'ADN de notre entreprise", a expliqué Laurent Porracchia, responsable des ventes d'Airbus CyberSecurity.

"Pour la mettre en place, il faut revenir aux bases : d'abord, savoir quel périmètre et quels éléments sensibles sont à protéger, ensuite analyser les risques pour pouvoir améliorer la gouvernance et enfin, enclencher un processus d'amélioration continue pour maintenir un niveau de sécurité acceptable."

Tous conscients des risques

 Pour Airbus CyberSécurity, il est essentiel que chacun soit conscient des risques :

"Chaque maillon est essentiel, si un de vos sous-traitants n'a pas fait son travail de sécurisation, même le meilleur système de sécurisation ne résistera pas."

Pour Hervé Champenoy, directeur du programme Linky, le compteur électrique intelligent d'Enedis (ex-ERDF), "la sécurité a été pensée dès l'origine, puisque nous étions dans un système de concentrateurs distribués chez les particuliers qui communiquent les données : un important travail a été mené avec la CNIL (Commission nationale de l'informatique et des libertés) et l'ANSSI (Agence nationale de la sécurité des systèmes d'information) qui, dès le départ, nous ont transmis des recommandations pour établir le référentiel de sécurité."

La RGPD en action

Gwenda Legrand, directeur de la technologie et de l'innovation à la CNIL, rappelle que la « Security by Design » fait partie intégrante de l'article 25 du règlement général sur la protection des données :

"Le pari du RGPD est justement de faire balance entre innovation et protection des personnes, la réglementation s'appliquer au responsable de traitement des données personnelles, mais aussi aux sous-traitants. La brique de base du 'by Design' fait partie de l'ADN de la RGPD."

Un argument marketing

D'après les premiers chiffres, il semblerait que beaucoup d'acteurs se soient appropriés ce texte sur la réglementation des données personnelles avec 11.000 plaintes des particuliers en 2018 contre 8.000 l'année précédente.

Pour le monsieur innovation de la CNIL, "tous les acteurs sont attentifs au by design pour maintenir les marchés ou en conquérir de nouveaux : tout va se jouer sur la confiance, qui va permettre aux utilisateurs d'accepter d'utiliser le produit. Le 'Security by Design' va produire un avantage compétitif."

"La sécurité est devenue un élément du discours marketing", confirme Guillaume Tissier, président de CEIS et co-organisateur du FIC. "Il faut désormais que la sécurité soit intégrée de façon native dans les technologies que l'on utilisera demain".

D'où la devise martelée de l'ANSSI :

"Tous connectés, tous impliqués, tous responsables."