Security Think Tank : Guide de l’utilisateur sur le chiffrement

Les bases

Le chiffrement minimise les communications en texte brut entre les systèmes et les serveurs ; Si un acteur malveillant accède aux systèmes d’une organisation, le trafic chiffré rend beaucoup plus difficile la lecture des données sur le réseau ou l’injection de logiciels malveillants – qui pourraient paralyser les données d’une organisation.

Le chiffrement peut être effectué à l’aide d’un logiciel de chiffrement, de périphériques de stockage compatibles avec le chiffrement ou de réseaux compatibles avec le chiffrement pour sécuriser les données sensibles. Il peut être utilisé pour protéger les données en transit et au repos (stockées) et nécessite des « clés » pour « verrouiller » (chiffrer) et « déverrouiller » (déchiffrer) les informations protégées. Le chiffrement symétrique signifie que l’expéditeur et le destinataire de l’information doivent utiliser la même clé pour chiffrer et déchiffrer, tandis que deux clés différentes sont requises pour le chiffrement asymétrique.

L’algorithme cryptographique – un amalgame d’ingéniosité mathématique et de résilience numérique – au cœur du chiffrement utilisé détermine la robustesse du chiffrement dans la pratique. Des algorithmes vénérables tels que RSA (Rivest-Shamir-Adleman) et AES (Advanced Encryption Standard) aux innovations contemporaines telles que le cryptage quantique, ceux-ci constituent le fondement de la protection numérique.

Défis à prendre en considération

Mais le chiffrement fonctionne dans les deux sens – les acteurs malveillants peuvent également chiffrer les données. Les données au repos stockées en texte brut peuvent être cryptées pour lancer une attaque de ransomware dans laquelle la clé nécessaire pour décrypter les données ne sera fournie que si une rançon est payée (et même cela est loin d’être acquis). Les sauvegardes de données peuvent être une solution, mais ne fonctionnent que si ces données sont suffisamment protégées pour empêcher leur chiffrement par un acteur malveillant.

Le coût inférieur et la facilité de mise en œuvre de solutions basées sur le cloud telles que les applications SaaS ajoutent également de la complexité; gérés par des fournisseurs tiers, ils introduisent une ambiguïté quant à l’endroit où se termine le « réseau » de l’organisation, alors que les données sont aussi sécurisées que le service externe; Les entreprises doivent s’assurer que le fournisseur utilise le chiffrement pour les données au repos et en transit.

L’émergence de l’informatique quantique pose également des questions majeures, car la puissance de cette technologie réduira potentiellement le temps nécessaire pour que les méthodes de cryptage traditionnelles soient attaquées avec succès de plusieurs années à quelques secondes. La cryptographie post-quantique est un domaine de recherche hautement spécialisé axé sur le développement d’algorithmes capables de résister aux attaques quantiques; Le temps nous dira si cela est suffisamment robuste pour que le cryptage soit une option viable à l’avenir.

Le risque d’un accès « détourné »

Le chiffrement de bout en bout équivaut à avoir des conversations secrètes dans une pièce super sécurisée dans laquelle seules des personnes spécifiques peuvent entrer. Cependant, à l’occasion, les règles relatives à ce type de sécurité peuvent entrer en conflit avec les exigences en matière d’application de la loi, une grande partie de cela ayant ses racines dans les mesures antiterroristes alors que les gouvernements réclament le droit d’accepter des messages de bout en bout.

Le problème est que le gouvernement et les forces de l’ordre ne peuvent pas avoir un accès « dérobé » aux données cryptées sans que cette même porte dérobée ne soit exploitée par des acteurs malveillants. Il obligera les entreprises à utiliser un fournisseur recommandé par l’État pour le cryptage, tout ce qui est jugé non conforme.

De même, une interdiction pure et simple des communications sécurisées a des ramifications éthiques et pratiques importantes, tant pour l’individu que pour l’entreprise; Indépendamment du droit fondamental des personnes à la vie privée, en se référant aux premiers paragraphes, le cryptage est le catalyseur de sécurité en coulisse d’innombrables activités en ligne. Restreindre ou compromettre gravement le cryptage rendrait bon nombre d’entre eux non sécurisés – des achats en ligne aux connexions sécurisées aux réseaux; cela rendrait également impossible le transfert de données ou la protection des informations personnelles identifiables (PII), ce qui signifierait que de nombreuses entreprises seraient incapables de fonctionner.

L’incompatibilité des communications sécurisées et des droits de porte dérobée est marquée par les menaces de nombreuxinciter les entreprises à se retirer des pays où l’accès à leurs systèmes est exigé par ceux qui sont au pouvoir; Si leurs services n’étaient plus disponibles, cela exacerberait encore la capacité de nombreuses organisations à faire des affaires dans ces territoires.

L’un des plus grands défis pour le cryptage est donc de naviguer intelligemment dans l’équilibre délicat entre la confidentialité et les réglementations juridiques que de nombreux gouvernements cherchent à résoudre.

Gestion des clés et gestionnaires de mots de passe

Bien que le chiffrement soit un excellent outil de protection des données, il est aussi puissant que les processus de gestion des clés d’une organisation.

Par exemple, un inventaire de toutes les clés de chiffrement garantit une vue centrale et holistique de toutes les clés utilisées pour protéger les données, ce qui réduit le risque de perte de trace d’une clé et fournit un enregistrement des informations chiffrées. Les clés doivent être stockées en toute sécurité et un plan de reprise après sinistre approprié doit être mis en place pour minimiser l’impact en cas de violation. La surveillance de l’utilisation et de la fréquence des clés est également importante, tandis que le contrôle d’accès gère qui peut utiliser les clés et ce qu’ils peuvent en faire.

La gestion efficace des clés couvre également la révocation, dans laquelle les clés de chiffrement sont supprimées et remplacées en cas de perte ou de compromission (de clé).

Il existe des activités supplémentaires que les organisations peuvent entreprendre pour renforcer leurs activités de cryptage. Former les gens à utiliser des gestionnaires de mots de passe chiffrés réduit le risque que les noms d’utilisateur et les mots de passe soient exposés (écrits sur des blocs-notes ou enregistrés sur des lecteurs partagés, par exemple), tandis que des contrôles peuvent être mis en place pour s’assurer que tout le monde adopte cette pratique. Et il est essentiel de corriger les vulnérabilités sur le matériel et les logiciels qui utilisent le chiffrement, et de vérifier les mises à jour régulières.

Chiffrement : une partie du puzzle de la protection

Bien que le chiffrement soit très efficace, les organisations doivent adopter une approche de « défense en profondeur ». Le maintien de plusieurs niveaux de mesures de sécurité, y compris la segmentation du réseau, les pare-feu et les systèmes de détection d’intrusion, ainsi que le cryptage des actifs clés et des communications, aident à protéger leurs actifs de données vitaux contre ceux qui ne devraient pas y avoir accès.