[Interview] Le chiffrement promis à un bel avenir.

Interview de Brian Nicolas-Nelson pour GSMag.

Le chiffrement a poussé la porte des grandes entreprises depuis bien longtemps déjà, même si ce n’est souvent que partiellement et que beaucoup reste encore à faire en la matière. Et bien qu’il soit aujourd’hui encouragé par la réglementation et la nécessité de protéger ses données, notamment personnelles, il se heurte encore parfois à la réticence des utilisateurs.

Pour remédier à cela, il est essentiel d’impliquer et de sensibiliser l’ensemble des collaborateurs, et d’opter pour une approche ergonomique du chiffrement. D’autant que celui-ci est, et restera à coup sûr pour longtemps, un pilier de la protection des données.

Brian-nicolas-nelson-synetis
Brian Nicolas-Nelson,
Consultant sécurité opérationnelle

Quelles sont les techniques de chiffrement communément utilisées actuellement au sein des grandes entreprises ?

Les algorithmes de chiffrement les plus utilisés par les entreprises ces dernières années sont RSA et AES. En ce qui concerne le hachage (utilisé pour la protection des mots de passe), on retrouve souvent l’algorithme Bcrypt ou le SHA256, mais également (et malheureusement) le SHA-1 ou encore le MD5, tous deux dépréciés.

L’objectif est de chiffrer les données sensibles où qu’elles soient

Pour quels usages ?

Classiquement, parmi les principaux cas d’usages au sein du SI, on retrouve en premier lieu le chiffrement des flux, avec l’utilisation du protocole HTTPS pour l’accès aux applications Web et à Internet. Un certain nombre d’organisations sécurisent également leurs accès distants, via la mise en place de tunnels VPN permettant l’accès des utilisateurs au réseau interne de l’entreprise. Les disques durs sont quant à eux généralement chiffrés, avec des solutions telles que BitLocker pour les postes Windows.

Mais depuis peu de nouvelles tendances se dessinent, avec notamment le chiffrement de la donnée sensible où qu’elle soit. Cela comprend donc les données dans le Cloud, qui représentent une part de plus en plus importante, mais également les différentes sauvegardes et archives mises en place pour conserver les données de l’entreprise.

De quels risques et menaces ces techniques de chiffrement permettent-elles de se prémunir ?

Dans le cadre du chiffrement des flux, des échanges ou des mails, il s’agit notamment de se prémunir contre des personnes ayant accès à l’infrastructure ou qui pourraient écouter le trafic de données passant. Mais l’objectif principal du chiffrement est bien entendu la protection de l’information contre des accès malveillants et du vol de données, que ce soit venant d’une menace externe ou interne.

En effet, les menaces peuvent également provenir de personnes internes à l’entreprise ayant accès à des données sans en avoir le droit, ou également des prestataires de services. Dans le cadre du vol de données, le chiffrement de ces dernières empêche une potentielle revente des informations.

Cela permet donc de se prémunir contre l’exfiltration de données, causée notamment ces derniers temps par les nouveaux ransomwares qui ne se contentent plus uniquement de chiffrer la donnée, mais l’exfiltrent également avant de menacer de la divulguer.

Chiffrement : une utilisation en demi-teinte

Quel état des lieux faites-vous aujourd'hui du déploiement du chiffrement au sein des grandes entreprises françaises ?

Les grandes entreprises recourent au chiffrement depuis bien longtemps déjà, que ce soit via l’utilisation de protocoles sécurisés, tels que HTTPS, ou la mise en place de VPN afin de sécuriser les connexions externes. Néanmoins, son utilisation relative à la protection de la donnée, et notamment au chiffrement de la donnée dans le Cloud, est bien plus récente, et poussée entre autres par le RGPD qui impose de protéger les données à caractère personnel.

Aujourd’hui, l’essor de ce type de règlementations et l’apparition du télétravail massif poussent les entreprises à s’orienter de plus en plus vers le chiffrement. Cette volonté est également exacerbée par les nombreuses fuites de données massives de ces deux dernières années.

Toutefois, à ce jour, bon nombre d’entreprises n’utilisent le chiffrement que partiellement, et les projets de chiffrement de la donnée n’en sont encore parfois qu’à leurs balbutiements.

Tous les collaborateurs doivent être impliqués et sensibilisés

A l’heure actuelle, quels sont les freins à la généralisation du chiffrement ? Comment peut-on, selon vous, y remédier ?

Le chiffrement est un projet ardu à mettre en œuvre en entreprise, car s’il est mal déployé, cela peut engendrer une impossibilité d’accès à la donnée, ce qui est bien entendu inenvisageable pour toute entreprise. Ainsi, la mise en place du chiffrement est un projet qui se doit d’être réfléchi, et inclus dans une stratégie pérenne de sécurisation de la donnée.

Il faut également tenir compte du run de la solution. En effet, une fois déployée, son maintien en condition opérationnelle est une phase importante. Cela nécessite un travail de sauvegarde des compétences et des connaissances en interne, et cela dans la durée. Il est, de plus, important de s’assurer du maintien des bonnes pratiques, notamment pour le recouvrement et la gestion des clefs. 

En matière de chiffrement, la sensibilisation fait souvent défaut auprès du grand public et les projets d’intégration se heurtent parfois aux réticences des utilisateurs, et plus particulièrement des VIP. 

En effet, la plupart du temps, les solutions de chiffrement alourdissent les processus d’accès à la donnée et l’expérience utilisateur, notamment dans les environnements Cloud et les partages collaboratifs. Cela rend également plus compliquée l’indexation des données.

Pour remédier à cela, il est donc nécessaire d’impliquer toutes les parties, afin de les faire adhérer au projet, et cela passe par une présentation des risques et des menaces. Il faut savoir faire preuve de pédagogie et aborder une stratégie définie, notamment en ne chiffrant que les données les plus sensibles.

Quels doivent être les critères de sélection d’une solution de chiffrement ?

Plusieurs critères sont prépondérants dans le choix d’une solution de chiffrement :

  • La robustesse des algorithmes utilisés, mais généralement les solutions de chiffrement du marché sont fiables dans le choix des algorithmes implémentés ;
  • L’adhérence de la solution avec le SI en place : compatibilité Windows ou Linux, on-premise ou Cloud, compatibilité avec les différents cas d’usage… En effet, il vaut mieux opter pour une solution couvrant l’intégralité des cas d’usages souhaités plutôt que de multiplier les solutions de chiffrement ;
  • La compatibilité de la solution avec le niveau de sensibilité de la donnée. Dans certains cas, des qualifications par des organismes, tels que l’ANSSI, sont effectivement nécessaires ;
  • La solution doit permettre à l’entreprise de recouvrir toute donnée chiffrée en cas d’incident ou pour des raisons légales ;
  • La facilité d’implémentation ou encore la partie « design » pour les utilisateurs peuvent également être des aspects importants, afin que la solution soit acceptée par toutes les populations de l’entreprise ;
  • Enfin, la facilité d’administration de la solution. En effet, il sera plus simple de maintenir en condition opérationnelle une solution dont l’administration est aisée pour les administrateurs du SI.

De façon pratique, quelles parties du SI doit-on chiffrer ?

La politique de chiffrement ne dépend pas d’une partie du SI à chiffrer, mais doit se focaliser sur le chiffrement de la donnée où qu’elle se trouve. Ainsi, il est nécessaire de couvrir toutes les phases de la donnée, c’est-à-dire :

  • Data in use : le chiffrement des données non persistantes ;
  • Data in motion : le chiffrement des flux de données via l’utilisation de protocoles sécurisés, de tunnels VPN ou le chiffrement des mails ;
  • Data at rest : le chiffrement de la donnée stockée dans les sauvegardes et les diverses archives ; le chiffrement des serveurs de partage de fichiers.

Deux visions différentes peuvent orienter la stratégie de chiffrement. La première repose sur la classification de la donnée, comme cela peut être le cas pour les OIV par exemple. Dans ce contexte-là, on se focalisera sur le chiffrement de la partie du SI qui est classifiée (DR, CD ou SD). 

La seconde, notamment valable dans les grandes entreprises, se focalise plutôt sur les points de fuite potentiels de la donnée et aura pour objectif de chiffrer ces parties-là. Bien entendu, il est également possible de mettre en place une stratégie mêlant ces deux visions, même si généralement on définit plutôt une vision parmi ces deux-là.

Réfléchir avant d’agir...

Quelles sont les différentes étapes à respecter en amont et tout au long du déploiement de ce type de solution ?

Tout d’abord, tout projet de sécurité doit commencer par une véritable phase de réflexion et de conception. Avant de se demander quelle solution utiliser, il est primordial de définir les cas d’usages souhaités, les critères auxquels va devoir répondre la solution, etc. Cette étape semble évidente, pourtant elle est parfois absente dans certains projets. Il faut donc bien penser à concevoir une architecture, recenser les données à protéger ou encore prévoir l’accroissement du périmètre. 

Il est également important de faire attention à la compatibilité de la solution avec les applications métiers, qui fonctionnent parfois sur d’anciens serveurs dont l’adhérence n’est pas certaine avec les nouvelles solutions. 

Ensuite, on peut commencer à réfléchir à la solution la plus adéquate pour répondre à nos besoins, puis l’intégrer, en passant par un Proof of Concept ou une phase pilote. Une phase de recette sera également nécessaire avant de partir vers un déploiement généralisé. 

Pendant celle-ci, il sera important de vérifier que la solution répond bien aux attentes sur le périmètre ciblé, mais il faudra également avoir un regard sur la gestion de la sauvegarde, la gestion des clefs et le recouvrement de la donnée. Des tests de recouvrement de la donnée devront ainsi être effectués, afin de s’assurer de son bon fonctionnement. 

Une fois la recette terminée, on peut passer à la mise en production, en optant pour un déploiement équipe par équipe par exemple. Cette phase comporte également la réalisation de documentations, afin de permettre un transfert des compétences sur le sujet, mais également un historique des actions. 

Une fois la solution déployée en production, le travail n’est pas fini pour autant. En effet, l’entreprise devra assurer son maintien en condition opérationnelle pendant toute la durée de l’utilisation de la solution. Cela passe par la gestion des potentiels incidents, mais également par la mise à jour de la solution ou le renouvellement des clefs de chiffrement de manière périodique. 

Enfin, il est essentiel de prévoir une phase d’accompagnement à la conduite du changement, que ce soit au niveau des processus, mais également auprès des utilisateurs. En effet, ces derniers sont souvent les plus impactés par la mise en place des solutions de chiffrement, et des sessions de sensibilisation peuvent être nécessaires pour les aider à prendre de bonnes habitudes.

Quels sont les acteurs qui doivent prendre part à cette démarche ?

Lors de l’implémentation d’une solution de chiffrement, il est bien entendu important que l’équipe responsable de la sécurité du SI prenne part au projet, ne serait-ce que pour le choix de la solution ou des recommandations de sécurité.

En général, les équipes techniques en charge du SI doivent aussi être consultées. En effet, elles sont souvent de très précieux sachants sur les applications utilisées et leur avis peut se montrer important lors du choix d’une solution, notamment concernant son adhérence avec le SI.

Les équipes métiers ont également un rôle à jouer, car elles sont garantes du savoir relatif aux données utilisées et font également le pont avec les utilisateurs. Tout comme la direction, elles auront un rôle important dans l’adhésion des utilisateurs à la solution de chiffrement.

Une fois la solution de chiffrement implémentée, quelle est la marche à suivre au quotidien ?

La première question à se poser concerne le recouvrement de la donnée. En effet, il s’agit là d’un des aspects les plus importants pour assurer le contrôle de ses données, et il est essentiel de définir qui en aura la responsabilité. Souvent, de grandes discussions sont nécessaires pour définir si le recouvrement sera du domaine de l’équipe IT ou de la direction. Ainsi, il faut commencer par déterminer ces processus et l’organisation à mettre en place.

De plus, comme pour toutes les solutions de sécurité, l’installation des mises à jour est primordiale, notamment quand il s’agit de mises à jour de sécurité. Il est également nécessaire de procéder à une revue périodique de la configuration et de s’assurer du renouvellement des clefs de chiffrement. En cas de doute sur la possible compromission d’une clef, un renouvellement de celle-ci doit immédiatement être effectué.

Il peut aussi y avoir un certain nombre de tickets utilisateurs à prévoir et à gérer, que ce soit pour la perte d’un accès, d’un mot de passe ou des problèmes de compatibilité avec de nouvelles applications par exemple. Pour finir, les utilisateurs doivent être sensibilisés, et ce de manière régulière. En effet, les séances de sensibilisation doivent être accompagnées de piqûres de rappel périodiquement, par exemple une fois par an.

Comment sensibiliser au mieux les collaborateurs à ce type de technologies et d’usages ?

Pour sensibiliser les utilisateurs, il est nécessaire de leur expliquer les risques, afin de leur faire comprendre la nécessité d’intégrer du chiffrement et de les faire adhérer au projet. Il est également plus simple de sensibiliser les collaborateurs lorsque la solution en place est ergonomique ou ne demande que peu d’interactions avec l’utilisateur. 

Il ne faut pas non plus hésiter à faire des démonstrations, afin d’habituer les collaborateurs à l’interface de la solution, d’accompagner le changement et de répondre à leurs différentes questions.

Néanmoins, il ne sera pas non plus nécessaire d’entrer dans un flot ininterrompu d’explications techniques sur le fonctionnement de la solution, qui risquerait de vous faire perdre l’attention des collaborateurs. 

Il convient donc de trouver un juste milieu, afin de faire adhérer l’utilisateur à la solution par une compréhension des risques sans pour autant le perdre dans un flux d’informations techniques. Le plus simple, en la matière, reste de faire un parallèle avec la vie privée des utilisateurs.

En effet, le discours relatif à l’importance du chiffrement aura d’autant plus d’impact si on fait le lien avec leurs actions du quotidien, que ce soit en rapport avec les téléphones, les réseaux sociaux ou encore les comptes bancaires. Ce lien avec leur vie privée permettra par la suite de leur faire comprendre plus facilement les risques pour l’entreprise.

Le chiffrement doit s’inscrire
dans une démarche globale de protection des données

De manière générale, quelles recommandations pouvez-vous donner aux grandes entreprises en matière de chiffrement ?

Les grandes entreprises doivent se rendre compte que la protection de la donnée est un enjeu de plus en plus important, et dont la criticité n’aura de cesse d’augmenter dans les années à venir. Ainsi, la mise en place du chiffrement doit être un projet prioritaire dans les chantiers de sécurisation de leurs SI, afin de sécuriser en amont plutôt que de réparer une fois l’attaque survenue. 

Il ne faut également pas hésiter à se faire accompagner par des experts sur le sujet, de manière à ne pas mettre en place des solutions inadaptées aux besoins.

Les entreprises doivent inscrire le chiffrement dans une démarche à long terme de sécurisation de leurs données, et considérer ce sujet comme s’il s’agissait du développement de leurs propres offres. Aujourd’hui, la sécurité ne peut plus être abordée comme un sujet annexe. 

Mais, il ne faut pas non plus oublier que le chiffrement n’est qu’un chantier parmi d’autres qui vient en complément d’autres solutions, le tout dans une démarche globale de protection de la donnée. On y retrouve notamment la sensibilisation des utilisateurs, la gestion des données et leur classification, mais également d’autres solutions telles que la DLP (Data Loss Prevention)…

Quelles sont les innovations technologiques en la matière qui sont, selon vous, porteuses d’avenir ?

A court terme, les courbes elliptiques semblent être la technologie la plus prometteuse actuellement. Bien que déjà connues, ces applications technologiques sont encore en développement et porteuses d’innovations.
On peut également se féliciter à court terme de la démocratisation des matériels de cryptographie, avec l’apparition de solutions de cartes à puces ou de HSM (Hardware Security Module) accessibles et adaptées aux petites structures.

A plus long terme, et même si ce sujet est évoqué depuis quelques temps déjà, la cryptographie post-quantique semble être l’innovation la plus attendue. A voir si cette technologie saura répondre aux attentes… Mais il est déjà possible de se faire une idée sur les algorithmes qui seront potentiellement les prochaines normes en regardant les candidats des sélections du National Institute of Standards and Technology (NIST). En effet, ce dernier a lancé un processus d’évaluation et de standardisation d’un ou plusieurs algorithmes résistant aux attaques quantiques [1].

Quelles sont les innovations technologiques en la matière qui sont, selon vous, porteuses d’avenir ?

Il est compliqué de prédire l’avenir, encore plus en matière de sécurité, où tout change en continu et où l’évolution se fait au gré des attaques et des innovations technologiques. Néanmoins, la cryptographie post-quantique semble porteuse d’avenir et pourrait être une révolution dans le domaine du chiffrement, amenant les algorithmes les plus performants d’aujourd’hui à être inefficaces.

En outre, il est fort à parier que le chiffrement va aller en s’accélérant dans la société, dans un souci de protection des données personnelles. On le constate actuellement avec le développement des applications de messagerie chiffrée ; demain toutes nos communications le seront peut-être : appels vocaux, SMS, etc. Seule certitude : le chiffrement est promis à un bel avenir !

[1] https://csrc.nist.gov/projects/post-quantum-cryptography

Propos recueillis par Marc Jacob et Emmanuelle Lamandé.

Brian Nicolas-Nelson

Consultant Sécurité Opérationnelle