Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Pas de vraie sécurité sans chiffrement des données

Pas de vraie sécurité sans chiffrement des données
2014-06-182014-06-18bonnes pratiquesfr
Aucune organisation n'est immunisée contre les brèches de sécurité. Depuis ces dernières années les mentalités évoluent et de plus en plus de sociétés ont désormais accepté le fait que leur sécurité sera mise à mal ("breach acceptance") et elles mettent donc en place une « défense active ».
Publié le 18 Juin 2014 par Jean-François Audenard dans bonnes pratiques
pas de vraie sécurité sans chiffrement des données - Jean-François Audenard

Aucune organisation n'est immunisée contre les brèches de sécurité. Depuis ces dernières années les mentalités évoluent et de plus en plus de sociétés ont désormais accepté le fait que leur sécurité sera mise à mal ("breach acceptance") et elles mettent donc en place une « défense active ». Ceci est un signe de montée en maturité mais cela reste selon moi insuffisant.

Comme un garde du corps qui "colle aux basques" de la personnalité dont il est en charge, le chiffrement permet de "coller" la sécurité au plus près des données. Le chiffrement des données devrait donc être remis sur le devant de la scène, et ce tout particulièrement pour les services Cloud externes pour lesquels les mesures classiques ne peuvent être mise en place.

accepter la brèche c'est passer en mode dynamique

Passer dans un état d'esprit "breach acceptance"  implique une transition vers une approche dynamique dans laquelle il s'agit de détecter et d'identifier la brèche afin de la circonscrire et d'y répondre.

Passer dans un état d'esprit de "breach acceptance" ne doit pas avoir pour conséquence une attitude défaitiste. Il reste essentiel de chercher à mettre en place une stratégie et des moyens pour prévenir les incidents. Ne pas le faire avec force et conviction serait une faute.

mais le mode dynamique reste un échec

Un système d'information sous surveillance et des équipes compétentes de réponse sur incident cela n'est pas suffisant. Car même si une intrusion est rapidement détectée il y a de fortes probabilités que le mal soit déjà fait, que des données aient été dérobées.

Parmi les technologies déployées dans une approche dynamique on retrouve classiquement les systèmes de détection d'APT et les SIEM. Mais ces systèmes aussi performants soient-ils restent encre perfectibles et ne sauront pas protéger totalement une organisation. Un bon exemple à conserver à l'esprit est l'intrusion de Target : les systèmes de détection anti-APT ont bien fonctionné mais les alertes ont été ignorées. On connait le résultat : plus de 60 millions de données personnelles et d’informations bancaires dérobées.

Les mécanismes de défense dynamique, aussi efficaces et rapides soient-ils arriveront toujours trop tard, la faute à l'humain ou aux systèmes encore peut-être un peu jeunes.

Fondamentalement, même en étant dynamique la sécurité est un échec car des informations auront été compromises.

rendre les données inintéressantes pour un attaquant

Le chiffrement des données permet de "coller au plus près" la sécurité aux informations vitales de l'entreprise. En effet, en ayant chiffré en amont les données les plus sensibles, une défaillance des mesures de sécurité préventives ou un dysfonctionnement dans la détection et la réponse ne devrait pas porter trop à conséquence.

Le chiffrement des données permet de rendre celles-ci inexploitables et donc inintéressantes pour un attaquant : pour ce dernier leur valeur devient quasi-nulle.

Une intrusion dans un réseau ou un système dans lequel les données sensibles sont chiffrées ne sera qu'un "événement parmi d'autre", les systèmes de détection APT et autres SIEM restant utiles pour détecter et éjecter l'attaquant. Une fois les brèches comblées la vie reprendra doucement son cours.

nécessaire maitrise des fondamentaux cryptographiques

Mettre en place une stratégie de chiffrement nécessite d’en maitriser les  principes sous-jacents. La cryptographie ne s'improvise pas : elle doit être comprise, maitrisée pour ensuite être mise en œuvre de façon structurée, mesurée et contrôlée.

Au sein des organisations, la mise en place d’une stratégie de chiffrement peut être un challenge particulièrement ardu tant le sujet reste encore méconnu voir méprisé ou réduit à une simple « activation d'un SSL sur un serveur web avec des paramètres standards ». 

Les données sensibles doivent être chiffrées sur l'ensemble de leur cycle de de vie : en transit, sur les espaces de stockage mais aussi lorsqu'elles sont utilisées/manipulées. Trop souvent elles ne sont chiffrées qu’en transit.

Les systèmes de chiffrement sont trop souvent mal configurés du fait de l'ignorance ou de la méconnaissance des personnes (combien savent ce qu’est le « Perfect Forward Secrecy » ?) Un effort doit être fait dans la vulgarisation du chiffrement et des principes de gestion sécurisée des clefs associées. Cela doit faire partie de la stratégie globale.

chiffrer oui, mais pas seulement

Mais aucune technologie n’étant infaillible et c’est évidemment le cas pour le chiffrement : les libraires de chiffrement ont des bugs (cf. faille OpenSSL HeartBleed), des backdoors ou des attaques (cf. le buzz autour des pratiques de la NSA). C’est aussi le cas d’un système de chiffrement robuste mais mal configuré qui sera aussi faillible.

Les mesures de sécurité préventives, les systèmes de détection et une réponse rapide restent donc des mesures nécessaires qui viennent compléter le chiffrement des données. Ensembles, ces mécanismes créent une approche de défense en profondeur.

Il est temps que les entreprises lancent leur "Grenelle du Chiffrement".

Jean-François (Jeff) Audenard
 

crédit photo © Trueffelpix - Fotolia.com

4 Commentaires

  • 27 Juin 2014
    2014-06-27
    par
    Jeff Audenard
    @Bill : Les mails peuvent être chiffrés en transport uniquement (TLS over SMTP/POP/IMAP) ou alors via S/MIME ou GPG/PGP. Dans le 1er cas (transport) c'est à la bonne volonté des opérateurs de service et dans le second cas c'est l'utlisateur qui décide.
    @clément : Merci pour le feedback positif. Oui, le chiffrement est un pilier dans la sécurité de l'information. Merci pour lien qui intéressera très surement nos lecteurs.
    @Wi : Merci pour la lecture attentive ! Cela a été corrigé. Oui, tout chiffrer n'est pas la solution. Définir quoi chiffrer est un sujet en tant que tel : une bonne idée pour un prochain article ! Et oui, la faille HeartBleed est une faille d'implémentation et pas de design : précision importante.
    Jeff
  • 18 Juin 2014
    2014-06-27
    par
    Bill
    Quel est le principe de chiffrement des mails ? Est-il dépendant de la bonne volonté des opérateurs ou des entreprises ou est-ce que chacun est en mesure de chiffrer ses mails ?
  • 18 Juin 2014
    2014-06-27
    par
    Clément
    Bonjour et bravo pour cet article.Le chiffrement est un pilier fondamental de la transmission de l'information. Le prix Alan Turing récompense d'ailleurs les meilleurs informaticiens (équivalent du prix Nobel en informatique).Et Alan était un cryptologue ou cryptanalyste (celà dépend de quel côté on mène la bataille)de la première moitié du 20 éme siècle. Pour comprendre de manière dictatique la cryptologie je vous invite à aller sur ce site: http://www.apprendre-en-ligne.net/crypto/menu/index.html
  • 18 Juin 2014
    2014-06-27
    par
    Wi.
    En titre : "Rendre les données intéressantes pour un attaquant", a priori, l'objectif est bien le contraire ?
    Il aurait été intéressant de développer le raisonnement sur le type de données à chiffrer (et bien se poser la question du pourquoi), les outils à utiliser, et l'importance de l'Opensource dans ce processus. Aussi, sauf erreur, la faille Heartbleed est une faille liée à l'implémentation du protocole SSL/TLS d'OpenSSL, plutôt qu'une faille dans l'implémentation des algorithmes de chiffrement d'OpenSSL.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage