Close

RED ALERT LABS : PENSER LA SÉCURITÉ BY DESIGN DES OBJETS CONNECTÉS

Entretien avec Ayman Khalil, Managing Partner et COO

Présentation

Red Alert Labs est une société de moins de 10 salariés, créée en 2017 par Roland Atoui, et spécialisée dans trois domaines : la cybersécurité, les objets connectés et la certification, avec l’objectif d’instaurer de la confiance dans les objets connectés en proposant une solution complète d’automatisation, de certification et de sécurité.

A côté des solutions développées pour répondre à ces enjeux, la société contribue à la définition de schémas de certification IoT, de concert avec des organismes de cybersécurité aux niveaux national et européen comme Eurosmart, l’ACN, l’ANSSI et l’ENISA.

Sa solution de sécurité IoT a reçu le Label France Cybersecurity en 2019.

 

Quelles innovations ?

Consciente des menaces de sécurité qui pèsent sur les données, à la fois lors de la fourniture d’un service (risque d’atteinte à la confidentialité des données échangées) mais aussi par le biais des infrastructures du réseau sur lequel elles transitent (dont les vulnérabilités ou défaillances peuvent menacer l’intégrité ou la disponibilité des données), soit encore via les objets connectés qui permettent d’échanger des données (risque de falsification des données, besoin d’authentification forte), Red Alert Labs propose une approche innovante qui appréhende les objets connectés non plus sous le prisme de leurs fonctionnalités, mais en mettant l’accent sur leur sécurité à tous les stades de leur cycle de vie

Le « cadre de sécurité » des objets connectés « IoT Security Assurance Framework »

La société a donc développé un « cadre de sécurité » des objets connectés « IoT Security Assurance Framework », qui permet d’évaluer, à chaque étape de son cycle de vie, si un objet répond aux besoins et aux principaux standards de sécurité, et d’adapter, si nécessaire son dispositif de sécurité. Basé sur les normes et standards existants et conçu comme une boite à outils, il intègre à la fois des recommandations d’ordre stratégiques et techniques, des méthodologies d’évaluation du risque, mais aussi un index des exigences sécuritaires.

Ce cadre se veut rétroactif et dynamique, s’appliquant aux standards et règlementations en vigueur et pouvant être adapté à toutes les verticales et tous les acteurs du marché ainsi qu’à leurs environnements opérationnels : particuliers (domotique, jouets connectés, etc.), entreprises (PME, finance, écoles, fournisseurs de services, etc.), industriels (fabrication intelligente, livraison intelligente, maintenance prédictive, etc.) et secteurs critiques (voiture connectés, santé, défense).

Il est décliné sous une suite d’outils automatisés rendant possible : l’analyse du risque IoT à destination des décideurs, la création de « profils de sécurité » à destination des développeurs et des responsables des achats, la mise en conformité, les tests de sécurité, etc. Il permet donc, de manière évolutive, de guider l’utilisateur dans la mise en œuvre des fonctionnalités de sécurité sur chaque solution connectée en fonction de l’environnement dans lequel elle est déployée.

La société a déjà fait ses preuves auprès de grands acteurs de la domotique (dont Legrand), d’opérateurs téléphoniques ou d’industriels sur les problématiques liées à l’industrie 4.0, et travaille actuellement sur des projets dans le domaine de l’automobile ou pour des gouvernements sur les problématiques de gouvernance et de certification.

 

Quels avantages ?

  • Le concept de Security and Privacy by design est au cœur des préoccupations de Red Alert Labs qui en a fait l’une de ses valeurs principales : le cadre de sécurité IoT permet en effet de combiner l’intégration des dispositifs de sécurité aux processus de l’organisation, et le maintien d’un cycle de fabrication rapide et agile ;
  • Outre les aspects financiers, les outils développés permettent de répondre à d’autres problématiques liées à la sécurité de l’Internet des objets, par exemple le déficit d’experts dans le domaine ou encore le manque d’informations à destination des décideurs sur les risques et impacts règlementaires ou financiers qu’ils encourent ;
  • Le Framework est développé pour l’ensemble des marchés mondiaux et peut donc prendre en compte tout type de régulation lié à la sécurité des objets connectés, afin de mettre en œuvre la cybersécurité de la manière la plus efficiente possible.

 

Quelles applications pour les Armées ?

Déployés dans un environnement opérationnel très spécifique, les objets connectés utilisés à des fins militaires contiennent de nombreuses données sensibles mais n’intègrent cependant pas toujours un niveau de sécurité suffisant. Par exemple, des fonctionnalités telles que la géolocalisation peuvent constituer un réel risque si les appareils connectés sont détournés par des acteurs malveillants, portant ainsi atteinte à la sécurité des opérations et des personnels.

Dans le milieu de la défense, le cadre d’assurance de sécurité des IoT constitue un outil de la résilience contre les cyberattaques car il permet d’évaluer de façon précise le niveau de sécurité requis par les matériels et équipements embarquant des objets connectés. Il rend en effet possible l’identification, via un process en plusieurs étapes (identification des risques et déduction des besoins en sécurité, définition d’un « profil de sécurité », évaluation de la conformité aux standards et normes existants, test et évaluation) du niveau de risque acceptable par chaque objet connecté au regard des besoins en termes de sécurité associés à son usage.