Blog GlobalSign

07 juil. 2017

IoT : intégrer la sécurité au niveau du MVP ou du POC L’approche Développement vs l’approche Achat

Quelle que soit la solution IoT, les entreprises doivent avant tout miser sur la création de valeur.

Pendant la phase de mise en œuvre, chaque brique technologique supplémentaire peut potentiellement entraîner une fuite de valeur. Quant aux choix d’inclure, ou d’exclure, certaines technologies, ils peuvent nuire à l’efficacité ou générer des risques. Faut-il valider le concept ou créer une architecture viable sur le long terme ? Trouver le juste équilibre est tout un art...

Lorsque l’on développe une solution, il est essentiel de se concentrer sur les fonctionnalités phares. Impossible cependant d’ignorer les technologies sous-jacentes, notamment celles qui sont dédiées à la sécurité. Même si la sécurité n’est pas l’argument clé de l’offre, c’est un point auquel clients ou partenaires se montreront attentifs et exigeants.

La question fait d’ailleurs écho au grand défi des entreprises qui, lorsqu’elles conçoivent leur Produit Minimum Viable (MPV), doivent plutôt miser sur la sécurité dès la conception (Security by Design) qu’offrir une sécurité en option.  Globalement, ces sujets autour de la définition d’une approche ou d’un cadre adapté, mais aussi sur la façon de rallier la direction aux enjeux de sécurité et sur les achats ont déjà été abordés dans d’autres billets de notre blog :

L’approche « Security by Design » permet aux entreprises de mieux rentabiliser leurs investissements dans la sécurité dans la mesure où les modifications sont bien plus faciles et économiques à intégrer dans le cycle de vie des produits ; les fonctions de sécurité et de confidentialité appropriées étant rarement optionnelles !

Une sécurité forte pour la fabrication des objets de l’IoT

...manufacturer can easily overlook cybersecurity as there is so much involved, even at the stage where you are simply trying to get the board to invest. The thing to remember is not to scare the board with trendy names of vulnerabilities or the latest technologies, simplify everything and put it in their language – the language of money that is.

Des directions peu concernées par les bonnes pratiques de cybersécurité dans l’automobile... Comment obtenir leur adhésion ?

Vaut-il mieux développer ou acheter une solution de sécurité évolutive pour votre MVP ou POC (Proof of Concept)

Supposons que l’entreprise ait dépassé la posture et les exigences de base en matière de sécurité. Elle doit avoir identifié et hiérarchisé les risques auxquels les technologies de sécurité doivent répondre, et avoir recueilli l’adhésion de la direction.

Pour chaque objectif de sécurité, elle doit trancher et choisir de développer ou d’acheter les technologies à utiliser pour limiter les risques.

Bien souvent, les solutions logicielles « maison » ou gratuites séduisent les équipes qui ne disposent que de ressources financières limitées. Mais, dans le domaine des technologies de sécurité, si l’on ne fait pas appel à des fournisseurs et des partenaires de confiance, on s’expose généralement à d’autres risques.

Et comme si cela ne suffisait pas, sans un minimum de planification, les projets sont voués à l’échec. Le succès d’un projet IoT passe par une production à l’échelle industrielle. Votre équipe doit alors également prendre en compte la capacité des technologies de sécurité à s’adapter à de telles échelles. Au-delà des caractéristiques de base de ces technologies, la réflexion portera également sur les spécificités de leur mise en œuvre. Comment l’ensemble fonctionnera-t-il après la phase pilote, une fois que des milliers, des millions ou des dizaines de millions d’appareils auront été fabriqués ?

Nous vous recommandons de concentrer vos ressources sur le développement des fonctionnalités principales de votre solution et de faire appel à des experts chevronnés pour les composants de sécurité. Dès lors que l’on choisit les bons fournisseurs et partenaires, la solution est assurée de respecter les bonnes pratiques de gestion des identités et de sécurité, sur la base d’un modèle de coûts qui reste compétitif.

Programmes GlobalSign pour développeurs et partenaires IoT

GlobalSign a bâti ses plateformes et services de telle sorte que les risques et la gestion de PKI puissent être externalisés. Avec l’aide de notre programme pour développeurs, nous travaillons avec les entreprises à l’évaluation des déploiements PKI, depuis le POC jusqu’à la mise en production.   Pour démontrer la valeur de leur POC, ces services peuvent être déployés à plus petite échelle, avec la même interface et le même service qu’en production réelle. Les entreprises peuvent ensuite faire évoluer leur déploiement de production complet à plus grande échelle.  Et pour garantir la pérennité de l’écosystème, un bon architecte prendra en compte ce critère d’échelle.

Nous avons également créé un réseau de partenaires de sécurité complémentaire.  Ce réseau nous permet de répondre à toutes les questions de sécurité liées à l’Internet des Objets — sécurité logicielle ou matérielle, protection des clés sur les appareils, fonctionnement sécurisé, cycle de vie et mises à jour des appareils, sans oublier la connectivité Cloud. Pour en savoir plus sur nos partenariats et découvrir des exemples d’utilisation de nos solutions conjointes pour sécuriser vos écosystèmes IoT, rendez-vous ici : Identités vérifiables en action.

GlobalSign travaille avec des développeurs, des partenaires et diverses communautés au déploiement rapide de [solutions] d’identité et de sécurité dans les écosystèmes avec un investissement minimum et des délais de mise sur le marché les plus courts possible. Vous êtes en cours d’évaluation d’un POC pour votre projet d’IoT ? Parlons-en !

Partager ce blog