.png)
Le cryptage est le processus par lequel des informations sont converties d'un format lisible en un format qui obscurcit leur signification pour ceux qui n'ont pas l'autorisation ou la capacité de les déchiffrer. Il est utilisé depuis longtemps pour protéger les informations sensibles des regards indiscrets.
Jules César, vers 100 avant J.-C., était connu pour utiliser une forme de cryptage afin de transmettre des messages secrets aux généraux de son armée postés sur le front de guerre. Ce chiffre de substitution, connu sous le nom de chiffre de César, est peut-être le chiffre historique le plus mentionné dans la littérature académique. Dans un chiffrement par substitution, chaque caractère du texte en clair (le texte en clair est le message qui doit être chiffré) est remplacé par un autre caractère pour former le texte chiffré (le texte chiffré est le message crypté). La variante utilisée par César était un chiffrement par décalage de 3. Chaque caractère était décalé de 3 places, de sorte que le caractère ‘A' était remplacé par ‘D', ‘B' par ‘E', et ainsi de suite.
Le cryptage est inestimable pour garantir que les informations sensibles qui tombent entre de mauvaises mains ne puissent pas être utilisées par une personne qui n'a pas la capacité de décrypter ces informations.
Cela présente d'énormes avantages lorsque les règles de conformité entrent en jeu à la suite d'une violation de données, car si les données ont été cryptées, les exigences en matière de divulgation publique sont minimisées, puisque le risque de compromission des données a été éliminé. C'est ce qu'on appelle souvent la “sphère de sécurité” et cela peut sauver la vie des organisations qui doivent faire face au stress d'une perte de données, avec toutes les conséquences que cela implique pour l'entreprise.
Le cryptage, avec ses différentes techniques de sécurisation des données, joue un rôle clé dans la protection des informations sensibles et confidentielles, quel que soit l'endroit où elles se trouvent ou sont transmises, par exemple dans les courriels.
En tant que technologie, il peut être déployé pour les données stockées dans les serveurs, les dispositifs de sauvegarde et les services cloud, souvent appelées Data at Rest. Pour les données en mouvement, le chiffrement peut être utilisé pour sécuriser le chemin de transmission en créant un itinéraire point à point fermé unique entre deux ou plusieurs points et élimine le risque d'une attaque de type “man-in-the-middle”, où un mauvais acteur s'installe entre tes transmissions et regarde tes données.
Considérée à l'origine comme une technologie complexe à déployer et à gérer, elle a aujourd'hui évolué et peut être facilement utilisée par tout le monde. Finies les craintes de ralentir l'accès aux données ou d'en doubler la taille une fois qu'elles sont cryptées.
Voici quelques points que tu devrais connaître sur le cryptage :
1. En raison du nombre croissant d'entreprises et de particuliers victimes d'une pléthore de cyberattaques, le besoin de cryptage n'a jamais été aussi important.
2. La tokenisation est une forme de cryptage dans laquelle les applications peuvent toujours fonctionner, mais en utilisant des jetons, de sorte que les données sensibles sont cachées, ce qui réduit le risque d'exposition. Elle est par exemple utilisée dans le cadre de la recherche médicale, où de vastes ensembles de données relatives à des personnes sont analysés, mais où les données sensibles qui pourraient être utilisées pour identifier une personne sont remplacées par des jetons.
3. Le cryptage par masquage des données brouille les informations, mais il est souvent effectué de manière plus sélective. Il est particulièrement utile, par exemple, pour expurger les données sensibles de documents tels que les courriels et les documents de productivité bureautique, afin qu'ils puissent être envoyés en grande partie en texte clair, mais avec des informations sensibles, telles que les numéros de carte de crédit, cachées ou masquées.
4. Les fournisseurs tels que Google ou Microsoft, ou d'autres fournisseurs centralisés, proposent le cryptage, mais s'ils détiennent la clé de cryptage, ils peuvent décoder les données si cela leur est officiellement demandé, par un gouvernement ou des organismes chargés de l'application de la loi, ou pire encore si l'un de leurs employés veut vendre tes données. C'est pour cette raison qu'a été introduite la technique du “bring your own key” (apporte ta propre clé), qui consiste à détenir et à contrôler tes propres clés en dehors de tout fournisseur de services.
5. Le chiffrement de bout en bout empêche les tiers d'accéder aux données, car il circule uniquement de l'expéditeur au destinataire et est utilisé par des applications telles que WhatsApp. Des réseaux privés appelés réseaux privés virtuels (VPN) peuvent être mis en place pour y parvenir.
6. Le cryptage par clé publique/privée est accessible à tous, mais seul le destinataire prévu possède la clé de décryptage qui permet de déverrouiller la communication. Ce processus fonctionne de manière à ce que toute personne puisse crypter un message en utilisant la clé publique du destinataire, mais ce message crypté ne peut être décrypté qu'avec la clé privée du destinataire.
7. Gestion des clés : Si les clés et les certificats ne sont pas correctement sécurisés, l'organisation est ouverte aux attaques, quels que soient les contrôles de sécurité mis en place. Il faut toujours envisager d'ajouter un module de haute sécurité (HSM) à tout plan de cryptage. Le HSM aidera également à définir les besoins en matière de rotation des clés et les processus permettant de modifier la clé utilisée dans un ensemble de données.
8. Le cryptage est basé sur des niveaux de complexité et donc de sécurité. Plus le numéro de cryptage est élevé, meilleur est le code de cryptage. En général, le cryptage 256 bits est le niveau standard.
9. Il existe de nombreux noms pour les codes de cryptage. Certains sont réservés à l'usage du gouvernement et beaucoup d'autres sont propriétaires. Les codes commerciaux les plus courants et largement reconnus pour leur niveau de cryptage élevé sont AES (Advanced Encryption Standard), RSA (Rivest-Shamir-Adleman) et DES (Data Encryption Standard). Choisis-les plutôt qu'une version qui n'a pas fait ses preuves.
10. Le cryptage, lorsqu'il est associé au contrôle d'accès, peut être un outil puissant de séparation des tâches en contrôlant qui ou quel processus peut voir les données. Cela signifie que les utilisateurs, en particulier les administrateurs de système, peuvent être empêchés de lire les données tout en étant autorisés à les gérer, par exemple pour effectuer des sauvegardes.
Nous voulons tous pouvoir communiquer en toute sécurité et sans interférence. Le cryptage peut nous aider à y parvenir et devrait être considéré comme un élément essentiel, voire le point de départ de toute stratégie de sécurité des données que les organisations développent à la fois pour les données au repos et en mouvement.
Pour les besoins de la sécurité des données et pour atteindre la conformité réglementaire, le cryptage devrait être la base de toute stratégie de sécurité des données.
Colin Tankard est directeur général de Digital Pathways
Tu pourrais aussi lire :
PAM, IAM ou les deux ?:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel £5 par mois ou £50 par an. S'inscrire
