12.06.2020 Produits

Faire concilier la cybersécurité et le design d’un produit est souvent difficile

Security by Design and on Device est la solution pour un avenir sûr. Datensicherheit.de dans une interview avec Tomáš Vystavěl, chef de produit chez 2N

Auteur: Carsten Pinnow

En pratique, la cybersécurité se manifeste par la protection des dispositifs, des systèmes, des réseaux et des programmes contre les attaques numériques. Ces attaques sont généralement conçues pour accéder, modifier, détruire ou perturber des informations sensibles ou des processus commerciaux normaux.

La mise en œuvre de pratiques efficaces, non seulement contre les menaces de réseau mais aussi pour la sécurité physique, est un défi majeur. Pour en savoir plus sur l'engagement en faveur de la cybersécurité, je m'entretiens aujourd'hui avec Tomáš Vystavěl, chef de produit de 2N, développeur et fabricant européen de technologie d'interphones et de système d'accès IP. Ses solutions comportent de multiples niveaux de protection qui couvrent tous les produits et applications, la conception et les tests, la politique GDPR, Privacy by Design et le contrôle d'accès.

"L'ensemble des composants 2N forme une défense efficace. Une faiblesse dans un seul produit peut mettre en danger l'ensemble du système, c'est pourquoi il est crucial d'assurer la sécurité de chaque niveau et de chaque application. Nos dispositifs basés sur l'IP sont les principaux composants des solutions de contrôle des entrées et des accès aux portes. Afin de garantir la cybersécurité dans ce domaine, 2N se concentre sur la sécurité physique. Dès le développement de nouveaux équipements, la sécurité est considérée comme une priorité absolue, qui est intégrée dans la conception dès la première heure," explique Vystavěl.

"Pour nous, le premier pas vers la cybersécurité est donc la sécurité physique des produits. En plus des matériaux renforcés, un commutateur d'altération mécanique ou optique intégré permet d'empêcher l'entrée non autorisée dans le produit. En d’autres termes, il peut être maintenu en place: La sécurité intégrée n'est pas nouvelle: la communication sécurisée est l'épine dorsale de la sécurité informatique et il faut y prêter attention, en particulier dans les zones où sont stockées des données sensibles. Les données des clients dans les entreprises sont donc protégées par des fonctions et des protocoles intégrés dans les appareils. Grâce à une combinaison de mécanismes, par exemple. D'une part, le cryptage des données HTTPS est utilisé pour la connexion entre les navigateurs web et les serveurs. D'autre part, le détournement de port est empêché par une connexion point à point utilisant le protocole 802.1X. Cela empêche tout accès non autorisé au port du réseau local. Les messages SIP sont chiffrés à l'aide d'un protocole spécifique, ce qui permet d'éviter les attaques de type "man-in-the-middle" ou même l'usurpation d'identité. Les données vocales sont cryptées à l'aide d'un autre protocole".

Le CPO 2N nous a également fourni des informations sur les mots de passe:

"Nos systèmes disposent d'un contrôle par mot de passe. Cette fonction permet de s'assurer que l'administrateur a bien modifié les informations de connexion après la première connexion et que ce nouveau mot de passe est suffisamment sûr. Pour les mots de passe "faibles", le système envoie un commentaire direct. Les mots de passe sont ensuite stockés sous forme cryptée, ce qui empêche les pirates d'obtenir les informations de connexion depuis la configuration. Différents niveaux d'autorisations limitent l'accès dans la mesure où chacun n'a que les droits dont il a besoin".

Un point faible est souvent corrigé mais comment vous assurez-vous que vos clients travaillent toujours avec la dernière version?

"La particularité de ce produit est que la solution logicielle 2N IP développée en interne est utilisée pour la plupart des produits de la gamme. Cela permet de s'assurer que les produits sont en mesure de remplir leurs fonctions de manière optimale. Toutes les interfaces pertinentes en matière de sécurité sont ainsi entre nos mains. Les autres produits fonctionnent soit sous Android, soit avec une solution logicielle basée sur Linux.

Pour corriger ces appareils, l'administrateur recevra également un message si un nouveau patch est disponible. À l'origine, il était prévu de ne pas impliquer l'utilisateur dans ce processus et d'appliquer les correctifs de manière centralisée par l'intermédiaire de l'entreprise, mais ce n'est pas toujours souhaité. Le patch est un processus continu et des mises à jour importantes sont donc proposées tous les quatre mois. Elles sont gratuites pour tous les clients. Pour rendre cela possible, environ 15 % des bénéfices annuels sont réinvestis dans le développement. Si la technologie le permet, les anciens appareils sont également mis à jour. En plus de cette page, une assistance technique complète est proposée. On pourrait penser que, comme de nombreux utilisateurs ne sont pas techniquement rodés, il est préférable de laisser le produit tel quel une fois qu'il est installé, mais ce n'est pas la bonne approche. Les produits connectés à Internet demandent toujours le dernier firmware. L'approche consistant à "faciliter la mise à jour" est primordiale".

La facilité d'utilisation et la sécurité sont-elles mutuellement exclusives?

"L'application 2N® Mobile Key et les lecteurs Bluetooth permettent aux utilisateurs d'entrer dans les bâtiments en utilisant uniquement leur téléphone portable. Cela signifie que les identifiants mobiles doivent être protégés contre toute utilisation abusive. Nous avons pris des mesures de sécurité spéciales dans ce domaine également. Le cryptage est effectué au plus haut niveau. La communication Bluetooth est possible via son propre canal, et de manière séparée pour l'échange de clés et pour la communication ultérieure. La période de validité du code de synchronisation initial peut être définie par l'administrateur du système et commence à partir de dix minutes. La distance maximale pour la communication Bluetooth avec les appareils peut également être définie individuellement, à partir de 50 centimètres seulement. L'authentification à plusieurs facteurs invite les utilisateurs à combiner leurs informations d'identification Bluetooth avec d'autres types d'informations, telles qu'une puce RFID ou un code PIN, via un clavier intégré à l'application. En cas de perte de smartphone, les administrateurs peuvent rapidement supprimer les droits d'accès via l'interface web du lecteur ou l'Access Commander, qui sont tous deux cryptés", explique le responsable de la communication 2N.

Comment fonctionne la maintenance à distance chez 2N?

"Avec My2N, nous fournissons une plate-forme de confiance pour le cloud. Elle permet aux administrateurs de gérer à distance les sites d'installation, les produits et les services 2N, ce qui permet d'économiser les coûts de maintenance sur site et les déplacements. 2N® Mobile Video est le service le plus important offert via la plateforme My2N."

Des données biométriques comme "clés" des bâtiments – mais qu'en est-il de la sécurité?

"Le lecteur d'empreintes digitales utilise les petits détails et les principales caractéristiques d'une empreinte digitale. Ceux-ci sont filtrés et stockés sous la forme d'une clé biométrique ou d'une représentation mathématique cryptée. Le module de lecture d'empreintes digitales n'utilise qu'une série de chiffres sous forme de code binaire. Aucune image d'une empreinte digitale n'est stockée à aucun moment. Ce type d'algorithme ne peut pas être reconverti en une image d'une empreinte digitale. Il est aussi important de mentionner qu'aucun autre type de données à caractère personnel n'est utilisé ou traité lorsque le produit est utilisé.

De plus, les modules et les scanners d'empreintes digitales contiennent une technologie anti-piratage. Celle-ci bloque de manière efficace toute tentative de tromper le système avec de fausses empreintes digitales en papier, latex, silicone, caoutchouc ou gélatine. Cet équipement à label vert est utilisé dans de nombreux secteurs, notamment les banques, l'éducation et les programmes gouvernementaux. La précision et la sécurité sont essentielles dans ces applications. Chez 2N, par exemple, nous nous concentrons sur des mesures de sécurité complètes liées au contrôle d'accès et à la sécurité des données dans le domaine de l'IdO et dans la sécurité des bâtiments et la protection des données", conclut à Tomáš Vystavěl en réaffirmant son engagement en matière de sécurité.