Sécurisation de l’Internet des Objets : rencontre avec Nicolas Courtin (ECL1991) Information Security Compliance Officer chez Kudelski IOT
Quels liens y-a-t-il entre les antiques décodeurs pirates Canal+, les ordinateurs quantiques et les traqueurs autonomes automobiles ? La réponse avec Nicolas Courtin (ECL1991) qui après avoir travaillé plus de vingt ans dans le domaine du contrôle d’accès pour la Télévision Digitale au sein du groupe Kudelski, s’occupe depuis peu de la compliance de la sécurité de l’information et de la cyber sécurité pour la nouvelle entité d’Internet des Objets du groupe.
Technica. Bonjour Nicolas. Pouvez-vous nous présenter votre rôle et missions chez Kudelski SA en tant que Information Security Compliance Officer ?
Depuis quelques semaines, je suis passé de l’entité Nagravision du groupe Kudelski qui est active dans le domaine de la Télévision Numérique (les cartes à puces pour les décodeurs Canal+), à la nouvelle division Kudelski IOT spécialisée dans la sécurisation de l’Internet des Objets :
-
Laboratoire d’analyse sécuritaire d’objets connectés (par différents vecteurs d’attaque)
-
Fourniture d’éléments sécuritaires à intégrer dans des puces
-
Service d’approvisionnement de clés de cryptage et communications sécurisées pour objets connectés
-
Système de gestion de flotte automobile et de récupération de véhicules volés utilisant des traqueurs embarqués
Je travaille en particulier sur les aspects de compliance concernant la sécurité de l’information et de la cybersécurité sous la direction du Business Unit Information Security Officer de l’entité IOT du groupe Kudelski.
Ma mission est de :
-
Mettre en place le référentiel documentaire décrivant les règles et bonnes pratiques à suivre lors du développement de nos solutions
-
Aider les équipes projets à définir et mettre en place les contrôles et la production des évidences associées afin de pouvoir recevoir les certifications visées (par exemple ISO 27001)
-
Être, dans certain cas, l’interface entre le client et les équipes projets sur ces aspects
-
Rassembler les évidences et veiller au résultat positif des audits internes et externes liés aux certifications ISO
-
Participer à la coordination avec le CISO du groupe et son équipe de sécurité Corporate
La difficulté essentielle réside dans la capacité à proposer des solutions pragmatiques qui apportent des plus-values sécuritaires à nos solutions et d’assurer le succès des certifications sans être excessif, ce qui pénaliserait le coût des développements et la productivité des équipes.
Technica : Quels sont les projets sur lesquels vous travaillez actuellement?
A l’heure actuelle je travaille sur deux projets. Le premier projet est la solution RecovR qui est actuellement déployée au États-Unis chez des revendeurs de véhicules automobiles. Le système repose sur de petits traqueurs autonomes (avec batterie suffisante pour plusieurs années) cachés dans le véhicule et communicant leur position à une application mobile via un backend dans le cloud. Cette solution permet en premier lieu aux vendeurs de retrouver rapidement les véhicules lorsqu’un client veut les essayer, ces premiers pouvant avoir plusieurs centaines de véhicules disséminés dans plusieurs parkings. Cette solution peut aussi permettre de localiser des véhicules volés. Les revendeurs ont ensuite la possibilité de fournir ce traqueur aux acheteurs du véhicule avec un service associé sur trois ans.
Comme pendant ces 3 ans, nous allons continuellement monitorer la position des véhicules de personnes privées, nous devons nous assurer de protéger la confidentialité de ces données. D’où le besoin d’une certification ISO 27001 (systèmes de management de la sécurité de l’information).
Le deuxième projet est le développement de modules sécuritaires pour des chips (primitives cryptologiques, protection contre des attaques physiques ou logiques…). Certains de ces chips pouvant être intégrés dans l’électronique embarquée d’automobiles et avoir un impact sur la sécurité de ces véhicules, nous devons être certifiés selon la norme ISO 21434 (cybersécurité des véhicules routiers), ainsi que la norme Common Criteria (pour l’évaluation de la sécurité des systèmes d’information). Pour des raisons de ségrégation de l’information, je n’ai de mon côté pas accès à des détails d’architecture et d’implémentation. Je ne peux discuter avec les équipes que des processus et des contrôles mis en place.
Technica : Vous venez de fêter vos 20 ans d'ancienneté chez Kudelski SA. Quelles ont été les étapes marquantes de votre carrière durant ces deux décennies? Comment votre métier a-t-il évolué ?
La première étape marquante coïncide avec mon transfert de la filiale Française (rachetée par Kudelski à Canal+) au siège en Suisse. J’ai alors changé de type de poste (ingénieur système à responsable d’une équipe de développement), de domaine technique (solution Canal+ vs solution Kudelski), et de culture (la culture suisse du travail et de la hiérarchie est très différente par rapport à la France). Je dois avouer que la transition fut rude et il faut s’accrocher pour réussir à s’adapter.
Après quelques années, je suis passé dans le département de gestion de projets où je m’occupais au départ plus particulièrement du suivi des évaluations techniques et au coût des demandes des clients. J’y ai participé à la transition d’un développement traditionnel (cycle en V) à la mise en place d’un framework de développement agile adaptés aux larges équipes (framework SAFe - scaledagileframework.com).
A l’issue de cette transition agile, mon poste a évolué vers la gestion des allocations d’équipes et de suivi du portfolio de projets avec la création de rapports des coûts prévisionnels des projets et des coûts réalisés, ainsi que le support et la formation des équipes de développement concernant le framework agile.
Mon poste s’est ensuite enrichi du développement et l’administration d’un outil maison pour la gestion des allocations et le calcul de vélocités agiles et des coûts projets, ainsi que la création de rapports PowerBI divers et variés pour supporter les équipes et le management.
Enfin, à la suite de besoins de la nouvelle entité IOT, je suis entré dans le domaine de la compliance à temps partiel, puis à temps complet quelques semaines plus tard quand ma collègue gérant cette partie dans mon équipe a changé de poste. En fait, j’ai plus souvent eu l’impression de changer de métier que de voir mon métier évoluer !
Technica : Quels ont été les grands sauts technologiques qui ont jalonné ces 20 ans ?
En 20 ans, le monde de la Télévision Digitale a beaucoup changé. Au début il s’agissait d’un domaine avec peu de concurrence et de très fortes marges où il s’agissait essentiellement de protéger des « boîtes à zapper » avec des cartes à puces concentrant l’essentiel des efforts sécuritaires. Il fallait ainsi lutter contre les pirates qui vendaient des cartes clonées.
Avec l’avènement d’internet, les pirates ont remplacé les cartes clonées par des clés de décryptages des contenus directement disponibles sur des serveurs, ce qui nous a amenés à inventer de nouvelles contre-mesures.
Le saut technologique suivant fut l’émergence de contrôle d’accès software à bas coût, rendu possible par la connexion directe des décodeurs aux serveurs des opérateurs et la mise à jour logicielle rapide en cas de piratage.
Puis l’arrivée du streaming, et de Netflix en particulier, a fortement déstabilisé nos clients que sont les opérateurs câbles et satellites en leur faisant perdre de nombreux abonnés.
La dernière grande révolution en date vient de l’augmentation de la bande passante disponible, qui a permis aux pirates de partager directement le contenu vidéo et non plus les clés pour le décrypter; protéger ces clés n’était donc plus suffisant et il a fallu inventer une manière de marquer les contenus pour découvrir l’origine de la fuite (watermarking qui est une modification de l’image ou du son de manière imperceptible pour les humains).
Personnellement j’ai plutôt été impacté par l’arrivée de l’agilité puis celle de PowerBI qui a changé la façon de gérer et de présenter les données. Pour les domaines spécifiques tels que le framework agile SAFe ou la norme ISO 27001, j’ai suivi des formations dédiées. Pour tout ce qui est langage ou applicatifs (SQL, JavaScript, PowerBI…), je préfère essayer et chercher les solutions à mes problèmes concrets sur internet dans les tutoriels ou les forums.
Technica : Peut-on s'attendre à de nouveaux upgrades techno dans les prochaines années qui impacteront votre travail et par effet rebond nos usages ?
Un des plus gros impact prévisible ces prochaines années dans le domaine de la cybersécurité est l’avènement des ordinateurs quantiques. En effet, ces ordinateurs seront capables de casser les techniques de cryptage actuelles très facilement. D’ailleurs, de nouveaux algorithmes de cryptage ont déjà été développés de façon à pouvoir être utilisés sur les ordinateurs actuels sans problème, mais aussi pouvoir résister aux ordinateurs quantiques.
On pourrait se dire que les ordinateurs quantiques ne sont pas pour demain, mais il faut penser que certains systèmes déployés aujourd’hui seront encore en service dans 10 ou 20 ans, voire plus (on ne remplace pas un réseau national d’antennes GSM en 2 semaines). Les grandes puissances actuelles sont en train d’enregistrer un maximum de données cryptées dès aujourd’hui pour pouvoir les décrypter dans 10 ou 15 ans (par exemple les données techniques d’un nouvel avion de chasse).
Une des activités du groupe actuellement est ainsi d’aider ses clients à évaluer leur exposition à cette « menace » quantique et d’établir les plans de mise en place de mesure correctives.
Le deuxième domaine avec de forts impacts sur la cybersécurité est l’IA. Les journaux parlent beaucoup des pirates qui peuvent professionnaliser à bas coût leurs attaques. Mais le corollaire est que les entreprises ont de leur côté déjà commencé à intégrer l’IA dans leurs outils de cyberdéfense. On peut s’attendre à de nombreuses évolutions des deux côtés.
Un aspect moins connu est le fait de laisser fuiter des informations sensibles en utilisant l’IA pour son propre usage. Par exemple en faisant corriger un code informatique par une IA, on prend le risque que l’IA utilise ce code pour son apprentissage et le publie à d’autres utilisateurs.
De même, pour parler d’un aspect qui me touche plus directement, on peut mettre en danger la confidentialité de données personnelles de clients. Enfin, en utilisant les réponses d’une IA, on peut utiliser des contenus protégés par le droit d’auteur sans le savoir. Tout ceci qui peut mettre en danger une certification ISO, crée un risque contractuel, voire judiciaire très important avec le GDPR. Il y a tout un domaine de nouveaux contrôles à mettre en place pour se prémunir de ces risques de compliance.
Technica : Quelle part tient la R&D dans votre activité ?
Dans mon activité personnelle, la R&D ne tient pas un grand rôle, même si j’ai toujours effectué des taches annexes à la R&D. Au niveau du groupe, l’innovation est essentielle. Les salaires étant élevés en Suisse, le groupe ne peut se démarquer en proposant des tarifs agressifs, mais en proposant des solutions innovantes. Il y a actuellement beaucoup de recherche concernant l’informatique quantique, l’intelligence artificielle, les algorithmes de cryptologie dans le domaine de la cybersécurité.
Pour la Télévision digitale, des développements sont toujours en cours pour le Watermarking cité plus haut, ainsi que de l’utilisation de l’IA pour surveiller des connexions suspectes lors de sessions de streaming ou la mise en place de jumeaux digitaux des abonnés pour pouvoir calculer les rabais optimaux à offrir à ceux qui veulent résilier leur contrat. Nagravision a aussi développé une solution pouvant être intégrée aux routeurs existants pour gérer et protéger les objets connectés des foyers avec par exemple des fonctionnalités de contrôle parental. Ce produit est actuellement en phase de déploiement expérimental chez un opérateur partenaire.
Le groupe collabore aussi très régulièrement pour des projets de recherche avec l’EPFL (Ecole Polytechnique Fédérale de Lausanne), une école d’ingénieur qui se trouve à une vingtaine de kilomètres du groupe, et qui est un vivier important de futurs employés.
Technica : Pour conclure, quels sont les profils d'ingés que recherchent une société comme Kudelski ?
Kudelski mise plus sur des profils très pointus. Les compétences recherchées sont donc avant tout une grande expertise technique pour monter sur des postes d’ingénieur de développement dans le cloud, l’embarqué, ou le hardware, mais aussi de consultants en cybersécurité et en compliance sécurité en passant par des ingénieurs de détection et de défense contre les hackers (blue team), ou encore d’experts d’attaque cyber qui évaluent les défenses de nos clients (red team) etc.
La société dispose de deux écoles d’ingénieurs dans un rayon de 25 kilomètres dont l’EPFL qui est placée au-dessus de l’Ecole Polytechnique française dans certains classements internationaux, ce qui complique malheureusement les possibilités pour les jeunes Centraliens de se faire remarquer.
Aucun commentaire
Vous devez être connecté pour laisser un commentaire. Connectez-vous.