Vous lisez la deuxième des quatre parties de la série Comment Virtru simplifie le monde complexe de la cybersécurité.
La cybersécurité n’a rien de simple. Si vous êtes un responsable de l’informatique ou de la sécurité, vous êtes chargé de la protection de centaines, voire de milliers de flux de données. Vous surveillez une surface d’attaque vaste et qui ne cesse jamais de s’agrandir. En outre, vous essayez chaque jour de garder une longueur d’avance sur des acteurs malveillants agissant de manière de plus en plus sophistiquée.
Aussi compliquée que soit devenue la cybersécurité, elle se résume toutefois à un principe essentiel : protéger les données.
Protégez les données et fêtez la journée mondiale du chiffrement
Depuis que trois diplômés du MIT ont inventé le protocole S/MIME en 1995, le chiffrement constitue la meilleure façon de protéger des données. Le créateur de la sécurité « Zero Trust », John Kindervag, exprime ce principe ainsi : « Quel est le meilleur moyen de protéger vos données ? Il s’agit du chiffrement. Pour mettre ce procédé en œuvre, vous devez avoir le contrôle sur les clés et les certificats, qui constituent la technologie sous-jacente permettant le chiffrement. »
Le 21 octobre est la journée mondiale du chiffrement, consacrée à la défense d’un chiffrement fort et à la maximisation de la confidentialité numérique.
Chez Virtru, nous sommes à la fois partisans d’un chiffrement fort et de la confidentialité numérique, mais nous défendons également la facilité d’utilisation. Pourquoi ? Nous sommes bien conscients que la plupart des technologies de chiffrement n’ont jamais été faciles à utiliser pour ceux d’entre nous qui ne sont pas ingénieurs en logiciel ou informaticiens. C’est pourquoi nous avons passé la dernière décennie à travailler avec diligence pour simplifier le chiffrement à la fois pour les personnes qui envoient des messages protégés et pour celles qui les reçoivent. Ainsi, chacun peut tirer parti d’une confidentialité numérique améliorée.
Si l’on y réfléchit bien, le principe du chiffrement des données est assez simple. La complexité vient en réalité du déchiffrement, et en particulier, de la recherche du bon équilibre entre facilité d’utilisation et sécurité renforcée. Vous voulez qu’il soit facile pour les bonnes personnes d’accéder aux données chiffrées (en les déchiffrant). En outre, vous souhaitez qu’il soit impossible pour toute autre personne de déchiffrer ces données.
Rendre le déchiffrement facile pour les bonnes personnes est plus difficile qu’il n’y paraît. Supposons, par exemple, que vous soyez un médecin et que vous souhaitez communiquer les résultats d’un examen médical à un patient. Vous souhaitez bien entendu que le médecin puisse facilement chiffrer les informations qu’il partage avec le patient. Toutefois, vous voulez également qu’il soit extrêmement simple pour le patient de déchiffrer ses données de santé et d’y accéder, tout en faisant en sorte qu’il prouve qu’il est bien le patient concerné. Vous ne voulez pas non plus que quelqu’un d’autre que le patient puisse accéder à ces informations.
Lorsqu’un procédé de chiffrement facile à utiliser s’accompagne d’une méthode de déchiffrement sécurisée et simple d’emploi, cela crée un cercle vertueux : les médecins peuvent partager des informations chiffrées avec leurs patients avec assurance et les patients sont convaincus que leurs informations sont traitées de façon sécurisée.
La situation du chiffrement en 2022
La journée mondiale du chiffrement tombe particulièrement à point nommé cette année, du fait de l’annonce récente de la présence d’une vulnérabilité dans Microsoft 365 OME. Le directeur marketing de Virtru, Matt Howard, et son vice-président directeur des produits et de l’ingénierie, Dana Morris, ont dialogué sur la situation actuelle du chiffrement.
Pourquoi le chiffrement de bout en bout est sous-utilisé
Rares sont ceux qui contestent que le chiffrement de bout en bout (E2E) est une bonne pratique en matière de sécurité et de confidentialité des données. Il est en effet logique d’ajouter une couche de protection aux données sensibles. Alors, s’il s’agit là d’une bonne pratique, pourquoi n’est-elle pas plus largement adoptée ?
Les services de chiffrement hérités sont difficiles d’emploi
Si vous avez déjà utilisé un service de chiffrement d’e-mails s’appuyant sur un portail, vous savez très bien de quoi nous parlons : personne n’a envie de créer un nom d’utilisateur et un mot de passe supplémentaires pour envoyer ou ouvrir un message chiffré. Personne n’a envie d’interrompre ses tâches pour se connecter à un portail, car cela ralentit le travail et crée de la frustration. Personne ne veut que les e-mails chiffrés soient stockés dans une boîte de réception séparée.
Plus important encore, personne ne souhaite envoyer à un client, un partenaire commercial ou un membre du conseil d’administration un message chiffré qu’il ne saura pas comment ouvrir. Les processus de déchiffrement compliqués créent des difficultés inutiles pour toutes les personnes impliquées. Pire encore, les difficultés inutiles poussent les individus à abandonner complètement les processus de travail chiffrés et à avoir constamment recours à des processus non chiffrés, ce qui réduit la confidentialité de toutes les personnes impliquées.
Certaines méthodes de chiffrement sont encore vulnérables
Le chiffrement de bout en bout n’est pas un monolithe : il existe de nombreuses méthodes de chiffrement, certaines étant plus sécurisées que d’autres. Cela peut se traduire par la présence de vulnérabilités au sein de certains services de chiffrement, comme nous l’avons récemment constaté dans le cadre du chiffrement des messages dans Microsoft 365 Office.
De ce fait, certaines personnes pourraient hésiter à avoir recours au chiffrement, ce qui serait une erreur, car il s’agit d’un outil puissant pour protéger les données.
Heureusement, ces méthodes de chiffrement héritées ne constituent pas vos seules options.
Comment est-il possible de favoriser l’adoption du chiffrement de bout en bout ?
Le chiffrement de bout en bout présente de nombreux avantages et il existe des outils qui facilitent le chiffrement et le déchiffrement. Une solution de chiffrement de bout en bout efficace doit avoir les caractéristiques suivantes :
- Elle simplifie le chiffrement et le déchiffrement. La facilité d’utilisation ne concerne pas seulement l’utilisateur principal. Le destinataire doit aussi pouvoir facilement accéder aux informations.
- Elle ajoute un chiffrement de bout en bout aux applications que les individus utilisent au quotidien, afin qu’ils puissent faire leur travail sans subir de ralentissements.
- Elle associe le chiffrement à des contrôles de politique, idéalement des contrôles d’accès s’appuyant sur des attributs qui peuvent facilement authentifier le destinataire.
- Elle donne aux utilisateurs les moyens de partager des informations en toute sécurité. Ainsi, au lieu que les données soient cloisonnées, les utilisateurs peuvent partager des informations avec la certitude qu’elles seront sécurisées, même après avoir quitté l’organisation.
Deux questions à poser aux fournisseurs de sécurité
Si vous choisissez une solution de protection des données, vous devez vous poser deux questions clés :
- Sera-t-il facile pour moi, mes équipes et nos contacts externes d’utiliser le chiffrement ?
- Si la solution est réellement facile d’emploi, à quel point est-elle sécurisée ?
Il est nécessaire de vous assurer que la facilité d’utilisation est toujours associée à de solides protections garantissant la sécurité de vos données.
Choisissez un chiffrement convivial pour renforcer la confiance et la collaboration
À l’occasion de la journée mondiale du chiffrement, nous voulons qu’un point soit bien clair : le chiffrement et le déchiffrement doivent être faciles d’emploi.
Imaginez un scénario où, au lieu d’être confronté à une expérience de chiffrement frustrante et difficile à utiliser, vous pourriez :
- chiffrer les messages en un seul clic, directement dans votre fenêtre de messagerie ;
- permettre à vos destinataires d’accéder facilement aux informations chiffrées que vous leur envoyez ;
- appliquer automatiquement un chiffrement uniquement aux données véritablement sensibles (par exemple, les numéros de sécurité sociale ou les données de carte de crédit) ;
- mettre le chiffrement à la disposition de toute votre équipe pour un prix abordable ;
- avoir l’esprit tranquille, car vos données sont protégées par un chiffrement en mode AES 256 GCM (qui ne présente pas la même vulnérabilité que Microsoft OME);
- déployer rapidement le chiffrement, en le rendant opérationnel en moins d’une journée.
Tout cela est possible avec Virtru, qui apporte un chiffrement puissant à tous ceux qui en ont besoin, c’est-à-dire tout le monde.
Comme l’a déclaré Ram Avrahami, responsable des services informatiques et des systèmes d’information mondiaux chez NEXT Insurance et client de Virtru, « Nous voulons que chaque personne ait la possibilité de protéger les fichiers qu’elle envoie. Chaque employé de l’entreprise sera amené à partager des données confidentielles à un moment donné. Peut-être pas tous les jours, peut-être pas toutes les semaines, mais ce moment finira par arriver. »
En cette journée mondiale du chiffrement, nous espérons que vous réfléchirez à la manière dont une expérience utilisateur de chiffrement et de déchiffrement fluide peut permettre aux utilisateurs de partager des données sensibles et de garder un contrôle total sur leur vie privée à tout moment.
Vous voulez en savoir plus sur la façon dont vous pouvez ajouter une fonctionnalité de chiffrement facile d’emploi aux applications que vous utilisez au quotidien ? Nous serions ravis de vous montrer ce que Virtru peut faire : contactez-nous pour bénéficier d’une démonstration.
