article
done_all
workspace_premium
science
Actualité
Projet
Retour d'expérience
Parole d'expert
timer
9
minutes de lecture
SAnté
Retail & luxe
Énergie & environnement
Banque & assurance
Référents technique
-
15/4/24
La cybercriminalité a fortement augmenté au cours des vingt dernières années. De nombreuses entreprises et administrations publiques sont quotidiennement visées en France et en Europe.
Le modus operandi se répète souvent : les cybercriminels s’emparent de données en exploitant des failles de sécurité dans les systèmes d’information. Ils les utilisent ensuite de façon frauduleuse pour les vendre sur le dark web ou demander directement une rançon aux entreprises victimes contre la restitution de ces données (rançongiciels).
Selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), les organisations les plus visées sont les petites et moyennes entreprises (40%), suivies par les collectivités territoriales (23%), les établissements de santé (10%), les et les entreprises stratégiques (6%).
En 2022, le vol de données a coûté en moyenne 2,34 millions d’euros aux entreprises françaises.
Face à cette menace, il est impératif de se munir de nouvelles technologies pour se protéger et protéger les clients et collaborateurs.
La cryptographie désigne l’ensemble de techniques et méthodes utilisées pour transformer des données numériques claires en messages inintelligibles par des tiers. Elle permet de garantir la confidentialité par chiffrement les fichiers et les données contre leur lecture par d’autres utilisateurs et notamment par des tiers malveillants.
Le chiffrement regroupe des mesures techniques et organisationnelles basées sur des technologies de pointe, visant à sécuriser des données sensibles, particulièrement dans les milieux professionnels.
Le 27 avril 2016, les États membres de l’Union Européenne ont adopté le RGPD (Règlement Général sur la Protection des Données), qui harmonise et renforce les règles applicables en matière de protection des données à caractère personnel sur le territoire de l’UE.
Pour se conformer à ce règlement, il est fortement conseillé aux entreprises de se doter de procédures de gestion des données personnelles qui aident à établir, contrôler et prouver la conformité : clauses contractuelles, consentements et obligations légales. La tâche étant assez complexe, les entreprises choisissent souvent de se faire accompagner par des experts en cybersécurité.
Il est de plus, recommandé d’implémenter des systèmes de chiffrement de bout en bout, basés sur des technologies robustes (DES, AES,DSA, etc.). Ces technologies sont aujourd’hui accessibles à toutes les entreprises et comportent quatre grandes qualités :
- Une sécurité renforcée pour les échanges en ligne,
- Une protection contre le vol de données,
- Une amélioration dans la gestion des droits d’accès,
- Une meilleure conformité face aux lois, notamment le RGPD.
Les usages des méthodes de chiffrement sont divers :
- Le chiffrement peut concerner des données en transit, tels que des courriels confidentiels, des messages instantanés, des transactions en ligne, des navigateurs web, des serveurs et sites web via des certificats SSL, TSL ou HTTPS…
Il peut aussi protéger la confidentialité des données au repos, comme des documents ou données stockées dans des serveurs, des machines, des supports matériels (disques durs, clés USB), ainsi que des mots de passe (Bitwarden, LastPass…).
Il n’y a pas une seule façon dechiffrer des données. On distingue au moins quatre types de d'algorithmes decryptographie :
- Chiffrement à clé symétrique ou secrète : avec cette méthode, l’expéditeur et le destinataire des données disposent de la même clé pour les chiffrer et les déchiffrer.
- Chiffrement à clé asymétrique ou publique : cette méthode utilise deux clés qui forment une paire et sont liées. L’expéditeur utilise la clé publique pour chiffrer son message et le destinataire peut le déchiffrer avec une clé privée. Si un cybercriminel s’empare du fichier, il ne pourra y accéder sans la clé privée correspondante.
- Fonctions de hachage cryptographique : Cette technique permet de convertir une chaîne de données, quelle que soit sa taille, sous la forme de données de sortie hachées (un condensé des données d’entrée) d’une longueur fixe. Les fonctions de hachage ont de multiples applications, comme les signatures numériques, les MAC (codes d’authentification de message), et les sommes de contrôle (permettant de vérifier si des données ont été altérées). Les fonctions de hachage sont au cœur de diverses Normes internationales, notamment ISO/IEC 9797-2, ISO/IEC 9797-3 et ISO/IEC 10118.
On peut chiffrer toutes sortes de données, mais il est toujours préférable d'intégrer la protection des données sensibles dès l’étape de conception des systèmes ou des applications. On parle de privacy by design. La stratégie de chiffrement dépend du type de données, mais aussi du risque et du volume d'informations sensibles concernées.
Pour définir tout cela, il est nécessaire de procéder à une analyse d’impact, qui visera :
- À décrire comment les données vont être traitées,
- À définir comment les risques liés au traitement des données personnelles seront gérées
- Évaluer le besoin, le périmètre et la proportionnalité du traitement.
En entreprise, les données concernées peuvent inclure des informations sensibles personnelles (comme celles liées à la reconnaissance faciale ou aux empreintes des employées ou collaborateurs), mais aussi les documents internes de l’entreprise ou encore les données financières. Les directions financières et commerciales sont souvent la cible des cybercriminels qui cherchent souvent à obtenir l’accès aux transactions économiques de l’entreprise.
L’article 9 du RGPD décrit d’autres données très sensibles qu’il faut protéger. On y retrouve des données relatives à la santé, la religion, les appartenances politiques, l’ethnicité, etc… En somme, les données liées à la vie privée des individus en contact avec l’entreprise (clients, prospects, salariés, etc).
Le chiffrement a malgré tout quelques limites selon le choix du procédé utilisé. Le risque de décryptage peut être élevé en fonction de la méthode utilisée. Il faut aussi penser à bien conserver et protéger les clés et mots de passe donnant accès aux données.
De plus, la sécurité informatique repose aussi sur d’autres piliers qui ne sont pas couverts par les systèmes de chiffrement, comme l’intégrité et la disponibilité des données.
C’est pour cela qu’il est conseillé de faire appel à des spécialistes pour la conception des infrastructures informatiques, ainsi que des protocoles de gestion des données combinant plusieurs types de mécanismes de protection, comme l’authentification sécurisée, les signatures numériques, etc.
La clé pour se protéger face aux menaces de sécurité informatique réside souvent dans le choix d’un bon partenaire. Infogene est spécialiste en sécurité de l’information et peut vous aider à auditer vos systèmes, ainsi qu'à identifier des défaillances de sécurité et des faiblesses dans vos environnements numériques. De cette façon, vous maîtrisez les flux d’informations et de données et vous garantissez la conformité face aux normes existantes.