Les sociétés collectant des données sur des citoyens de l’Union Européenne doivent respecter de nouvelles règles strictes établies par le Règlement Général sur la Protection des Données (RGPD) depuis le 25 mai dernier. Peux-tu nous en dire plus sur ce règlement, ces règles sur les données privées ainsi que leurs impacts sur les sociétés et sur les consommateurs ?

Le RGPD est une harmonisation des 28 réglementations nationales sur la protection des données, réglementations datant de plus de vingt ans et ayant donc perdu de leur efficacité face aux diverses évolutions de ces deux dernières décennies, telles que l’augmentation des failles de sécurité et l’arrivée de technologies disruptives. Ce règlement définit les standards minimum pour la gestion, la sécurisation, et le partage de données personnelles des citoyens européens.

Le RGPD a un impact important sur les sociétés puisqu’il s’applique à toutes les organisations, établies ou non au sein de l’Union Européenne, qui traitent les données liées aux citoyens de l’Union Européenne. De plus, c’est une obligation légale qui, si non appliquée à la lettre, a des sanctions financières lourdes (4 % du CA ou 20m€). Afin d’être en conformité avec le RGPD, les sociétés vont devoir notamment  tenir un registre de leurs activités relatant au traitement des données personnelles, émettre des notifications dans le cadre de failles de sécurité ainsi que mettre en place des Délégués à la Protection des Données (DPO).

Concrètement, ce règlement renforce les droits des citoyens quant à leurs données personnelles, d’une part, en apportant plus de transparence, les utilisateurs devant être informés de l’usage de leurs données, et, d’autre part, en rendant ces données « portables », c’est-à-dire que toute utilisateur pourra récupérer ses propres données et les transmettre à un tiers.

Qui dit données et leur protection dit solutions logicielles mais est-il possible de protéger les données avec des solutions physiques/hardware ?

Le RGPD indique spécifiquement, dans l’article 32, le chiffrement et la pseudonymisation comme moyens de protection de données appropriés.

La pseudonymisation consiste à séparer les données d’un identifiant quelconque afin qu’elles ne soient pas liées à une personne.

Le chiffrement rend la compréhension des données impossible à toute personne n’ayant pas accès à la clé de déchiffrement.

Or, l'Agence Européenne chargée de la Sécurité des Réseaux et de l'Information (AESRI) recommande d’effectuer les opérations de chiffrement et de déchiffrement de manière locale, recommandation qui implique que les clés de chiffrement soient systématiquement en possession du propriétaire des données. La gestion et la sécurisation des clés de chiffrement est donc essentielle et c’est dans ce cadre que les solutions physiques/hardware deviennent primordiales car, en stockant les clés cryptographiques dans un module matériel sécurisé, on empêche physiquement l’accès à ces clés.  Ces modules cryptographiques permettent d’assurer l’intégrité des clés cryptographiques et toutes les opérations cryptographiques sont effectuées à l’intérieur de ces modules, les clés n’en sortant jamais.

Intégrer une solution physique/hardware à un système informatique garantit donc la plus haute sécurité possible. D’autant plus que la gestion des clés contenues dans les modules se fait via un quorum d’administrateurs et de responsables de la sécurité. Ainsi, en cas de tentative de manipulation physique des modules, ces derniers peuvent autodétruire les données qu’ils contiennent.

Worldline aide bien évidemment ses clients à être en conformité avec le RGPD avec ses solutions logicielles mais mettons-nous également à leur disposition des solutions physiques/hardware ?

Parfaitement, nous fabriquons des modules cryptographiques, et ce depuis plus de 30 ans, et nous proposons aujourd’hui la dernière génération en date qui se nomme ADYTON. Ce nom n’a pas été choisi au hasard. En effet, il signifie, en grec ancien, « le lieu dans lequel on ne peut entrer » et fait également référence à une pièce dans les temples grecs antiques.

L’ADYTON est donc un module cryptographique et également un accélérateur cryptographique. Il répond aux exigences élevées de sécurité requises dans le secteur de la finance, ce qui est une référence pour tout autre secteur traitant des données sécurisées et confidentielles. 

L’ADYTON permet de manière très simple et performante de gérer les clés cryptographiques et de chiffrer les données de l’entreprise.

Comment l’ADYTON se démarque-t-il des solutions similaires disponibles sur le marché ?

Il existe en effet quelques éléments principaux qui distinguent l’ADYTON des autres modules présents sur le marché.

Le premier concerne la fiabilité et la performance, le tout en maintenant un coût total de possession très attractif. En effet, l’ADYTON est certifié FIPS 140-2 niveaux 3 et 4 pour le matériel, ce qui est la certification FIPS la plus élevée. De plus, il embarque directement en façade les interfaces utilisateurs telles que l’écran, le clavier, le lecteur de carte-à-puce, le lecteur biométrique et le port USB.  Enfin, l’ADYTON ne contient aucune pièce mobile ou rotative, ce qui assure une plus longue durée de vie.

Le second élément, extrêmement apprécié par les utilisateurs de notre module, est son design. En effet, il s’agit d’un module, de la taille d’un boitier de télévision, qui peut s’insérer « à chaud » dans son rack sécurisé. Son interface est conviviale, puisque des assistants affichés sur son écran permettent une prise en main extrêmement rapide.

La prise en main de l’ADYTON est en effet très explicite puisque l’accent a été mis sur la convivialité et la facilité d’usage. En quelques minutes à peine, l’ADYTON peut être configuré et ce sans procédures ou documentations complexes.

Enfin, une fonctionnalité essentielle de l’ADYTON est le clonage, qui permet très simplement de dupliquer et synchroniser un ADYTON vers, ou depuis, un autre ADYTON sur le réseau. Ceci est particulièrement utile pour ajouter simplement et rapidement un nouveau module sur le réseau, mais aussi pour mettre à jour l’ensemble d’un parc d’ADYTON lorsqu’une nouvelle clé secrète doit être rajoutée par exemple.

Au-delà du RGPD, à quelles autres problématiques actuelles l’ADYTON répond-il ?

Initialement, l’ADYTON répondait déjà à des problématiques du monde de la finance, plus spécifiquement dans le cadre des opérations sécurisées liées aux paiements électroniques et il est vrai que ce module est adapté à tout marché dans lequel une cryptographie haute sécurité est requise de par la valeur des données traitées. Par exemple, pour le chiffrement de base de données en clair et la signature électronique, mais il y en a d’autres : dans la production industrielle lors de l’injection de clés de chiffrement dans les puces TPM (Trusted Platform Module) ; dans le marché de l’énergie, avec la sécurisation des compteurs intelligents ; ou encore dans les télécoms lors de la personnalisation de carte à puce SIM ou les mobile wallets.