Le chiffrement : pilier de la confiance numérique
ABC du chiffrement
Dans une économie de plus en plus dépendante du numérique où les vols et les fuites de données se multiplient, instaurer la confiance numérique devient un impératif et incite à la généralisation des techniques de chiffrement.
Pour une meilleure protection des données sensibles, contre la perte, le vol, la publication et l’espionnage économique, les techniques de chiffrement sont là pour aider les organisations à restaurer la confiance dans les actifs numériques.
Vol et fuite de données : aucune entreprise n’est à l’abri
Moteur de l’économie moderne, les données sont devenues un bien critique et précieux pour les entreprises.
Les cybercriminels l’ont bien compris et s’emploient à les dérober pour les monnayer sur le darkweb. On pourrait penser que les grandes entreprises ont les moyens de s’en protéger, mais c’est loin d’être toujours le cas.
Yahoo en a fait l’amère expérience en 2013 en constatant le vol des données de 3 milliards de ses comptes utilisateurs. En 2017, c’était au tour de l’agence de crédit américaine Equifax de subir le piratage des informations financières et des numéros de sécurité sociale de 145 millions de personnes.
Plus récemment, des cybercriminels n’ont pas hésité, en pleine période de pandémie, à voler des données de santé. Lors d’une cyber-attaque menée contre l’Agence Européenne des Médicaments, les attaquants ont ainsi détourné des documents liés à Pfizer et à BioNTech.
Chaque jour, de nouveaux cas viennent allonger la liste, et les petites entreprises ne sont pas épargnées. Espionnage industriel, pertes financières, dégradation de la réputation : les conséquences d’un vol de données sont désastreuses pour l’entreprise et fragilisent la confiance dans le numérique.
Le 28 juillet 2021, un rapport, publié par IBM Security, estimait le coût moyen d’une violation de données à 4,24 millions de dollars au niveau mondial et de 3,84 millions d’euros en France.
Comment se protéger contre la violation des données ?
Le chiffrement, ultime parade
Failles dans les codes applicatifs, défaut de paramétrage, perte d’un équipement informatique ou erreur humaine… Ce sont autant d’opportunités pour des personnes ou organisations, mal intentionnées, de s’emparer des données.
L’expérience prouve que, malgré l’évolution des solutions de cybersécurité, le risque zéro n’existe pas ! C’est pourquoi tout plan de sécurité doit envisager le pire scénario. L’exposition des données peut venir d’une attaque, de l’interne ou d’une exposition malencontreuse. Dès lors qu’elles tombent entre des mains non autorisées, les données doivent être inexploitables.
C’est la raison pour laquelle le recours au chiffrement se généralise pour sécuriser les données lors de leur transfert (en transit) ou lors de leur stockage (au repos).
Pour garantir la confiance numérique, trois principes doivent être appliqués en s’appuyant sur des méthodes cryptographiques :
- La confidentialité : seuls ceux qui ont le « droit d’en connaitre » sont en mesure de lire les données chiffrées en possédant la clé de chiffrement associée ;
- L’intégrité : le destinataire d’une donnée doit pouvoir s’assurer qu’elle n’a pas été altérée. Pour cela, elle peut vérifier l’empreinte associée qui a été calculée par une fonction de hachage ;
- L’authentification : l’identité d’une entité ou d’une personne à l’origine de sa communication doit être vérifiable. Cela nécessite des systèmes de clés et de certificats mis en œuvre par des infrastructures de gestion de clés (PKI).
La pression réglementaire renforce le recours au chiffrement
Le règlement général pour la protection des données
De nos jours, toute entreprise collecte des informations qui touchent à la vie privée de leurs clients ou utilisateurs.
De nombreuses réglementations ont vu le jour pour veiller au contrôle strict de l’utilisation de ces données. C’est en particulier le cas du RGPD qui fixe les règles au niveau européen. Sans imposer formellement le chiffrement, le RGPD y incite fortement. Il exige notamment la mise en place de mesures pour garantir la protection des données et en obligeant les organisations à déclarer toute tentative de violation de données.
Des certifications comme HDS pour les hébergeurs de données de santé vont dans le même sens.
Se protéger contre des règlements étrangers
Le chiffrement renforce également la souveraineté numérique en protégeant la confidentialité des données face à des règlements extraterritoriaux. Le Cloud Act en est l’exemple le plus connu.
L’entreprise Microsoft à elle seule reçoit entre 2400 et 3500 mandats classés confidentiels pour lesquels le client final concerné n’est pas informé (source Siècle Digital).
Pour contourner cette contrainte les grands acteurs américains du Cloud, soumis de fait au Cloud Act, proposent souvent à leurs clients de chiffrer leurs données. Ainsi le chiffrement maintient la confidentialité de leurs données en cas de requêtes judiciaires de la part du gouvernement américain. Les grands acteurs américains tentent par ce biais de restaurer la confiance de leur client dans le Cloud.
La généralisation du chiffrement ne doit pas faire oublier que les techniques de chiffrement restent des outils qui s’inscrivent dans un projet de sécurisation « zero trust » analysant les risques potentiels et les données à protéger. La cybersécurité est devenue un marché florissant qui regorge d’offres. Ces solutions n’offrent pas le même niveau d’efficacité, de robustesse et de confiance.
Pour s’assurer de sélectionner les plus fiables, vous pouvez vous référer aux différentes certifications décernées par l’ANSSI : Certifications, Qualification et Visas de sécurité .