Tribune de Hassan TRIQUI, Président de Secure-IC
Tout a été dit, écrit et surtout reproché aux GAFAM, en particulier quant à la captation des données. Mais la vraie bataille du numérique s’engage seulement maintenant : celles des objets connectés, et des usages et services associés, pour beaucoup encore à imaginer. Un futur qui ne peut s’écrire qu’à l’aune de données dont l’authenticité, l’intégrité et la confidentialité sont respectées. En bref, de données de confiance.
Ces deux dernières décennies, le numérique a connu un essor tel que même les analystes les plus optimistes n’auraient sans doute pas imaginé. Une croissance exponentielle s’est notamment construite sur la captation et la monétisation des données des utilisateurs, particuliers et entreprises, mais également organismes publics. Et cette tendance a été exacerbée avec l’amélioration progressive des réseaux à l’échelle mondiale et surtout avec l’accélération du cloud qui, par nature, abolit les frontières du numérique.
Dans cette première phase de transformation numérique et de génération de valeur autour de la donnée, il faut bien reconnaître que l’Europe n’a pas réussi à s’imposer. En outre, il est vain de chercher, dans ces domaines « historiques », à courir après des GAFAM dont l’avance semble irrattrapable. Pour autant, dans un contexte d’un numérique qui poursuit irrémédiablement son évolution, en particulier avec le développement de l’IoT, il s’agit de ne pas reproduire les mêmes erreurs, l’ignorance (ou l’angélisme) n’étant plus de mise aujourd’hui.
Car ces vingt dernières années semblent finalement s’apparenter aux simples balbutiements du futur numérique qui nous attend. Peu à peu, les objets du quotidien deviennent connectés, tandis que divers terminaux et autres capteurs viennent renforcer l’intelligence de tout immeuble (smart building), des moyens de production (industrie 4.0) ou encore d’un territoire tout entier (smart city). Le tout, autour d’un point commun : la donnée. Ou plutôt les données, tant les volumes sont importants avec déjà plus de 20 milliards d’objets connectés dans le monde, et leurs natures par essence variées.
Ce gisement colossal de données permet d’entrevoir tous les usages et tous les services possibles et imaginables. Et ceci dès aujourd’hui : optimisation de la consommation énergétique des foyers, gestion intelligente des véhicules pour réduire le nombre d’accidents, fluidification du trafic engendré par ces mêmes véhicules et donc réduction de la pollution dans les grandes agglomérations, adaptation en temps réel du niveau de production dans une usine, etc. Si les possibilités sont donc infinies, les dangers associés ne le sont pas moins en cas de compromission des données. Ce futur numérique ne pourra ainsi se construire que sur des socles technologique et réglementaire solides, constituées de données de confiance. Et c’est cette manche qui se joue sous nos yeux.
Confidentialité, Intégrité, Authenticité : le triplé gagnant de la donnée de confiance
Si la donnée est donc le terreau du futur, sa sécurité en est le fertilisateur : seule une donnée de confiance est utilisable et garantira le succès et la sérénité des usages, pour les entreprises autant que pour les autorités publiques et les particuliers. Comment imaginer construire ces multitudes d’usages et de services sur des données dont la confidentialité, l’intégrité et l’authenticité ne sont pas garanties ?
Ce triptyque confidentialité-intégrité-authenticité (CIA) de la donnée n’est évidemment pas un concept nouveau à proprement parler, et les responsables de la sécurité des systèmes d’information (RSSI) le connaissent et l’adressent bien sûr depuis longtemps. Mais ce qui relevait autrefois de systèmes d’information au périmètre bien établi, doit désormais composer avec des interconnexions permanentes, et surtout des objets connectés potentiellement dispersés un peu partout dans le monde. On parle d’ailleurs de « data everywhere ».
Assurer la confidentialité, l’intégrité et l’authenticité de la donnée nécessite donc une maîtrise pleine et entière sur l’ensemble de la chaîne, de la génération de la donnée par tel ou tel objet à son stockage, en passant par tous les éléments et équipements par lesquels elle transite et qui la traitent : objets connectés, dispositifs réseaux, serveurs, terminaux, etc. Ce n’est qu’à cette condition que la donnée pourra être qualifiée de donnée de confiance, et servir réellement et assurément le business et la sécurité des usagers et des citoyens.
Données de confiance : make the future great again !
Bien sûr, la donnée ne serait rien sans les usages qui en sont faits. Mais le sens de l’histoire semble montrer que l’inverse est tout aussi vrai, et notamment en cas de crises, périodes de tout temps propices à l’innovation. La crise sanitaire a ainsi été l’occasion d’une spectaculaire accélération du numérique, tandis que l’augmentation irrémédiable des prix de l’énergie devrait renforcer la gestion et l’adaptation des consommations à l’aide d’objets connectés, appelés à se déployer encore.
Face à ce déferlement, mettre en circulation – et utiliser – des objets connectés capables de garantir la confiance des données qu’ils génèrent n’est pas accessoire mais indispensable pour construire des usages et services numériques durables, et encore plus si l’on y ajoute l’intelligence artificielle. Mais si chaque entreprise développe cette confiance selon ses propres règles, le marché pourrait rapidement devenir illisible, et surtout contre-productif si la multiplicité des schémas de protection se poursuit.
Dans ce contexte, entreprises utilisatrices comme acteurs du secteur public et autorités politiques ont besoin de travailler main dans la main à l’établissement d’un environnement normatif capable de définir les normes de sécurité nécessaires. Ceci à l’image de la norme EN 303 645 publiée en 2020 qui pose les premiers jalons, sous la forme d’un label simple, car déclaratif, pour les fabricants d’objets connectés. Ceci dit, cette norme protège l’utilisateur contre des abus de ses données personnelles mais ne couvre pas encore la protection des données elles-mêmes.
Ce travail normatif, déjà partiellement engagé au niveau européen, devra aboutir rapidement afin de ne pas se laisser déborder par l’accélération des déploiements d’objets connectés. En d’autres termes, il s’agit ni plus ni moins que de veiller à ce que la construction de la société numérique de demain, qui est inéluctable, puisse dès aujourd’hui s’appuyer sur des données de confiance.
Hassan TRIQUI, Président de Secure-IC