Merci pour la rapidité et la précision de vos réponses !
Juste 2 précisions :
- pour la CNIL, malgré la notion de domicile privé, la société eedomus dispose d'une fichier de données personnelles parfois sensibles (identité, adresse, présence ou absence des propriétaires, photos du domicile, consommation électrique, etc), donc nécessité de déclarer d'après moi. Le mieux serait d'interroger un CIL ou la CNIL directement.
- je m'interroge surtout sur cet aspect et le risque que vous fassiez un jour l'objet d'une attaque d'un "hacker-voleur" ou d'un réseau plus structuré. Malgré la taille de certaines grosses boites (So.y, Am.z.n, F.c.b..k) et le budget sécurité qui va bien en face, il ne faut parfois pas longtemps à ces réseaux parallèles pour trouver la faille d'un système qui les intéresse.
Il faudrait que vous trouviez des pistes pour pallier à une compromission du serveur. Par exemple, votre serveur peut-il encaisser les tentatives de connexion via mot de passe "en brut force" ? Si l'intrus utilise une faille de sécurité connue ou pas, s'introduit sur le serveur, peut-il récupérer les hash de tous les passwd (et par déduction, si les tailles de passwd sont petites, trouver des password ayant les même hash...)? Une fois introduit, peut-il se faire passer pour le support et donc, s'il a les habilitations, configurer et piloter les box des clients ?
Peut-être une première piste serait par exemple d'envoyer un SMS au client à chaque évènement important (numéro stocké sur une autre base de données si possible...) ? ou de n'autoriser le pilotage des équipements qu'à partir du réseau interne du client ?
Ce qui pourrait être assez rassurant pour vos clients, ce serait que vous cherchiez à obtenir les certifications ISO 27000 (audits réguliers de sécurité, PSSI, EBIOS, etc)
Je vous renvoie au site de l'
ANSSI qui fournit multiples informations sur ce sujet.
Le parano du jour...
L'équipe eedomus