RGPD : "Sélectionner la technologie la plus adaptée pour être en conformité"
Le réglement 2016/679 dit réglement général sur la protection des données (RGPD) est un texte européen. Il est relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Il abroge la directive 95/46/CE et est applicable à toutes les entreprises et organisations qui hébergent des données personnelles de citoyens européens à parir du 25 mai 2018.
Installateurs, mainteneurs et intégrateurs sont en première ligne sur la protection des données. Ils doivent repérer les failles, conseiller au mieux et sélectionner les matériels qui répondent à la fois au besoin client et à la protection des données. Pour l’Anitec qui représente nombre d’entre eux, le RGPD est une priorité.
L’Anitec (Alliance des intégrateurs de technologies connectées/sécurisées/pilotées), fusion des syndicats SVDI et S2ICF, rassemble des intégrateurs, installateurs et mainteneurs qui interviennent pour le compte de clients publics ou privés dans les marchés porteurs (smart city, smart building, smart home). Elle a récemment publié un guide sur le sujet. Lilian Caule, ingénieur Affaires techniques Sûreté et Sécurité, a participé à sa rédaction.
Face au Risque. Quel sera l’impact du RGPD sur le travail des intégrateurs, installateurs et mainteneurs ? Comment s’y préparent-ils ?
Lilian Caule. Depuis un an, nous anticipons l’arrivée du RGPD qui introduit de nouveaux droits pour les citoyens, ce qui représente un défi pour nos entreprises. Il entérine l’obligation du « devoir de conseil » et la mise en oeuvre d’une étude d’impact sur la vie privée (EIVP). Si celle-ci est à la charge du responsable du traitement, nous devons sensibiliser nos adhérents qui seront consultés par les DPO (Data Protection Officer) des clients dans le cadre de notre « devoir de conseil », sur les interactions techniques et les failles potentielles des installations effectuées par l’intégrateur.
Le texte de portée générale exprime la responsabilité, voire la co-responsabilité, entre responsables du traitement et sous-traitants en ce qui concerne la protection des données. L’affaire devient plus complexe pour les intégrateurs travaillant avec des clients plus modestes (bijouteries, pharmacies, bureaux de tabacs…), dont les besoins en matériels connectés, sécurisés et pilotés explosent. L’accompagnement de cette clientèle assurera la partie déclarative et de signalement. Elle permettra d’aiguiller le client sur les risques et de sélectionner la technologie la plus efficiente et adaptée pour être en conformité.
Comment sécuriser les systèmes de vidéosurveillance et de contrôle d’accès face aux risques de piratage et de violation des données ?
L. C. Le RGPD a le mérite de présenter des exigences techniques pour assurer la sécurité des données d’une solution par l’intégration de solutions logicielles ou de mécanismes spécifiques. Le règlement nous oblige, dans son article 25, à prendre en compte le concept de « privacy by design ». Il s’agit de la notion du respect de la vie privée dès la conception d’un système d’information, d’une base de données, d’une application, d’un logiciel, d’un matériel par le fabricant, et une garantie conformité pour le client final. Nous espérons voir disparaître les matériels « marque blanche », parfois vendus dans le commerce, qui représentent un véritable scandale en termes de qualité et de sécurité. Cela obligera la totalité des fabricants de capteurs IoT à intégrer des solutions de sécurité logique. Car de nombreux appareils surfent sur la mode de la consommation instantanée du service au détriment de la sécurité.
Le concept de « privacy by design » sera-t-il suffisant ?
Nous ne pouvons pas compter uniquement sur ce concept et croire en la seule responsabilité des fabricants. Il nous faudra penser à l’intégration d’autres couches comme les notions d’anonymisation et de pseudonymisation. La première est plus aisée à appliquer, puisqu’il s’agit de l’effacement des données au bout d’un « certain temps ». La deuxième notion, plus complexe, concourt à ne pas identifier directement un individu. Elle doit permettre, selon les besoins du responsable de traitement, de réidentifier la personne. Cette notion de ré-identification est potentiellement porteuse d’une faille de sécurité. Si la clé secrète est percée par un hackeur ou si elle fait l’objet d’une compromission par un de nos techniciens, que l’action soit accidentelle ou intentionnelle, c’est l’ensemble du système installé qui est menacé.
Ce n’est pas seulement technique ?
Effectivement, la « faille humaine » et l’ingénierie sociale sont une évolution managériale inédite qui nous oblige à réfléchir sur nos modes de management. Le guide Sécurité des données et des réseaux dans les diagnostics de sécurité électronique que nous avons rédigé incite les entreprises à prendre en considération les meilleures pratiques.
La mise en œuvre de procédures et consignes d’intervention inclut la sensibilisation des personnels intervenants comme des encadrants. L’idée est que, pour chaque projet, le responsable de chantier mette en œuvre, avec le DPO, un plan d’intervention conforme au RGPD. Document qui devra rester traçable et archivable numériquement par l’entreprise intégratrice en cas de contrôle a posteriori.
Apparaissent également dans le RGPD et ses exigences la notion du CID (Confidentialité, Intégrité, Disponibilité) et la résilience. Le savoir-faire de nos mainteneurs prend toute son importance et permet de contractualiser plus précisément les interventions curatives et préventives.
Quelles sont les nouvelles technologies qui répondent le mieux à cette réglementation ?
L. C. Les solutions « full IP » et la vidéosurveillance intelligente et ses capteurs gonflés aux algorithmes (VSI) font l’objet d’une demande de plus en plus forte. Les demandes sont également nombreuses pour les systèmes radio, les stockeurs NVR Plug & Play ainsi que pour le stockage dématérialisé. L’attaque survenue au mois d’octobre sur le wifi WPA2 apporte des questionnements. À ce jour, aucun correctif n’est encore validé par l’autorité publique. La vidéoprotection est vulnérable et une attaque botnet massive est à craindre prochainement.
Cela nous oblige à repenser les mix technologiques, parfois à conseiller, pour les périmètres extérieurs, à la réintégration de l’analogique, qui reste un système plus sûr. Dans le domaine du contrôle d’accès, nous constatons auprès de nos adhérents des remontées d’informations sur les premiers arbitrages RGPD chez les clients finaux ou les services juridiques des grands comptes. Des matériels biométriques particulièrement performants sont actuellement démontés pour des produits plus classiques, les fabricants ne pouvant répondre aux besoins « privacy by design » du RGPD. Doit-on activer ou désactiver le FTP, le protocole telnet, le http(s) ? Il faudra peut-être envisager pour l’ensemble des services essentiels du réseau, le déploiement d’un plan de continuité. L’ensemble doit rester cohérent. Nous devons nous poser la question du juste prix et de l’efficacité des mesures.
Un travail de fond, au-delà des matériels, concerne l’exploitation, le degré de privilèges et de droits d’accès en fonction de l’activité, et la définition d’une organisation de gestion d’incidents. Ceci est d’autant plus important que le signalement d’un incident, d’une attaque opérée depuis l’extérieur par un hackeur ou d’une menace intérieure au sein même de l’organisation devra être signalé à la Cnil dans un délai de 72 heures.
Enfin, nous réfléchissons à la mise en œuvre, en partenariat avec CNPP, d’un « label RGPD » pour répondre à ce défi. La directive n’attendra pas une hypothétique transposition nationale, elle s’appliquera immédiatement à toutes les entreprises des États membres. Nous savons que beaucoup d’entreprises ne seront pas prêtes en temps et en heure.
Face au Risque : 01/02/2018, Propos recueillis par Valérie Dobigny
www.faceaurisque.com