Sécurité : l’ANSSI en faveur de l’auto-certification des objets connectés

Pour Guillaume Poupard, directeur de l'agence française, la sécurité des objets connectés devrait passer par leur certification. L'institution discute avec la Commission, qui montre déjà son intérêt sur le sujet, avec l'idée de pousser l'auto-certification.

En fin d'année dernière, Mirai montrait l'ampleur que peuvent prendre des attaques fondées sur des centaines de milliers d'objets connectés. Suite à l'infection massive de routeurs (notamment en Allemagne) et d'appareils divers, comme des caméras IP, le sujet de leur sécurité toute relative est rapidement remonté à la surface.

L'une des illustrations les plus concrètes était le rappel massif de caméras, aux identifiants écrits en dur dans le code. Si jusqu'ici, l'Agence nationale de sécurité des systèmes d'information (ANSSI) privilégiait le dialogue, l'idée d'une labellisation commençait à émerger sérieusement. Dans son rapport de mi-parcours du marché unique numérique, la Commission affirmait travailler à l'étiquetage et la certification des objets connectés. Une perspective soutenue par l'agence européenne de sécurité... et par l'ANSSI, comme elle nous l'affirme.

L'auto-certification envisagée

Interrogé en marge du Cloud Independance Day 2017, ce matin, Guillaume Poupard affirme qu'en matière de sécurité numérique, « il nous faut un système d'évaluation et de labellisation adaptable, pour que tout ne soit pas au même niveau ». Les objets connectés représenteraient l'un des niveaux de base, ce qui ouvre la voie à l'auto-certification par les fabricants.

« Quand on fait un chiffreur IP [passerelle de VPN], je ne crois pas à l'auto-certification. Mais quand ce sont des objets dont l'impact, même en termes de défaillance de sécurité, n'est pas énorme, cela a le grand mérite de passer à l'échelle, explique le directeur de l'ANSSI. C'est cette idée que nous travaillons avec la Commission. »

Avec de tels soutiens, l'idée de labels dédiés à l'Internet des objets est donc en très bonne voie en Europe. L'efficacité d'un tel tampon reste encore à éprouver.

Alors que le Règlement général de protection des données (RGPD) doit protéger le traitement des données personnelles, il existe encore peu de contraintes concrètes quant aux appareils qui les collectent. Pour l'ENISA, il faudrait d'ailleurs imposer un niveau de sécurité minimal à ces équipements, en jouant par exemple sur les polices d'assurance des sociétés qui les utilisent.

L'agence européenne propose d'ailleurs de favoriser les entreprises européennes dans ce domaine. L'idée est soutenue par Olivier Midière, ambassadeur du numérique du Medef, qui déclare au Cloud Independance Day qu'il y a un vrai besoin d'une vraie production industrielle de ces objets en France, dans l'idée de soutenir la souveraineté nationale sur la question.

Un label ESCloud bientôt sous pavillon européen ?

Pour sa part, l'ANSSI est déjà habituée aux labels, l'une de ses missions étant la certification d'offres et de produits. En matière de cloud, fin 2016, l'institution lançait le label SecNumcloud, avec quelques premiers prestataires lauréats. Pour éviter une démarche franco-française, il a été immédiatement complété par le label franco-allemand ESCloud, l'Allemagne contribuant via son étiquetage « C5 ».

Guillaume Poupard affirme que, si ESCloud est un appel à tous les pays européens, aucun n'y a encore répondu à sa connaissance. « À mon avis, l'étape d'après sera une reprise du sujet par la Commission elle-même, avec un label directement européen » nous déclare-t-il.

« On travaille beaucoup en ce moment avec la Commission sur le sujet global de l'évaluation européenne. Pour éviter une fragmentation nationale insupportable ou des accords mondiaux avec une barre si basse que cela n'a plus beaucoup de sens » poursuit le responsable, dont l'agence exploite toutes les voies à sa portée pour diffuser sa parole auprès des institutions.