Le chiffrement à l’épreuve de la conformité et de la souveraineté

Gouvernance Risques et Conformité
Le chiffrement à l’épreuve de la conformité et de la souveraineté

Le chiffrement est souvent cité comme une de solutions de référence pour protéger des données sensibles. Chiffrer est ce qui vient le plus naturellement à l’esprit lorsqu’on doit garantir un besoin de confidentialité. A ce titre, le chiffrement est souvent cité, directement ou non, dans plusieurs référentiels de sécurité, normatifs ou réglementaires.

Si le chiffrement est bien utile pour se protéger, il porte en lui un « côté obscur ». Le chiffrement est aussi un moyen par lequel on dissimule de l‘information ou des preuves. Que faire lorsque de logs sont chiffrés et qu’il faut les analyser ? Que faire si des preuves sont chiffrées et que l’on ne dispose pas de la clé de déchiffrement ? C’est là une des ambivalences du chiffrement…Les attaquants l’ont très bien compris.
Le succès des ransomwares est une bonne façon de l’illustrer. Avec ce type d’attaque, le chiffrement se retourne contre les défenseurs et les victimes !

Alors faut-il toujours chiffrer pour garantir sa conformité ? Il n’est pas toujours simple, ni possible, de faire autrement. Certains textes mentionnent directement le chiffrement ou la cryptographie en général (PCI-DSS par exemple). Le RGPD y pense très fort, le cite mais ne l’impose pas. Et certains textes français, dans le contexte des données de santé par exemple, ne le citent pas mais en font un prérequis quasiment obligatoire. Du côté des normes, et de la célèbre famille des normes ISO 27000, le chiffrement n’est pas imposé, de même que ces textes n’imposent pas une mesure de sécurité donnée. En revanche l’usage du chiffrement est cadré par des bonnes pratiques, relatives par exemple à la gestion des clés.

Enfin, il faut garder en tête que le chiffrement est régulièrement attaqué, notamment lors de discours politiques visant à chercher des coupables face aux fléaux qui touchent notre société, comme le terrorisme. Il est courant d’entendre dire que les communications chiffrées doivent être déchiffrées plus facilement, que les pouvoirs publics doivent être dotés de moyens de déchiffrement. A ce propos, fin 2017, le Conseil National du Numérique avait pris position en faveur du chiffrement des communications, considéré comme un "élément vital de la sécurité en ligne".

Difficile donc de se passer du chiffrement. Ce constat est renforcé par le recours massif à l’externalisation et aux services dans les clouds. On ne maitrise plus les infrastructures et certaines des couches hautes du SI. Il ne nous reste que les données. Alors il convient de les protéger le mieux possible.

S’il faut chiffrer, alors chiffrons… mais chiffrons correctement ! Il ne faut pas s’abriter derrière le chiffrement et se laisser bercer par une fausse impression de sécurité. Il faut maitriser ce chiffrement et surtout maitriser le déchiffrement. La problématique est certes technique… et peut nécessiter une expertise très particulière pour la mise en œuvre. Mais il y a aussi une dimension stratégique. En effet, la question de la souveraineté se pose très vite. Il faut pouvoir garder la maitrise de ses données et de leur protection. Pour y voir clair, voici les quatre questions clé que nous posons aux organisations qui ont besoin d’être accompagnées.

  • Quelles sont les données que vous souhaitez chiffrer ? A quel moment de leur cycle de vie (au repos, en transit d’un serveur à un autre, en mémoire sur un serveur, etc.) ?
  • Qui réalise les opérations de chiffrement, vous ou un sous-traitant ? Avez-vous la main sur les paramètres associés (algorithme et taille de clé par exemple) ?
  • Qui détient les clés de chiffrement ? Sont-elles stockées et manipulées en toute sécurité ?
  • Qui est en mesure de déchiffrer les données ? Quid des administrateurs ?

Toutes ces questions sont structurantes. Il est nécessaire de se les poser pour un chiffrement qui allie sécurité, conformité et souveraineté.

Cet article est paru originellement dans Cyberun, pour vous abonner rendez-vous sur : https://www.cyberun.net

Benjamin Leroux, Innovation & Marketing, Advens