Le temps, ou plutôt le protocole NTP de synchronisation des horloges des équipements informatiques, peut-il être une vulnérabilité dans la cybersécurité des entreprises ? Les attaques sur le GPS l’ont prouvé. SCPTime propose une technologie pour sécuriser ce protocole bien souvent négligé.
Startup implantée près de Grenoble, SCPTime a choisi une niche plutôt originale, celle de la sécurité du temps. Toutes les entreprises synchronisent leurs infrastructures informatiques sur une horloge dont l’origine est inconnue et pas nécessairement fiable, ce qui, selon les fondateurs de SCPTime, les expose à de potentielles attaques via le protocole NTP (Network Time Protocol).
Jacques Thimonier, responsable R&D de SCPTime, résume à Solutions Numériques l’enjeu de sécuriser l’horloge des infrastructures informatiques. « Des événements peuvent être “timestampés” de manière erronée, avec une erreur qui peut atteindre quelques secondes ou même quelques microsecondes, ce qui, dans le domaine du trading haute-fréquence, peut avoir de grosses conséquences. » L’attaque sur le temps la plus fréquente est celle qui affecte le GPS. On se souvient des aéroports de Nice et de Nantes temporairement bloqués du fait d’un brouilleur GPS, ou encore du port de Shanghai en 2018.
Un boîtier pour implémenter une couche de sécurité supplémentaire
« Nous venons sécuriser le protocole NTP en y ajoutant une couche de sécurité supplémentaire qui apporte à la fois un chiffrement mais aussi une traçabilité. Nous mettons en place des infrastructures sécurisées pour assurer la diffusion de cette donnée. » SCPTime va, en outre, chercher l’heure légale directement à sa source, l’Observatoire de Paris. Un boîtier dédié est installé dans le système d’information de l’entreprise. Ce dernier a pour fonction de récupérer le signal d’horloge, de le diffuser dans le système d’information et d’assurer un traçage complet des échanges à des fins légales. Un besoin de précision très élevé va nécessiter la pose d’une fibre dédiée.
La startup vise les secteurs du transport, avec une expérimentation en cours à la SNCF, le monde médical et la recherche. Parmi les premières références clients de SCPTime figurent Schneider Electric qui s’appuie sur sa technologie pour son IToT box, boîtiers de collecte des données IoT, ou encore Eolas pour son datacenter Mangin de Grenoble.
Alain Clapaud