Équipe RGPD aide les clients avec des concepts de sécurité

Posted By : Alice Matthews
Équipe RGPD aide les clients avec des concepts de sécurité

L’équipe RGPD de Rutronik récemment mise en place aide les clients lors de la mise en œuvre du règlement avec des concepts de sécurité, des composants et des conseils. Le délai pour la mise en œuvre du Règlement Général européen sur la Protection des Données (UE-RGPD), et de la législation sur la protection des données la plus sévère appliquée jusqu’ici qui en découle, expire le 25 mai 2018. 

À cette date, presque toutes les entreprises traitant des données personnelles devront avoir mis en œuvre d’importantes mesures de protection de ces données. « Cela présente un immense défi pour les entreprises, » a déclaré Bernd Hantsche, chef de la division Embedded & Girelles chez Rutronik. « En effet, elles doivent non seulement comprendre le règlement et les effets sur leur entreprise, leurs processus et leur produits, mais également définir et mettre en œuvre des mesures appropriées, ce qui est loin d’être anodin pour un sujet aussi vaste et complexe que la sécurité. » 

Pour les développeurs de matériels et de logiciels ainsi que les chefs de produits, ce sont en premier lieu les articles 25 « Protection des données par la conception technique et les pré réglages respectueux de la protection des données » et 32 « Sécurité du traitement des données » qui sont décisifs. « Ces passages de texte laissent de nombreuses questions sans réponse. C’est pourquoi nous avons créé une équipe impliquant toutes les divisions destinée à aider nos clients à trouver les réponses aux questions de ce genre et à élaborer des concepts système complets répondant au règlement UE-RGPD, » a expliqué Hantsche.

Cryptage
Ce règlement prescrit entre autres la nécessité de crypter les données personnelles en tenant compte des techniques les plus récentes et des coûts de mise en œuvre. Par ailleurs, il convient de tenir compte du type, de l’étendue, des circonstances et des objectifs du traitement tout comme de la probabilité et de la gravité des risques. « Mais quelles sont les données directement ou indirectement personnelles ? Et que signifie « les techniques les plus récentes » pour les différents composants et systèmes ? Faut-il toujours et partout un cryptage asymétrique avec RSA ou le procédé AES, ECC ou encore le cryptage hybride SSL/TLS suffit-il dans certains cas ? » fait remarquer Hantsche. Un manque de clarté similaire marque aussi les autres dispositions.

« Celui qui consulte les différents forums Internet concernant ces sujets craint plutôt de ne pas pouvoir satisfaire aux prescriptions au lieu d’obtenir des réponses à ses questions. Nombreux sont ceux qui craignent une avalanche d’avertissements. Notre équipe nous permet non seulement de donner à nos clients des réponses fondées, mais également de leur proposer des solutions adéquates. »

Au sein de l’équipe RGPD de Rutronik, des spécialistes des divisions de produits supports de stockage, télécommunications, Embedded Boards, Embedded Systems, composants de sécurité, micro-contrôleurs, afficheurs et capteurs travaillent main dans la main. Cette équipe conseille les développeurs et les gestionnaires de portefeuille dans la conception sécurisée de la transmission, l’enregistrement et le traitement des données. Hantsche, qui dirige l’équipe, a décrit son fonctionnement comme suit : « La discussion avec le client nous apprend quels sont les points critiques pour la sécurité dans l’application en question, de quel type les éventuels risques peuvent être et à quel niveau se situe le risque. Après clarification de ces points, notre équipe sera en mesure d’élaborer un concept système conforme au RGPD » 

Ce concept englobe tous les composants et systèmes qui d’une quelconque manière sont pertinents pour la sécurité de l’application. Ceux-ci doivent être très bien adaptés entre eux car beaucoup dépendent les uns des autres et génèrent une interaction. À cet effet, les différents experts travaillent en étroite collaboration. En tant que distributeur généraliste, Rutronik dispose tant des composants et des systèmes que du savoir-faire pour couvrir complètement de tels concepts et proposer à ses clients des solutions globales – les « packs sérénité ».

En plus des conseils personnalisés, l’équipe de compétence élabore actuellement en coopération avec les fabricants concernés un livre de compétences complet regroupant les connaissances fondamentales et le lien pratique aux composants, technologies et applications complètes.

« Mais les aspects classiques que sont la transmission, l’enregistrement et le traitement des données ne suffisent pas. L’ingénierie sociale par exemple ne cesse de prendre de l’ampleur et les fabricants d’appareils devraient en tenir compte. » Avec l’ingénierie sociale, les fraudeurs se servent tout simplement d’une paire de jumelles pour obtenir votre code PIN ou mot de passe ou ils volent la clé ou le transporteur RFID pour ouvrir les portes ou autoriser l’utilisation d’appareils. De cette façon, ils contournent n’importe quel code PIN ou mot de passe, aussi astucieux soit-il. « Mais il existe des remèdes également à l’ingénierie sociale, comme par exemple les capteurs d'empreintes digitales et les capteurs d'iris biométriques, les systèmes de caméra 3D pour la reconnaissance faciale ou tout au moins des afficheurs spéciaux avec un angle de vision particulièrement petit, » a affirmé Hantsche. « De même, le choix du protocole radio optimal et de mécanismes décelant le code malveillant dès le démarrage compliquent considérablement le travail des fraudeurs. »

Les haut-parleurs : risque au niveau de la protection des données
Qu'il s’agisse du bruit généré par les automates de jeu au casino, de la musique en arrière-plan dans l’ascenseur ou encore du distributeur de cigarettes qui vous dit : « Votre choix n’est malheureusement pas disponible actuellement » on constate de plus en plus la présence de haut-parleurs dans différents appareils. La plupart du temps, le visiteur du casino ou l’acheteur a son smartphone en poche. Cette combinaison peut faire office d’espion : lors de l’installation, certains amplis exigent l’accès au micro, chose à laquelle la plupart des utilisateurs ne font guère attention. Mais au printemps 2017, l’Université technique de Weltanschauung a détecté rien que dans Zooglée Plan Store 234 amplis dotées d’une fonction de balise de repérage à ultrasons Silves. Cette fonction permet de détecter où se trouve l’utilisateur d’un smartphone même si la géolocalisation est désactivée. Pour ce faire, les haut-parleurs émettent des codes aigus dans la plage de fréquences comprise entre 18 et 20 khi, à peine perceptibles à l’oreille humaine, mais pouvant être captés sans problème par le micro du smartphone  – une violation évidente de la protection des données !

Dans ce contexte, un concept de sécurité pourrait comprendre les composants suivants : un TPM (Truste Plateforme Module ou module de plate-forme fiable), détectant un code malveillant dès le démarrage, une communication sécurisée et cryptée avec des certificats valides et un échange de clés asymétrique ou hybride ainsi qu’une série d’autres mesures de protection sur toutes les couches verticales de logiciel et de communication. Par ailleurs, un filtre passe-bas analogique intervient à une fréquence de coupure élevée et un haut-parleur adapté à des fréquences inférieures à 18 khi comme l'eAS09208AR-R de PUI Audio par exemple, peuvent s’avérer utiles en dehors de la portion de circuit numérique.


Connectez-vous afin de laisser un commentaire

Laissez un commentaire

Aucun commentaire




Sign up to view our publications

Sign up

Sign up to view our downloads

Sign up

Vietnam International Defense & Security Exhibition 2020
4th March 2020
Vietnam National Convention Center, Hanoi