Le chiffrement a poussé la porte des grandes entreprises depuis bien longtemps déjà, même si ce n’est souvent que partiellement et que beaucoup reste encore à faire en la matière. Bien qu’il soit aujourd’hui encouragé par la réglementation et la nécessité de protéger ses données, notamment personnelles, il se heurte encore parfois à la réticence des utilisateurs. Il est donc essentiel d’impliquer et de sensibiliser l’ensemble des collaborateurs, et d’opter pour une approche ergonomique de chiffrement. D’autant que celui-ci est, et restera à coup sûr, pour longtemps, un pilier de la protection des données.
Chiffrer les données sensibles où qu’elles soient
L’objectif principal du chiffrement est bien entendu la protection de l’information contre des accès malveillants et du vol de données, que ce soit venant d’une menace externe ou interne. En effet, les menaces peuvent également provenir de personnes internes à l’entreprise ayant accès à des données sans en avoir le droit, mais également des prestataires de services. Dans le cadre du vol de données, le chiffrement de ces dernières empêche une potentielle revente des informations. Cela permet donc de se prémunir contre l’exfiltration de données, causée notamment - ces derniers temps - par l’apparition de nouveaux ransomwares qui ne se contentent plus uniquement de chiffrer la donnée, mais les exfiltrent et menacent de les divulguer.
Classiquement, parmi les principaux cas d’usages au sein des systèmes d’information (SI), on retrouve en premier lieu le chiffrement des flux - avec l’utilisation du protocole HTTPS pour l’accès aux applications web et à internet. Un certain nombre d’organisations sécurisent également leurs accès distants, via la mise en place de tunnels VPN permettant l’accès des utilisateurs au réseau interne de l’entreprise. Les disques durs sont quant à eux généralement chiffrés grâce à des solutions adaptées.
Mais depuis peu de nouvelles tendances se dessinent, avec notamment le chiffrement de la donnée sensible et, ce, où qu’elle soit. Cela comprend donc les données dans le Cloud, qui représentent une part de plus en plus importante, mais également les différentes sauvegardes et archives mises en place pour conserver les données de l’entreprise.
Une démarche globale de protection des données
Aujourd’hui, le chiffrement doit s’inscrire dans une démarche long-termiste de sécurisation et protection de leurs données, et être considéré par les entreprises comme le développement de leurs propres offres. La sécurité ne peut plus être abordée comme un sujet annexe !
Les entreprises doivent garder en tête que la protection de la donnée est un enjeu de plus en plus important, et dont la criticité n’aura de cesse d’augmenter dans les années à venir. La mise en place du chiffrement doit être un projet prioritaire dans les chantiers de sécurisation de leurs SI, afin de sécuriser en amont plutôt que de réparer une fois l’attaque survenue. Pour ce faire, les équipes en charge de la sécurisation du SI ne doivent plus hésiter à se faire accompagner par des experts - de manière à ne pas mettre en place des solutions inadaptées aux besoins métiers et à l’environnement propre à l’entreprise.
Tous les collaborateurs doivent être impliqués et sensibilisés
Une fois déployée, le maintien en condition opérationnelle de cette solution de chiffrement est indispensable. Cela nécessite un travail de maintien des compétences et des connaissances en interne - et cela dans la durée. Il est, de plus, important de s’assurer du maintien des bonnes pratiques, notamment pour le recouvrement et la gestion des clefs.
En matière de chiffrement, la sensibilisation fait souvent défaut auprès du grand public et les projets d’intégration se heurtent parfois aux réticences des utilisateurs, et plus particulièrement des VIP. En effet, généralement, les solutions de chiffrement alourdissent l’indexation des données, les processus d’accès à la donnée et l’expérience utilisateur - notamment dans les environnements Cloud et les partages collaboratifs. Pour remédier à cela, le secret réside dans l’implication de toutes les parties prenantes, afin de les faire adhérer au projet. Il faut alors savoir faire preuve de pédagogie et déployer une stratégie bien définie. Une possibilité de consensus entre le parti pris sécurité et celui de l’expérience utilisateur, peut-être la mise en place d’un chiffrement uniquement sur les données les plus sensibles par exemple.
Pour sensibiliser les utilisateurs, il est primordial d’accompagner le changement par la présentation des risques et menaces encourus par l’entreprise - sans entrer dans un flot ininterrompu d’explications techniques - afin de leur faire comprendre la nécessité d’intégrer du chiffrement et, ainsi, les faire adhérer au projet. Réaliser quelques démonstrations permet également aux collaborateurs de s’habituer à l’interface de la solution et offre un espace de discussion pour poser toutes leurs questions. Mais restons objectif, il est plus simple de sensibiliser les collaborateurs lorsque la solution déployée est ergonomique et/ou ne demande que peu d’interactions avec l’utilisateur.
Ces derniers mois, l’exfiltration de données d’entreprises et organisations - suite à des cyberattaques - a fait couler beaucoup d'encre. Les risques sont davantage compris par le grand public qu’il y a ne serait-ce qu’un an. Toutefois, en matière de sensibilisation, le plus marquant reste de faire un parallèle avec la vie privée des utilisateurs. En effet, le discours relatif à l’importance du chiffrement aura d’autant plus d’impact si le lien est fait avec leurs actions quotidiennes et personnelles.
Des innovations technologiques porteuses d’avenir
Actuellement, les courbes elliptiques semblent être la technologie la plus prometteuse. Bien que déjà connues, ces applications technologiques sont encore en développement et porteuses d’innovations. On peut également se féliciter de la démocratisation des matériels de cryptographie, avec l’apparition de solutions de cartes à puces ou de HSM (Hardware Security Module) accessibles et adaptées aux petites structures. En outre, et même si ce sujet est évoqué depuis quelque temps maintenant, la cryptographie post-quantique semble être l’innovation la plus attendue. A voir si cette technologie saura répondre aux attentes… Mais il est déjà possible de se faire une idée sur les algorithmes, qui seront potentiellement les prochaines normes à respecter dans le domaine, en regardant les candidats des sélections du National Institute of Standards and Technology (NIST). En effet, ce dernier a lancé un processus d’évaluation et de standardisation d’un ou plusieurs algorithmes résistant aux attaques quantiques.
Il est compliqué de prédire l’avenir, encore plus en matière de sécurité, où tout change en continu et où l’évolution se fait au gré des attaques et des innovations technologiques. Néanmoins, la cryptographie post-quantique semble être l’une des innovations de l’année et pourrait être une révolution dans le domaine du chiffrement - amenant les algorithmes les plus performants d’aujourd’hui à être inefficaces demain.
Il est fort à parier que le déploiement du chiffrement va aller en s’accélérant, dans un souci de protection des données personnelles. On le constate actuellement avec le développement des applications de messagerie chiffrée. Demain, toutes nos communications le seront peut-être : appels vocaux, SMS, etc. Seule certitude : le chiffrement est promis à un bel avenir !
Par Brian Nicolas-Nelson, consultant sécurité opérationnelle chez Synetis