IDNomic : "Un véritable travail de fond à mener auprès des ETI et des PME"

JA. IDnomic s'est fait de l'identité numérique une spécialité. Appliquée à l'automobile, que cela veut-il dire ?

Coralie Héritier. Nous sommes en effet une société spécialisée dans l'identité numérique en général, ce qui implique plusieurs secteurs d'activité, jusqu'à la sécurisation des documents administratifs tels que les passeports biométriques ou, à l'étranger, les cartes d'identité électroniques. Pour ce faire, nous sommes éditeur de logiciels permettant l’émission et la gestion de certificats électroniques pour les personnes et les objets, technologie que l'on appelle "Public Key Infrastructure" (PKI) afin d'établir un réseau de confiance numérique. A titre d'exemple, des constructeurs et équipementiers automobiles en France et à l’étranger utilisent nos solutions dans le cadre de communications internes à l'entreprise ou dans les véhicules.

JA. Est-ce ce qui vous a amenés à être impliqués dans le projet Scoop, le programme de véhicule autonome européen ?

CH. En effet, les constructeurs français nous ont intégrés à des projets d'innovation. D'abord au sein du programme ISE, à l’IRT SystemX, qui pendant trois ans s'est concentré sur la sécurité IT, pour le V-to-V et le V-to-X. Ensuite, et cela s'inscrit dans la continuité, ils nous ont invités à participer à Scoop@France. Cette expérimentation permet de mettre à l'épreuve en réel une large partie de ce que nous avons simulé dans les laboratoires de SystemX.

JA. Après ces expérimentations, quels sont les premiers enseignements et ajustements ?

CH. Nous mettons à l'épreuve la performance du système de sécurité. Il y a peu d'écart avec la théorie, mais nous devons lever quelques verrous techniques et aussi nous assurer de la stabilité du système avec la montée en charge. Il a fallu adapter la technologie PKI à de nouveaux usages et de nouveaux réseaux de communication, notamment changer le format des certificats électroniques générés par cette PKI. Ces adaptations ont requis la coopération entre partenaires technologiques, par exemple avec le fournisseur de cartes cryptographiques. Du point de vue réglementaire, nous ne rencontrons pas encore de problème puisque nous sommes au stade de test. En parallèle des actions techniques, nous participons à la réflexion menée par des groupes de travail œuvrant à la standardisation au niveau européen.

JA. Les calendriers divergent selon les secteurs de compétences. De votre point de vue, quand le véhicule du futur pourra-t-il devenir une réalité maîtrisée ?

CH. Le véhicule du futur peut arriver très vite. Il va évoluer par itération. Pour ce qui a trait à la sécurité de ses communications, le principe prôné par le projet Scoop est d’embarquer dans ces véhicules de nouvelle génération une technologie standardisée mutualisable, réplicable dans les différentes versions sans surcoût majeur. Les industriels dicteront le rythme de production de ces véhicules du futur, par conséquent le déploiement de ces nouveaux standards de sécurité IT seront tributaires de leurs calendriers.

JA. Quels seront les droits et les devoirs des conducteurs de demain, et de fait que cela changera-t-il pour l'industrie automobile ?

CH. Ce n'est pas vraiment notre domaine de compétence, il faudra compter sur le législateur. A ce titre, le RGPD, le règlement européen à entrer en vigueur en mai 2018, est une bonne chose pour l'industrie. Il permettra d'éviter les dérives en matière de gestion des données personnelles. Toutefois, les conducteurs ne seront pas pour autant dégagés de toutes leurs responsabilités.

JA. L'identité numérique concerne aussi les entreprises, quels sont les investissements consacrés ?

CH. Les grandes entreprises maîtrisent le déploiement des solutions d'identité numérique. En revanche, il y a un véritable travail de fond à mener auprès des ETI et des PME. Elles doivent apprendre à ne plus fonctionner comme des groupes isolés et appliquer les même pratiques que les grands groupes, car chaque projet en connexion avec une chaîne de clients et/ou fournisseurs  est susceptible de présenter une faille de sécurité, dans un contexte qui n'a jamais vu les sociétés être aussi exposées à des attaques massives. Nous attendons des pouvoirs publics qu'ils imposent une réglementation et un accompagnement qui permettront aux plus petites entreprises de s’aguerrir aux enjeux et pratiques de cybersécurité.

JA. La responsabilité se partage. Comment allez-vous composer votre écosystème, chez IDnomic ?

CH. Nous procédons à une identification de nouveaux partenariats potentiels et à un renforcement des existants. Les secteurs des "secure elements" et la microélectronique sont privilégiés. Ensuite, nous réfléchissons à la complémentarité avec les technologies de chiffrement, d'authentification unique (SSO) ou encore de blockchain qui assure l'intégrité et la traçabilité. C’est dans cette logique de complémentarité qu’IDnomic a participé à la création du groupement Hexatrust, association rassemblant des PME de la cybersécurité et ayant vocation à proposer au marché un panel d’offres permettant de couvrir l’ensemble des besoins de sécurité IT. IDnomic est par ailleurs partenaire de la CyberTaskForce, un groupement créé cette année avec un programme ambitieux de sensibilisation des parlementaires aux questions de cybersécurité et aux actions susceptibles de soutenir la filière française.

JA. Autant de projets qui vous demandent de l'investissement, mais que pèse le marché de la sécurisation de l'identité ?

CH. Notre étude stratégique réalisée en 2016 n'a pas permis d'aboutir à une évaluation précise. La perception dans les entreprises sur ce marché évolue très vite, notamment dans le secteur de la sécurité des objets connectés et de l’industrie 4.0. Considère-t-on les investissements comme un enjeu de sécurité en soi ou un enjeu stratégique d'entreprise ? Il faudra encore du temps pour que les entreprises tranchent.