Cysec banalise la sécurisation renforcée du back-end des réseaux de l’Internet des objets

Cysec logo

[PORTRAIT DE START-UP] La start-up suisse Cysec Systems a développé un environnement sécurisé qui apporte les HSM (Hardware Security Module), bien connus dans le monde bancaire, aux infrastructures de l’Internet des objets en assurant un niveau de sécurité élevée, une facilité de mise en place et la possibilité de déployer « as-a-service ». La firme helvète a déjà séduit des acteurs de l’IoT, des fournisseurs de services LoRaWAN et des opérateurs de constellations de nanosatellites...

Les boîtes noires transactionnelles ou HSM (Hardware Security Module) sont traditionnellement utilisées dans les établissements financiers pour sécuriser les transactions bancaires. Elles servent principalement à générer et à stocker des secrets cryptographiques utilisés pour chiffrer et signer des données. Alors que la sécurité devient en enjeu vital pour les applications émergentes de l’Internet des objets (IoT), notamment au niveau des objets connectés eux-mêmes, on pourrait a priori supposer que l’utilisation des HSM irait de soi pour sécuriser le back-end des architectures distribuées typiques de l’IoT. Seul problème (mais il est de taille), les composants HSM, s’ils sont extrêmement performants du point de vue de la sécurité, sont généralement très complexes à mettre en œuvre dans une infrastructure, ce qui les rend inaccessibles pour la plupart des entreprises qui n’ont ni l’expertise, ni les ressources ou les budgets pour en bénéficier.

Mathieu Bailly, vice-président IoT et Spatial de Cysec Systems

Oui mais ça, c’était avant ! Avant que la jeune société suisse Cysec Systems, créée en mai 2018 par trois ingénieurs de la firme genevoise ID Quantique, dont son ex-directeur technique Patrick Trinkler, aujourd’hui CEO de la start-up, ne prenne le problème à bras-le-corps. « Cysec a décidé de renverser la situation en ouvrant les composants HSM au plus grand nombre et en les rendant compatibles avec les outils modernes de virtualisation, ce qui permet d’ajouter ou de modifier aisément les applications qui doivent être protégées, détaille Mathieu Bailly, vice-président Business Development de la jeune pousse, en charge des marchés de l’IoT et du spatial. La couche de firmware ad hoc, qui constitue la réelle valeur ajoutée de Cysec, a nécessité dix-huit mois de développement. Cette approche permet d’intégrer de multiples applications logicielles dans une unique machine et réduit de ce fait les dépenses d’investissement et d’exploitation, tout en réduisant les risques en simplifiant l’architecture. De cette manière nous répondons aux besoins de l’Internet des objets en assurant un niveau de sécurité élevée, une facilité de mise en place et la possibilité de déployer « as-a-service » ! »

Une couche de virtualisation au-dessus du HSM

Dans la pratique la jeune pousse a développé sous le nom d’ARCA un environnement sécurisé qui se présente sous la forme d’un serveur physique (photo ci-contre) au sein duquel est intégré un HSM. ARCA contient aussi la fameuse couche de virtualisation qui fait tourner des applicatifs sous la forme de conteneurs Docker et qui, via des API, leur permet d’accéder à des services cryptographiques utilisant des secrets de type clés privées. L’environnement peut être déployé sur site si les clients souhaitent gérer leur propre infrastructure ou « as-a-service » depuis un hébergeur partenaire de Cysec.

« ARCA1, le premier produit de Cysec, a été lancé début 2019 sur le marché de la finance et il est aujourd’hui déployé chez un certain nombre de clients en Europe, y compris en France, et à Singapour, précise Mathieu Bailly. Nous en avons lancé plus récemment une deuxième version, ARCA2, calibrée pour les marchés émergents non régulés comme l’IoT qui n’ont pas besoin des niveaux de certification qu’exige le secteur de la finance. ARCA2 est beaucoup plus accessible financièrement qu’ARCA1 et plus simple d’utilisation. » Parallèlement Cysec a lancé fin 2019 son offre « as-a-service » avec trois applications clés en main visant à sécuriser une flotte d’objets connectés (authentification PKI, signature de firmware, gestion basique de clés).

Schéma synoptique de l'architecture ARCA2

Dans le domaine de l’IoT, la jeune pousse, qui compte une vingtaine de collaborateurs, peut déjà se prévaloir de quelques références. Ainsi le grenoblois Lancey Energy Storage, qui a créé un radiateur électrique intelligent et connecté permettant de stocker l’énergie puis de la réinjecter dans le réseau domestique pour alimenter les appareils électriques de la maison et alléger la facture, a retenu l’une des applications de Cysec. Celle-ci peut authentifier chaque objet connecté à l’aide d’un certificat numérique signé et stocké dans le serveur ARCA depuis le centre de données de l’entreprise à Lausanne.

De son côté, Geosatis, un fabricant mondial de solutions de surveillance électronique et d’analyse prédictive pour le système de justice pénale, utilise l’application Cysec permettant de signer le firmware qui est exécuté sur les bracelets électroniques. Enfin, la start-up s’est associée en 2019 avec la société française Insight SiP pour développer en deux ans une solution de communication sécurisée de bout en bout pour les dispositifs médicaux de type IoT (lire, pour plus de détails, notre article ici).

Opération séduction vers les fournisseurs de services LoRaWAN

La start-up suisse, qui est membre de l’alliance LoRa, a également signé des partenariats significatifs dans le domaine des réseaux longue portée et basse consommation LPWAN. Fin avril, Cysec a ainsi été retenu par le fournisseur de services de connectivité LoRaWAN pour objets connectés The Things Industries (TTI) pour assurer la sécurité des déploiements de réseaux LoRaWAN privés de grande échelle. La collaboration entre les deux entreprises vise à déployer les deux briques logicielles fondamentales du cœur de réseau LoRaWAN de TTI (le Network Server et le Join Server) sur l’environnement sécurisé ARCA. Le HSM de l’environnement pourra ainsi être utilisé pour générer et stocker les secrets cryptographiques qui sont nécessaires pour mettre en œuvre les fonctions de sécurité du réseau LoRaWAN telles que les opérations de chiffrement ou de signature. D'autres partenariats de ce type devraient être annoncés dans les mois qui viennent...

Le spatial appliqué au monde de l’Internet des objets est un autre domaine émergent où la jeune start-up peut aussi se prévaloir de quelques succès. « Nous sommes très étonnés par le fait qu’un certain nombre de satellites sont gérés avec très peu de mécanismes de sécurité mis en place, observe Mathieu Bailly. Or les risques de cybersécurité sont importants et peuvent avoir des incidences non négligeables, par exemple en cas de collision intentionnelle due à une cyberattaque. Celle-ci pourrait créer de nombreux débris et mettre en péril l’utilisation de l’orbite basse terrestre. » Cysec a ainsi fourni une solution de gestion des clés cryptographiques à son compatriote Astrocast dont l’objectif est de déployer une constellation de plusieurs dizaines de nanosatellites pour connecter les 90% de la surface terrestre non couverts par des réseaux IoT terrestres (lire notre article ici).

Sécuriser un cloud dans l'espace

La société collabore également avec l’américain SpaceBelt dont l’ambition est de proposer à l’horizon 2021 des services de stockage de données et de connectivité sécurisés au sein d’un cloud situé dans l’espace en orbite basse et reposant sur une dizaine de satellites. Plus récemment encore, Cysec a signé un contrat avec l’Agence spatiale européenne afin de développer une solution permettant de mieux protéger les liaisons par satellite dans le domaine maritime. Le but du projet, mené avec le concours du fabricant de modules de communication sans fil et de géolocalisation u-blox et de la société GomSpace, un concepteur, intégrateur et fabricant danois de nanosatellites, est de s’intéresser à la mitigation des risques cyber liés aux communications par satellites des bateaux. De fait, un bateau en mer ne dispose que d’un accès restreint au réseau terrestre, et ce uniquement lorsqu’il est proche des côtes. Il dépend donc largement de la connectivité offerte par les satellites, que ce soit pour les outils de navigation GPS ou Galileo, les communications avec la terre ou les connexions à Internet.

Or les cyberattaques se font de plus en plus fréquentes sur ces systèmes de communication, de façon volontaire ou involontaire, et peuvent affecter de façon dramatique les opérations du bateau et la sécurité de l’équipage. Plusieurs exemples de perte de signal de localisation ont ainsi été reportés à proximité de zones de conflit par des attaques dites de spoofing du système de navigation, ce qui donne lieu à des situations de panique à bord. Quasiment tous les équipements à bord sont en effet dépendants des données de localisation et, sans signal de positionnement par satellite, manœuvrer un cargo de 300 tonnes la nuit tout près des côtes relève de la quadrature du cercle…

A noter que la start-up a procédé fin 2018 à une levée de fonds de 1,5 million de francs suisses et devrait conclure d’ici à quelques semaines un tour de table d’un montant à huit chiffres.