Selon un sondage mené par OpinionWay en 2018, 76 % des français estiment que les objets connectés présentent un risque pour le respect de leur vie privée ou la protection de leurs données personnelles. La start-up Netatmo, spécialisée dans la domotique, l’a bien compris, et compte bien s’en servir comme argument de vente. Le recrutement de Guillaume Valadon, il y a un peu moins d’un an, confirme cette ambition. Aujourd’hui en charge de la sécurité chez la jeune pousse, il officiait auparavant à l’ANSSI, où il dirigeait le laboratoire de recherche sur la sécurité des réseaux et des protocoles. En arrivant chez Netatmo, il a découvert une entreprise déjà bien au fait de l’importance de la confidentialité.
« Dès le début du processus de création, on se demande quel est le minimum de données dont on a besoin », explique Florian Deleuil, chef de produit pour la start-up. « Avant même l’arrivée du RGPD, on essayait déjà d’expliquer, à chaque donnée sensible demandée à l’utilisateur, les raisons d’une telle requête. » Une procédure d’effacement de toutes les données est d’ailleurs proposée par Netatmo, qui propose également un service d’aide à la création de mots de passe pour les comptes utilisateurs. Pour rassurer ses clients (l’entreprise ne travaille qu’en BtoC et en BtoBtoC avec certains partenaires technologiques), la start-up s’appuie sur plusieurs promesses.
Security by design et stockage local
D’abord, et c’est le point sur lequel Guillaume Valadon a le plus travaillé depuis son arrivée, le « Security by design » implique les équipes de sécurité dès les prémices de chaque projet, afin d’inclure les problématiques de ce domaine le plus rapidement dans la chaîne. « Il y a parfois quelques frictions, mais avec un peu de pédagogie, on arrive toujours à trouver des compromis », sourit M. Valadon. Ensuite, il y a le stockage local. Si les données les moins sensibles se trouve dans des environnements Azure, les vidéos enregistrées sur place et les données biométriques sont stockées sur des cartes microSD chiffrées incluses dans les caméras. Les communications entre les serveurs, les produits et les smartphones servant à contrôler les objets connectés sont d’ailleurs elles aussi complètement chiffrées. Les produits se mettent à jour automatiquement, et sont pourvus d’une clef d’identification unique par appareil. Enfin, Netatmo fait des audits de sécurité régulièrement, aussi bien en interne qu’en externe, via des sociétés agrées qui réalisent des tests d’intrusion.
Les caméras de Netatmo n'enregistrent de la vidéo que lorsqu'elles ne reconnaissent pas le visage de la personne filmée. Un moyen de conserver le moins possible de données personnelles. (Crédit : Netatmo)
Aujourd’hui, trois personnes travaillent sur la sécurité dans l’entreprise, un chiffre qui devrait passer à « quatre ou cinq » avant la fin d’année. D’ici là, le prochain projet dans ce domaine sera l’obtention de la certification ISO 27001, qui concerne les « technologies de l'information, techniques de sécurité, systèmes de gestion de sécurité de l'information ».