Le chiffrement devrait figurer parmi les priorités des entreprises et des administrations en matière de sécurité des données en 2014

Stream of bits - Big data concept

En 2013, le chiffrement a prouvé son efficacité et devrait figurer parmi les priorités des entreprises et des administrations en matière de sécurité des données en 2014.

Marquée par de multiples affaires de cyber espionnage, l’année 2013 a replacé le chiffrement sur le devant de la scène et prouve que son utilisation devrait s’étendre en 2014 et au-delà.

L’année 2013 aura été particulièrement riche en révélations dans le domaine du cyber espionnage. Qu’il s’agisse des différentes ramifications de l’affaire PRISM sur l’importance de l’espionnage effectué par la NSA ou d’autres agences gouvernementales, des soupçons d’espionnage industriel de la Chine au travers des équipements de Huawei, ou plus récemment, du témoignage d’un hacker démontrant qu’il était relativement simple de pouvoir accéder aux emails des parlementaires européens, les exemples ne manquent pas pour démontrer que les entreprises et les administrations doivent protéger leurs données et celles de leurs clients/utilisateurs.

Coté français le récent vote en faveur la Loi de Programmation Militaire (LPM) va faciliter l’accès aux données téléphoniques ou informatiques aux services de renseignement intérieur, à la police et à la gendarmerie, sans avoir recours à l’intervention d’un juge. Par conséquent, les hébergeurs basés sur le territoire français auront pour obligation de répondre aux demandes de mise à disposition de données. Ces derniers se verront donc dans l’incapacité de garantir la confidentialité des données critiques d’une entreprise qui s’appuierait sur un datacenter externe ou une solution Cloud. Une mesure qui risque également de porter préjudice aux deux Clouds souverains français lancés cette année qui ne pourront plus garantir le même niveau de sécurité et de confidentialité.

Certains, ont depuis longtemps, décidé de protéger leurs données et leurs échanges en s’appuyant sur le chiffrement. Et l’efficacité de l’utilisation des techniques de cryptage pour rendre des données illisibles n’est plus à démontrer. Ce n’est pas pour rien que la NSA a été impliquée dans la qualification ou la création de certains standards de sécurité conjointement avec le NIST (Institut National des Standards et Technologies), qu’elle se soit appuyée sur la justice américaine pour récupérer les clés de chiffrement du service Lavabit ou qu’elle ait souhaité récupérer les clés SSL de quelques-uns des principaux géants du net américains. L’utilisation du chiffrement reste un gage de sécurité majeur. D’ailleurs, nombreuses sont les entreprises qui suite à toutes ces révélations ont décidé d’opter pour le chiffrement de certains de leurs services. Des sociétés telles que Yahoo, Google, Microsoft, Twitter, etc. ont procédé à des annonces pour attirer l’attention du public sur la mise en place du chiffrement ou leur intention de le faire dans un avenir proche.

La France n’est pas en reste sur le sujet. On a ainsi assisté à un rappel à l’ordre effectué par les services du Premier Ministre Jean-Marc Ayrault auprès de l’ensemble des ministères pour leur souligner la faiblesse du niveau de sécurité des smartphones et tablettes grand public et de leurs lacunes en matière de préservation de la confidentialité des différents échanges susceptibles donc d’être interceptés. On a ainsi vu revenir sur le devant de la scène le téléphone sécurisé Teorem de Thales et assisté au récent lancement du Hoox m2 de Bull qui permet d’aller sur Internet, d’envoyer des e-mails et des SMS et de téléphoner de manière chiffrée.

A juste titre, le chiffrement connait un regain d’intérêt qui, si on en croit les prédictions du Gartner, devrait se poursuivre en 2014 et au delà. Le Gartner a ainsi récemment souligné que le marché de la sécurité dans le Cloud allait atteindre près de 2,1 milliards de dollars en cette fin d’année (+3,1 milliards en l’espace de deux ans), anticipé une croissance forte pour l’année prochaine et souligne que le chiffrement devient de plus en plus populaire.

Au niveau européen, l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) vient ainsi de publier un guide de recommandations à suivre pour la mise en œuvre du chiffrement au sein des entreprises, ce qui devrait inciter bon nombre d’entre elles à franchir le pas. Au niveau mondial, le groupe de travail HTTPbis de l’IETF (Internet Engineering Task Force) qui a pour mission d’élaborer la spécification HTTP 2.0 – qui sera utilisée dans le cadre de la navigation sur Internet dans le futur – a formulé trois propositions pour contrer l’espionnage des différents programmes de surveillance des organisations gouvernementales. Chacune de ces propositions suggèrent l’utilisation du chiffrement.

Lorsque l’on fait le bilan des évolutions réglementaires et des différentes affaires d’espionnage qui ont été révélées au cours de l’année 2013, ces recommandations et ces évolutions sont tout à fait justifiées. Partant de ce constat, on peut s’attendre à 4 évolutions à venir dans le domaine du chiffrement :

  • Une généralisation de l’utilisation du chiffrement de la part des entreprises et des particuliers.
  • Le regain de sélection de solutions françaises ou européennes bénéficiant de certifications, gages de sérieux face aux soupçons d’espionnage pesant sur les USA ou la Chine.
  • La mise en œuvre par les entreprises de stratégie de gouvernance de leurs données et des accès à ces dernières. Les entreprises vont se prémunir des accès technique aux données, se protéger contre les tiers internes ou externes à l’entreprise qui ont des droits d’administration mais qui ne doivent pas lire le contenu (cloisonnement et chiffrement pour empêcher la lecture des données mais en laissant possible leur administration).
  • Une révision, à plus ou moins long terme, des standards de chiffrements qui sont utilisés aujourd’hui afin que les limitations de chiffrement soient notamment revues à la hausse.

Pour conclure, on ne peut que se féliciter du regain d’intérêt pour le chiffrement celui-ci ayant largement fait ses preuves en matière de sécurité. Quels que soient les systèmes de stockage des données (sur sites, dans le Cloud ou hybride), les modes d’accès (dans l’entreprise, en situation de mobilité, etc.) ou les techniques de partage utilisées, le chiffrement reste incontournable. Il convient toutefois de le mettre en œuvre correctement et en utilisant des solutions fiables et certifiées. Sur cet aspect le point de départ idéal sera de consulter les recommandations de l’ANSSI et plus récemment celles publiées par l’ENISA.

 

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Le chiffrement devrait figurer parmi les priorités des entreprises et des administrations en matière de sécurité des données en 2014

Stream of bits - Big data concept 17th décembre, 2013

En 2013, le chiffrement a prouvé son efficacité et devrait figurer parmi les priorités des entreprises et des administrations en matière de sécurité des données en 2014.

Marquée par de multiples affaires de cyber espionnage, l’année 2013 a replacé le chiffrement sur le devant de la scène et prouve que son utilisation devrait s’étendre en 2014 et au-delà.

L’année 2013 aura été particulièrement riche en révélations dans le domaine du cyber espionnage. Qu’il s’agisse des différentes ramifications de l’affaire PRISM sur l’importance de l’espionnage effectué par la NSA ou d’autres agences gouvernementales, des soupçons d’espionnage industriel de la Chine au travers des équipements de Huawei, ou plus récemment, du témoignage d’un hacker démontrant qu’il était relativement simple de pouvoir accéder aux emails des parlementaires européens, les exemples ne manquent pas pour démontrer que les entreprises et les administrations doivent protéger leurs données et celles de leurs clients/utilisateurs.

Coté français le récent vote en faveur la Loi de Programmation Militaire (LPM) va faciliter l’accès aux données téléphoniques ou informatiques aux services de renseignement intérieur, à la police et à la gendarmerie, sans avoir recours à l’intervention d’un juge. Par conséquent, les hébergeurs basés sur le territoire français auront pour obligation de répondre aux demandes de mise à disposition de données. Ces derniers se verront donc dans l’incapacité de garantir la confidentialité des données critiques d’une entreprise qui s’appuierait sur un datacenter externe ou une solution Cloud. Une mesure qui risque également de porter préjudice aux deux Clouds souverains français lancés cette année qui ne pourront plus garantir le même niveau de sécurité et de confidentialité.

Certains, ont depuis longtemps, décidé de protéger leurs données et leurs échanges en s’appuyant sur le chiffrement. Et l’efficacité de l’utilisation des techniques de cryptage pour rendre des données illisibles n’est plus à démontrer. Ce n’est pas pour rien que la NSA a été impliquée dans la qualification ou la création de certains standards de sécurité conjointement avec le NIST (Institut National des Standards et Technologies), qu’elle se soit appuyée sur la justice américaine pour récupérer les clés de chiffrement du service Lavabit ou qu’elle ait souhaité récupérer les clés SSL de quelques-uns des principaux géants du net américains. L’utilisation du chiffrement reste un gage de sécurité majeur. D’ailleurs, nombreuses sont les entreprises qui suite à toutes ces révélations ont décidé d’opter pour le chiffrement de certains de leurs services. Des sociétés telles que Yahoo, Google, Microsoft, Twitter, etc. ont procédé à des annonces pour attirer l’attention du public sur la mise en place du chiffrement ou leur intention de le faire dans un avenir proche.

La France n’est pas en reste sur le sujet. On a ainsi assisté à un rappel à l’ordre effectué par les services du Premier Ministre Jean-Marc Ayrault auprès de l’ensemble des ministères pour leur souligner la faiblesse du niveau de sécurité des smartphones et tablettes grand public et de leurs lacunes en matière de préservation de la confidentialité des différents échanges susceptibles donc d’être interceptés. On a ainsi vu revenir sur le devant de la scène le téléphone sécurisé Teorem de Thales et assisté au récent lancement du Hoox m2 de Bull qui permet d’aller sur Internet, d’envoyer des e-mails et des SMS et de téléphoner de manière chiffrée.

A juste titre, le chiffrement connait un regain d’intérêt qui, si on en croit les prédictions du Gartner, devrait se poursuivre en 2014 et au delà. Le Gartner a ainsi récemment souligné que le marché de la sécurité dans le Cloud allait atteindre près de 2,1 milliards de dollars en cette fin d’année (+3,1 milliards en l’espace de deux ans), anticipé une croissance forte pour l’année prochaine et souligne que le chiffrement devient de plus en plus populaire.

Au niveau européen, l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) vient ainsi de publier un guide de recommandations à suivre pour la mise en œuvre du chiffrement au sein des entreprises, ce qui devrait inciter bon nombre d’entre elles à franchir le pas. Au niveau mondial, le groupe de travail HTTPbis de l’IETF (Internet Engineering Task Force) qui a pour mission d’élaborer la spécification HTTP 2.0 – qui sera utilisée dans le cadre de la navigation sur Internet dans le futur – a formulé trois propositions pour contrer l’espionnage des différents programmes de surveillance des organisations gouvernementales. Chacune de ces propositions suggèrent l’utilisation du chiffrement.

Lorsque l’on fait le bilan des évolutions réglementaires et des différentes affaires d’espionnage qui ont été révélées au cours de l’année 2013, ces recommandations et ces évolutions sont tout à fait justifiées. Partant de ce constat, on peut s’attendre à 4 évolutions à venir dans le domaine du chiffrement :

  • Une généralisation de l’utilisation du chiffrement de la part des entreprises et des particuliers.
  • Le regain de sélection de solutions françaises ou européennes bénéficiant de certifications, gages de sérieux face aux soupçons d’espionnage pesant sur les USA ou la Chine.
  • La mise en œuvre par les entreprises de stratégie de gouvernance de leurs données et des accès à ces dernières. Les entreprises vont se prémunir des accès technique aux données, se protéger contre les tiers internes ou externes à l’entreprise qui ont des droits d’administration mais qui ne doivent pas lire le contenu (cloisonnement et chiffrement pour empêcher la lecture des données mais en laissant possible leur administration).
  • Une révision, à plus ou moins long terme, des standards de chiffrements qui sont utilisés aujourd’hui afin que les limitations de chiffrement soient notamment revues à la hausse.

Pour conclure, on ne peut que se féliciter du regain d’intérêt pour le chiffrement celui-ci ayant largement fait ses preuves en matière de sécurité. Quels que soient les systèmes de stockage des données (sur sites, dans le Cloud ou hybride), les modes d’accès (dans l’entreprise, en situation de mobilité, etc.) ou les techniques de partage utilisées, le chiffrement reste incontournable. Il convient toutefois de le mettre en œuvre correctement et en utilisant des solutions fiables et certifiées. Sur cet aspect le point de départ idéal sera de consulter les recommandations de l’ANSSI et plus récemment celles publiées par l’ENISA.

 

By
@coesteve1
backtotop