Pas seulement pour le mois de la cybersécurité

• Contrairement à d’autres fournisseurs de Smart Lock : les données à caractère personnel et les données de sécurité ne sont pas enregistrées sur des serveurs de Nuki.
• Gestion transparente des potentielles failles de sécurité : Nuki est l’un des rares fabricants de serrures de porte électroniques à divulguer une grande partie de ses API.
• Nouvelles ordonnances européennes sur la cybersécurité et la cyberrésilience : le pionnier des Smart Locks de Graz satisfait déjà aux principales caractéristiques, avant même l’entrée en vigueur officielle.

Tous les ans en octobre, l’Agence de l’Union européenne pour la cybersécurité (ENISA) remet le sujet de la cybersécurité au centre de l’attention. L'objectif du Mois européen de la cybersécurité est d’attirer l’attention sur les risques et les dangers sur Internet et de renforcer les connaissances sur les questions de sécurité informatique. Pionnière des Smart Locks, il est important pour Nuki de prendre ses responsabilités en tant qu’entreprise – et ce pas seulement pendant 31 jours par an. « Nous souhaitons apporter une contribution à augmenter la confiance dans la sécurité des Smart Locks », explique Jürgen Pansy, cofondateur et directeur de l'innovation. Avec de nombreuses approches et concepts, l’idée est de garantir que les serrures intelligentes restent des objets sûrs, même dans un monde de plus en plus connecté.

Pour Nuki, la sécurité et la protection des données sont des valeurs fondamentale depuis le développement du premier prototype. Jürgen Pansy déclare à ce propos : « Pour nous, les données les plus sûres sont celles que l’on ne divulgue pas. » C’est pourquoi les Smart Locks de Nuki sont conçues depuis la première génération de manière à ne pas nécessiter de compte utilisateur obligatoire. Les données ne sont pas enregistrées sur les serveurs Nuki. Tous les produits – à l’exception de la Nuki Box – peuvent être utilisés sans compte utilisateur. Cela vaut aussi bien pour l’utilisation locale par Bluetooth que pour l’accès à distance. Dans les deux cas, les données à caractère personnel et liées à la sécurité ne sont enregistrées que localement sur les appareils terminaux et non sur les serveurs de Nuki. La seule exception est Nuki Web, un service cloud pour lequel des données sont stockées temporairement sur des serveurs de Nuki. L’activation du service est une option qui peut être très pratique dans certains cas : les appareils Nuki peuvent être gérés dans un aperçu sur un PC ou un ordinateur portable. Un compte pour Nuki Web est également requis pour l’intégration dans certains systèmes domotiques basés sur le cloud (Google Home, Amazon Alexa). Là aussi, Nuki est très engagée envers les normes de sécurité élevées : grâce à conservation des données dans l’Union européenne, l’hébergement est soumis à de strictes dispositions en matière de protection des données, qui garantissent la protection élevée des données des utilisateurs.

Pour la sécurité, l’entreprise autrichienne mise sur le chiffrement de bout en bout. Dans ce cadre, on utilise une clé secrète qui n’est connue que de l’expéditeur et du destinataire. Des algorithmes de chiffrement solides, similaires à ceux des banques en ligne, et le processus d’authentification « défi-réponse » assurent l’impossibilité d’intercepter ou de copier et de reproduire à nouveau des commandes de blocage à la Smart Lock.

C’est une chose de s'imposer des normes élevées au niveau de la sécurité et de la protection des données. C’en est une autre de faire contrôler ces références par des bureaux externe et indépendants. C’est pourquoi Nuki fait certifier ses serrures de porte électroniques depuis la première génération par l’institut indépendant « AV-TEST » en tant que « Produit IoT sûr ». Cela démontre ainsi le haut niveau de sécurité continu – à nouveau d’ailleurs pour la quatrième génération de Smart Lock. Par ailleurs, l’« Ultion Nuki », un produit commun avec le partenaire britannique Brisant Secure, explicitement développé pour le marché britannique, a obtenu une certification particulièrement prestigieuse. Le « BSI Kitemark for the Internet of Things » atteste également que la sécurité physique et numérique de cette Smart Lock satisfait aux normes les plus élevées.

Les risques et les menaces en termes de cybersécurité évoluent très rapidement. Cela introduit un avantage important des Smart Locks : la possibilité d’exécuter des mises à jour de sécurité via une connexion en ligne. Les utilisateurs reçoivent ainsi automatiquement des mises à jour et peuvent toujours maintenir les fonctions de sécurité au niveau le plus actuel de la technique. Les failles de sécurité sont ainsi refermées et les nouvelles menaces sont repoussées en toute fiabilité. L’appli de Nuki vérifie régulièrement si des mises à jour sont disponibles, et en informe de manière proactive. Jürgen Pansy explique à ce sujet : « Grâce à leur actualisation régulière et à l’utilisation d’applis pour les mises à jour de sécurité, nos Nuki Smart Locks sont ainsi des solutions modernes et sûres. Elles s’adaptent continuellement aux nouvelles exigences de sécurité et offrent ainsi une protection fiable. »

Et quel niveau de transparence Nuki applique-t-elle concernant les potentielles failles de sécurité ? « En tant que l’un des rares fabricants de Smart Locks, nous avons divulgué une grande partie de nos API. Cela permet aux développeurs de contrôler l’architecture de sécurité de notre serrure de porte électronique et d’exclure les points faibles », souligne le directeur de l’innovation de Nuki. Cette transparence vise à garantir que les technologies utilisées correspondent aux normes de sécurité actuelles et protègent contre les attaques potentielles. La divulgation responsable (responsible disclosure) et les programmes de prime aux bogues (bug-bounty) sont des éléments importants supplémentaires de la stratégie de sécurité de Nuki. Les experts en sécurité ont ainsi la possibilité de signaler directement à Nuki les points faibles avant que ces derniers soient rendus publics. L’entreprise est ainsi en mesure de prendre rapidement des mesures et de fermer les failles de sécurité. Un programme de prime aux bogues offre également des incitations financières à trouver et à signaler les points faibles. Selon M. Pansy, toutes ces précautions au sens de la transparence offriraient une contribution décisive à une amélioration continue des mesures de sécurité.

Les jalons les plus récents pour la sécurité des appareils IoT au sein de l’UE sont le Cyber Security Act (CSA) et le Cyber Resilience Act (CRA). Ces ordonnances ont été adoptées en 2023 et en 2024 par le Parlement de l’Union européenne. Le Cyber Security Act entrera en vigueur au 1er août 2025, le Cyber Resilience Act à partir de 2027. Les deux actes juridiques ont pour objectif d’assurer une encore plus grande sécurité pour les appareils IoT dans l’UE et de renforcer la confiance dans cette technologie. « Chez Nuki, nous sommes fiers de pouvoir annoncer que nous satisfaisons aujourd'hui déjà à toutes les principales caractéristiques du CSA et du CRA », déclare Jürgen Pansy pour conclure.