Aucune organisation n'est immunisée contre les brèches de sécurité. Depuis ces dernières années les mentalités évoluent et de plus en plus de sociétés ont désormais accepté le fait que leur sécurité sera mise à mal ("breach acceptance") et elles mettent donc en place une « défense active ». Ceci est un signe de montée en maturité mais cela reste selon moi insuffisant.
Comme un garde du corps qui "colle aux basques" de la personnalité dont il est en charge, le chiffrement permet de "coller" la sécurité au plus près des données. Le chiffrement des données devrait donc être remis sur le devant de la scène, et ce tout particulièrement pour les services Cloud externes pour lesquels les mesures classiques ne peuvent être mise en place.
accepter la brèche c'est passer en mode dynamique
Passer dans un état d'esprit "breach acceptance" implique une transition vers une approche dynamique dans laquelle il s'agit de détecter et d'identifier la brèche afin de la circonscrire et d'y répondre.
Passer dans un état d'esprit de "breach acceptance" ne doit pas avoir pour conséquence une attitude défaitiste. Il reste essentiel de chercher à mettre en place une stratégie et des moyens pour prévenir les incidents. Ne pas le faire avec force et conviction serait une faute.
mais le mode dynamique reste un échec
Un système d'information sous surveillance et des équipes compétentes de réponse sur incident cela n'est pas suffisant. Car même si une intrusion est rapidement détectée il y a de fortes probabilités que le mal soit déjà fait, que des données aient été dérobées.
Parmi les technologies déployées dans une approche dynamique on retrouve classiquement les systèmes de détection d'APT et les SIEM. Mais ces systèmes aussi performants soient-ils restent encre perfectibles et ne sauront pas protéger totalement une organisation. Un bon exemple à conserver à l'esprit est l'intrusion de Target : les systèmes de détection anti-APT ont bien fonctionné mais les alertes ont été ignorées. On connait le résultat : plus de 60 millions de données personnelles et d’informations bancaires dérobées.
Les mécanismes de défense dynamique, aussi efficaces et rapides soient-ils arriveront toujours trop tard, la faute à l'humain ou aux systèmes encore peut-être un peu jeunes.
Fondamentalement, même en étant dynamique la sécurité est un échec car des informations auront été compromises.
rendre les données inintéressantes pour un attaquant
Le chiffrement des données permet de "coller au plus près" la sécurité aux informations vitales de l'entreprise. En effet, en ayant chiffré en amont les données les plus sensibles, une défaillance des mesures de sécurité préventives ou un dysfonctionnement dans la détection et la réponse ne devrait pas porter trop à conséquence.
Le chiffrement des données permet de rendre celles-ci inexploitables et donc inintéressantes pour un attaquant : pour ce dernier leur valeur devient quasi-nulle.
Une intrusion dans un réseau ou un système dans lequel les données sensibles sont chiffrées ne sera qu'un "événement parmi d'autre", les systèmes de détection APT et autres SIEM restant utiles pour détecter et éjecter l'attaquant. Une fois les brèches comblées la vie reprendra doucement son cours.
nécessaire maitrise des fondamentaux cryptographiques
Mettre en place une stratégie de chiffrement nécessite d’en maitriser les principes sous-jacents. La cryptographie ne s'improvise pas : elle doit être comprise, maitrisée pour ensuite être mise en œuvre de façon structurée, mesurée et contrôlée.
Au sein des organisations, la mise en place d’une stratégie de chiffrement peut être un challenge particulièrement ardu tant le sujet reste encore méconnu voir méprisé ou réduit à une simple « activation d'un SSL sur un serveur web avec des paramètres standards ».
Les données sensibles doivent être chiffrées sur l'ensemble de leur cycle de de vie : en transit, sur les espaces de stockage mais aussi lorsqu'elles sont utilisées/manipulées. Trop souvent elles ne sont chiffrées qu’en transit.
Les systèmes de chiffrement sont trop souvent mal configurés du fait de l'ignorance ou de la méconnaissance des personnes (combien savent ce qu’est le « Perfect Forward Secrecy » ?) Un effort doit être fait dans la vulgarisation du chiffrement et des principes de gestion sécurisée des clefs associées. Cela doit faire partie de la stratégie globale.
chiffrer oui, mais pas seulement
Mais aucune technologie n’étant infaillible et c’est évidemment le cas pour le chiffrement : les libraires de chiffrement ont des bugs (cf. faille OpenSSL HeartBleed), des backdoors ou des attaques (cf. le buzz autour des pratiques de la NSA). C’est aussi le cas d’un système de chiffrement robuste mais mal configuré qui sera aussi faillible.
Les mesures de sécurité préventives, les systèmes de détection et une réponse rapide restent donc des mesures nécessaires qui viennent compléter le chiffrement des données. Ensembles, ces mécanismes créent une approche de défense en profondeur.
Il est temps que les entreprises lancent leur "Grenelle du Chiffrement".
Jean-François (Jeff) Audenard
crédit photo © Trueffelpix - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens