• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
etat des lieux de la « sécurisation des échanges (chiffrement des données)  » dans le cadre du RGPD

Accueil » etat des lieux de la « sécurisation des échanges (chiffrement des données)  » dans le cadre du RGPD

etat des lieux de la « sécurisation des échanges (chiffrement des données)  » dans le cadre du RGPD

par Audit Pia | 13/Juil/2020 | Actu, Etats des lieux |

Aujourd’hui cruciale avec la digitalisation des entreprises, la sécurisation des échanges tient une place de choix dans le cadre du RGPD (Règlement Général sur la Protection des Données). Un sujet résolument au cœur de l’actualité avec la démocratisation du télétravail et des plateformes collaboratives. La pluralité des canaux de communication (messagerie électronique, cloud, dispositif de stockage amovible…) et des supports à traiter (documents, images, vidéos…) rendent cette mission d’autant plus délicate. Intégrité, confidentialité, authenticité : un triptyque à maîtriser absolument sous peine de voir ses données corrompues ou interceptées. Si le chiffrement des données est le plus souvent cité, certains écueils restent cependant à éviter. Faisons le point ensemble.

Sécuriser ses transmissions : une étape incontournable pour protéger les données de son entreprise.

Sécurisation des échanges : pour quoi faire ?

Le risque des échanges non sécurisés

Sans aucune mesure de protection supplémentaire, les échanges numériques présentent de nombreuses vulnérabilités. Dans l’exemple élémentaire de la messagerie électronique, citons notamment :

  • une altération, une modification ou une suppression de tout ou partie des messages ;
  • une interception des données sur le réseau ;
  • une diffusion involontaire de données personnelles suite à une manipulation erronée, pouvant porter atteinte à la vie privée ;
  • une connaissance directe des messages par des personnes tierces sans restriction (via l’accès aux serveurs de l’émetteur et/ou du destinataire).

Intégrité, confidentialité, authenticité : la base d’une transmission de données fiable

Mettre en place des stratégies efficaces pour assurer la bonne sécurisation des transmissions requiert de distinguer les notions d’intégrité, de confidentialité et d’authenticité.

Préserver l’intégrité des données consiste à s’assurer qu’elles n’ont subi aucune modification depuis leur création. Cela peut s’effectuer par une fonction de hachage cryptographique, qui associe à un message une empreinte digitale (ou valeur de hachage), encodée sur un nombre déterminé de bits. Une fonction de hachage efficace doit notamment :

  • calculer très rapidement la valeur de hachage ;
  • être à sens unique : on ne doit pas pouvoir trouver facilement un message correspondant à une empreinte ;
  • éviter les collisions : deux messages différents ne peuvent détenir la même empreinte.

Il suffit ainsi de comparer la valeur de hachage du fichier avant et après la transmission pour s’assurer que la donnée n’a pas été détériorée.

La confidentialité des données consiste à protéger un fichier, un message ou tout autre support numérique contre l’interception ou la lecture par des personnes non autorisées. Le plus judicieux reste la mise en place d’une procédure de chiffrement, qui rend la donnée illisible à quiconque tente d’y accéder sans y être invité. Elle repose sur un système de clés permettant de chiffrer et déchiffrer la donnée à envoyer.
Dans le cas simple du chiffrement symétrique, la même clé sert à chiffrer et à déchiffrer le message. Dans celui du chiffrement asymétrique, deux clés sont utilisées : une clé publique connue par les futurs expéditeurs pour coder leurs messages, et une clé privée tenue secrète par le destinataire pour les décoder.

L’authenticité des données garantit au destinataire d’un message que l’émetteur est bien celui qu’il prétend être. Le recours à une signature numérique permet de prouver l’identité de l’émetteur. Un chiffrement asymétrique de type RSA inclut cette fonctionnalité : il suffit que l’émetteur joigne à son message sa valeur de hachage chiffrée à l’aide de sa propre clé privée.

Protéger la transmission de données : les bonnes pratiques à adopter

Chiffrer ses données sensibles

Procéder au chiffrement des données, tout particulièrement les plus critiques, est la clé de voûte d’une stratégie de protection des échanges.
Avant de transmettre un fichier à un tiers sur un support externe (USB, disque dur…), n’oubliez pas de chiffrer les données avant leur enregistrement. Si vous optez pour une communication par messagerie électronique, instaurez un système de chiffrement à clés pour vos pièces sensibles. Dans tous les cas, transmettez ces mots de passe par un canal différent pour garantir la confidentialité des secrets (par exemple par SMS).

Certains algorithmes sont à privilégier : AES ou AES-CBC pour le chiffrement symétrique ou RSA-OAEP pour le chiffrement asymétrique. De même, bien choisir ses clés ne s’improvise pas : leur taille doit être suffisante pour ne pas être cassées facilement. Pour AES, des clés de 128 bits sont conseillées. En revanche, les algorithmes RSA attendent des modules et exposants secrets d’au moins 2048 bits ou 3072 bits, avec des exposants publics supérieurs à 65536.

Enfin, une gestion fine des clés demeure tout aussi capitale. Toute clé privée doit être protégée par un mot de passe afin d’en limiter l’accès. Envisagez également le cas où ces mots de passe seraient perdus ou verrouillés, en rédigeant une procédure adaptée.

Choisir le bon protocole de transmission

Afin de s’assurer de la confidentialité et de l’authenticité du serveur destinataire lors d’un transfert de fichiers sur le réseau, utilisez les protocoles sécurisés SFTP ou HTTPS. Veillez cependant à employer leurs versions les plus récentes.

Protéger ses autres infrastructures

Si Internet concentre souvent toute l’attention dans la sécurisation des transmissions, les autres moyens de communication s’avèrent parfois négligés. Pourtant, les autres dispositifs doivent aussi faire l’objet de précaution, comme le fax. Pour ce dernier, pensez à :

  • conserver le fax dans une pièce dédiée et accessible uniquement aux personnes autorisées ;
  • afficher le fax destinataire lors de l’envoi d’un message ;
  • faire parvenir les documents originaux au destinataire en double ;
  • préenregistrer vos contacts dans le carnet d’adresses de l’appareil, s’il existe.

La mise en œuvre du RGPD en matière de sécurisation des échanges fait naître de nombreuses problématiques au sein de l’entreprise par sa complexité technique et organisationnelle. De fait, elle nécessite bien souvent le recours à des professionnels compétents. Pour aller plus loin dans la protection et le chiffrement de vos données, contactez-nous via le formulaire ci-dessous.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook