Internet of Trust apporte services et conseil pour la sécurité des objets connectés

Créée par Claire Loiseaux et Carolina Lavatelli, deux spécialistes reconnues de la sécurité, la start-up Internet of Trust est l'une des toutes premières sociétés de services et de conseil à prodiguer son savoir-faire sur le domaine de la sécurité dans l'Internet des objets. ...

Armées d’une solide expérience dans le domaine de la sécurité des cartes à puce, des terminaux de paiement et des mobiles, Claire Loiseaux et Carolina Lavatelli, respectivement CEO et CTO de la start-up Internet of Trust, se sont lancées dans la création d'une entreprise sur un domaine encore peu défriché : celui des activités de conseil et de services dans la sécurité pour les objets connectés, au sens large du terme. Une problématique qui, à l’aune de la montée en puissance de l’Internet des objets, devient cruciale pour les équipes de développement, alors que paradoxalement la culture “sécurité” est encore peu ou pas répandue chez les développeurs. Car mettre en œuvre des briques technologiques pour apporter une part de sécurité à un objet est une chose, mais avoir une vision globale de la sécurité au sein d’un projet, associée à une analyse claire des actions à mettre en place, en est une autre. Et c’est justement à ce niveau qu’Internet of Trust apporte son savoir-faire pointu. « Après avoir acquis des compétences étendues dans le domaine de la carte à puce et des mobiles, notamment au sein des activités de Trusted Logic/Trusted Labs, société acquise en 2009 par Gemalto, notre volonté est d’apporter cette expertise dans le domaine de l’Internet des objets où la dimension "cybersécurité" est encore peu prise en compte, explique Claire Loiseaux. Notre modèle économique est celui des sociétés de services basé sur des prestations forfaitaires. »

Claire Loiseaux, cofondatrice et CEO d'Internet of Trust

Créé début 2014, Internet of Trust est capable, sur n’importe quel projet, d’étudier des solutions fonctionnelles et techniques adaptées aux contraintes de sécurité spécifiques de l’application, d’identifier des architectures logicielles et des propriétés de sécurité adaptées et de mettre en place des méthodes efficaces pour atteindre un niveau de sécurité cible. « Pour parvenir à ces objectifs, nous sommes en capacité de mener des projets complets, de l’analyse de sécurité à la certification, en intégrant avec l’utilisateur un ensemble d'exigences techniques, réglementaires, organisationnelles à respecter, précise Claire Loiseaux. Et nous aidons à la préparation de l'évaluation et de la certification en laboratoire de systèmes, d’objets ou d’équipements qui incluent des composants de sécurité comme le TEE (Trusted Execution Environnement ou environnement d’exécution de confiance) qui permet de séparer des environnements d’exécution et qui garantit la protection des données sensibles. »

En d’autres termes, Internet of Trust accompagne les utilisateurs dans la mise en place de schémas de certification, en définissant des règles, et la manière d’être compatible avec ces règles. Une démarche inspirée de celle appliquée dans le domaine de la carte à puce et qui s’adapte aux contraintes du domaine de l’Internet des objets. Avec notamment un temps de développement et des coûts qui doivent être bien inférieurs. « Sans compter la prise en compte de problématiques qui n’existent pas dans la carte à puce, un univers relativement fermé, comme par exemple la nécessité dans l’Internet des objets de mettre à jour régulièrement le logiciel embarqué », explique Claire Loiseaux.

Une participation au projet ODSI piloté par Orange 

Depuis sa création, Internet of Trust a d’ores et déjà travaillé avec l’organisation GlobalPlatform qui standardise la gestion des applications sur des composants sécurisés. La collaboration a porté sur la définition et la mise en place d’un schéma de certification pour le TEE, avec des méthodes, des outils et la définition d’un catalogue d’attaques, jusqu’à l’analyse des résultats en laboratoire. En parallèle, la jeune société a défini plusieurs schémas de certification pour les acteurs de la DRM (Digital Rights Management). La start-up est aussi partie prenante dans le projet européen ODSI (On Demand Secure Isolation) porté par Orange. Il s’agit ici de travailler sur l’isolation de services sur des équipements partagés, avec une analyse concrète sur une dizaine de cas d’usage. Via une approche de la sécurité basée sur des composants logiciels et matériels, ODSI vise à mettre en place des modèles de sécurité standard, utilisables sur des applications de volume dans le M2M et l’Internet des objets. Et ce à travers la définition d’un cadre (framework) doté des éléments nécessaires pour atteindre une certification globale inspirée des Critères Communs et basée sur des composants ayant un niveau de sécurité élevé. Pour ce faire, les membres du projet développeront une méthodologie de Lego capable d’assurer et de propager un niveau de sécurité pour un système évolutif combinant des briques technologiques, elles-mêmes certifiées. 

« On touche avec ce projet à une problématique complexe des objets connectés, comme par exemple celle qui touche les compteurs communicants, à savoir le risque de propagation à grande échelle d’une attaque lorsqu'une faille de sécurité a été repérée sur un objet, note Claire Loiseaux. Pour que ces objets ne deviennent pas des portes d’entrée pour des attaques malveillantes, il faut des briques de haute sécurité, des guides de programmation, des bonnes pratiques à mettre en place au sein des équipes de développement. Bref, il faut faire une programmation “responsable”. »

 

Source : Harman

Autant d’objectifs qu’Internet of Trust aide à atteindre à travers son activité de service. Une approche qui devrait se développer dans les années à venir, tant les besoins semblent immenses. « D’autant plus que sur les ”gros” objets communicants comme les voitures par exemple, la surface d’attaque, et c’est aussi une des caractéristiques de l’Internet des objets, est très grande, poursuit Claire Loiseaux. D’où la nécessité de réaliser une analyse exhaustive des failles de sécurité, et des portes d’entrée à protéger, avec l’apport d’un conseil extérieur. »

Afin de s'imposer sur ce créneau porteur, Internet of Trust compte embaucher rapidement pour atteindre dans les trois ans qui viennent un effectif d’une quinzaine de personnes.