Chiffrement : le casse-tête des clés
Le déploiement massif du chiffrement peut réduire considérablement l’impact des incidents de sécurité. Mais la complexité de la gestion des clés retarde le phénomène.
En 2008, des criminels ont dérobé une partie du code source de Symbian, y compris une clé de chiffrement utilisée pour valider la légitimité des mises à jour logicielles. Nokia aurait payé rien moins que plusieurs millions d’euros de rançon pour que la clé ne soit pas rendue publique. A l’époque, le Finlandais dominait le marché mondial de la téléphonie mobile. Ce chantage ferait toujours l’objet d’une enquête. En tout cas, ce cas montre la criticité de la question de la gestion des clés de chiffrement.
Alors que la plupart des entreprises ne dépendent pas d’une seule clé de chiffrement, nombre d’entre elles s’appuient sur un unique entrepôt de clés afin de simplifier l’administration de leur infrastructure de chiffrement. Et les attaquants ciblent de plus en plus ces entrepôts de clés et serveurs. Reste que de nombreuses entreprises ne savent pas encore comment leurs clés sont administrées.
« Une administration appropriée des clés est vraiment importante », relève Bob West, directeur confiance chez CipherCloud, spécialiste du chiffrement, et ancien RSSI dans l’industrie des services financiers. « J’ai réalisé un projet pour un ancien employé, et 40 % des clés SSH se sont avérées être exposées sur Internet ».
Les employés qui ont un accès libre aux précieuses clés sont une autre préoccupation. Terry Childs est par exemple le technicien de San Francisco qui a bloqué la ville en dehors de son système de gestion de paie. Mais si Terry Childs a été condamné à quatre ans de prison en 2010 pour cela, il s’avère que la responsabilité de la DSI de la ville pouvait aussi être impliquée : elle a échoué à prendre conscience des risques associés à une gestion des clés – ou en l’occurrence de mots de passe – peu sûre, et en particulier non séparée de celle des données.
Des déploiements à la traîne
Mais pour Pete Nicoletti, RSSI de Virtustream, le risque du vol de données non chiffrées est considérablement plus important que celui de perte de clés, de menaces internes, ou encore de maillons faibles : « il faut d’abord se préoccuper de déployer le chiffrement, puis de s’assurer d’être capable de l’administrer de manière sûre ».
Reste que même si la majorité des clients du fournisseur de services Cloud requiert de lui le chiffrement de leurs données, pour eux, ce n’est généralement qu’une question de conformité. « Le chiffrement devrait être considéré comme une pratique de référence obligatoire. Mais beaucoup de clients font passer beaucoup de choses avant cela ».
Mais si les entreprises devraient toutefois éviter de considérer le chiffrement comme un remède absolu, il leur faut renforcer leurs protections en le déployant plus largement. Virtustream a déployé le chiffrement pour isoler et protéger les données de ses clients, pour empêcher à ses employés l’accès aux données, et pour réduire les possibilités de vol de données. « Avec le chiffrement, en cas de vol de données, les entreprises peuvent se concentrer sur leurs erreurs », relève Pete Nicoletti, plutôt que de devoir se démener avec une fuite de données massive.
Seules 10 % des 237 fuites de données rapportées au second trimestre 2013 concerniaent des données chiffréesSafeNet
Le problème des entreprises cherchant à renforcer leurs défenses en profondeur est que le chiffrement complexifie les choses. Pas surprenant, dès lors, qu’il soit si peu répandu. De fait, selon une étude de l’institut Ponemon, en 2013, 30 % des entreprises utilisaient « extensivement » le chiffrement. Et cela malgré les bénéfices du chiffrement lorsque des données sont exposées. Selon SafeNet, seulement 10 % des 237 fuites de données rapportées au second trimestre 2013 concerniaent des données chiffrées. De tous ces incidents, représentant quelques 175 millions d’enregistrements de données, seulement deux, soit moins de 1 %, pouvaient être considérés comme des incidents « sûrs », où les attaquants avaient extrêmement peu de chances de pouvoir un jour utiliser les données dérobées.
« Il y a un petit pourcentage d’entreprises qui font cela bien », relève Jon Oltsik, analyste recherche de l’Enterprise Strategy Group. « Et le reste d’entre eux font cela de manière tactique, et encore, dans la douleur et les cris ».
Le chiffrement des communications est devenu un standard pour la plupart des entreprises. Mais les communications non chiffrées continuent d’exister, en particulier avec les nouveaux terminaux mobiles. Sur 2 100 applications mobiles testées entre octobre et novembre 2013 par HP, sur un échantillon de 600 entreprises du classement des 2 000 plus grandes multinationales, 18 % n’utilisaient pas HTTPS pour des opérations sensibles, telles que l’authentification. Et 18 % de plus avaient implémenté HTTPS ou SSL de manière impropre.
Et le chiffrement des communications est la partie simple. Celui des données au repos implique des tâches complexes de distribution de clés, de classification des données, et de vérification que les applications peuvent lire les informations. Généralement, le chiffrement des données au repos se concentre sur 4 domaines : les ordinateurs portables, les smartphones et les tablettes, les bases de données gérées en interne, et le stockage en mode Cloud.
La diaspora des données
Et parce que les ordinateurs portables disparaissent si souvent, chaque PC mobile devrait être chiffré, selon Erik Heidt, directeur de recherche chez Gartner. « Nous ne sommes plus en 1999 », indique-t-il, « il n’y a plus de raison de ne pas chiffrer les ordinateurs portables et les terminaux mobiles ». Pour lui, les organisations échouent à chiffrer le disque dur de ces appareils, « mais si vous ne le faites pas, vous êtes clairement en retard ».
Et justement, de nombreuses entreprises échouent apparemment à prendre ces précautions de base. Seuls 30 % des ordinateurs portables volés étaient chiffrés selon une étude du Ponemon basée sur le sondage de 329 entreprises américaines.
La plupart des organisations ne savent pas combien de clés elles ontKevin Bocek, vice-président de Venafi
Et selon Erik Heidt, le chiffrement des terminaux mobiles s’avère encore plus difficile, car ceux-ci ont non seulement besoin de chiffrement du stockage embarqué, mais également de technologies supplémentaires comme la conteneurisation. « Il est nécessaire de supporter bien plus de technologies sur ces appareils, avec des appareils et des systèmes d’exploitation variés ».
Les bases de données locales sont un autre domaine qui méritent un chiffrement, après les sauvegardes chiffrées et les réseaux privés virtuels, selon l’institut Ponemon. Alors que les entrepots de données migrent dans le Cloud, cela devient plus complexe. De nombreuses entreprises, comme Ciphercloud, proposent des technologies qui chiffrent les données avant qu’elles n’aillent dans le Cloud et ont créé des techniques permettant de chercher et de traiter les données, y compris après leur chiffrement.
Alors que les entreprises collectent plus de données et que plus d’informations sont dispersées entre utilisateurs mobiles et Cloud, les organisations ont besoin d’adopter des approches mesurées pour déployer le chiffrement dans des environnements fourmillant de données.
« Pour une entreprise, aujourd’hui, de nombreux changements surviennent en raison du Cloud, de la mobilité et du Big Data. Et cela affecte les stratégies de protection des données », relève Derek Tumulak, vice-président de Vormetric en charge des produits. « La mauvaise approche peut empêcher de tirer pleinement profit de ces tendances ».
De la stratégie aux processus
Une approche commune de la protection des données consiste à prendre l’ensemble des données métiers, à comprendre les menaces qui pèsent dessus, et à créer des règles. Les entreprises ont également besoin de savoir à quels terminaux et à quelles applications faire confiance, et comment les règles peuvent être appliquées sur ces terminaux et dans le Cloud, relève Kevin Bocek, vice-président de Venafi en charge de la stratégie de sécurité.
« C’est toujours un bon début que de savoir ce que vous avez », indique-t-il. « La plupart des organisations avec lesquelles nous travaillons ne savent pas combien de clés elles ont, où elles utilisent le chiffrement, et à quels terminaux et applications elles font réellement confiance ».
Les entreprises devraient faire particulièrement attention à la gestion des clés, ce qui est probablement la part la plus importante d’un système de chiffrement, en particulier alors que les organisations chiffrent plus de données et que leurs infrastructures deviennent rapidement plus complexes. « Et vous découvrez que vous avez besoin de chiffrer plus », explique Tsion Gonen, directeur stratégie de SafeNet. « C’est là que vous vous retrouvez avec des millions de clés dispersées un peu partout, sans point d’administration centralisé ». Certaines entreprises utiliseraient ainsi jusqu’à 15 systèmes de gestion des clés différents.
Les fournisseurs essaient de régler le problème de la gestion des clés, mais l’interopérabilité manque entre systèmes de chiffrement. Le protocole KMIP de l’Oasis vise à industrialiser et à standardiser les communications entre produits de chiffrement. Il pourrait aider à régler ce problème à l’avenir. En février, onze spécialistes du chiffrement – dont Dell, IBM, Oracle, SafeNet, Thales et Vormetric, notamment – ont fait la démonstration de l’interopérabilité de leurs produits, mais plus de support reste nécessaire.
Et c’est essentiel : pour Tumulak, « de nombreuses organisations ne veulent pas de silos de chiffrement, avec cinq différents fournisseurs et cinq différents solutions. Si vous pouvez réduire le nombre de fournisseurs de dix à deux, vous gagnez énormément ».
Apporter plus de standardisation dans les produits de chiffrement est donc nécessaire. Mais même avec un tel développement, le chiffrement ne sera pas une panacée. Même correctement mis en œuvre, le chiffrement apporte peut si l’attaquant parvient à prendre le contrôle de la machine d’un utilisateur, ou si celui-ci devient malveillant. Et dans certains cas, le chiffrement peut permettre à l’attaquant de réduire la visibilité de l’entreprise sur ce qui se passe sur son réseau.
Le chiffrement partout
La fin de la sécurité périmétrique a renforcé l’intérêt pour le chiffrement. Alors que les données se déplacent entre Cloud et terminaux mobiles, le chiffrement n’est pas seulement bénéfique à la sécurité, il est aussi nécessaire à l’avenir des entreprises, estime Erik Heidt.
Le chiffrement va sûrement créer de nouvelles opportunités pour les fournisseurs de services Cloud, et pas seulement pour rassurer leurs clients, mais également pour permettre de prouver que des données ont bien effacées.
« Effacer les données d’un disque dur ne permet pas de garantir qu’elles ne sont plus là. Et c’est encore plus vrai dans le Cloud parce que le client ne contrôle pas le matériel », souligne Erik Heidt. Mais lorsque le client détient les clés de chiffrement des données, il lui suffit de détruire celles-ci pour être sûr que les données ne sont plus accessibles.
Alors que les données passent le pare-feu de l’entreprise, de plus en plus d’organisations cherchent à les chiffrer et à assurer la continuité de l’application de leurs stratégies internes. Hélas, ce n’est pas une solution parfaite et les entreprises doivent créer des règles qui s’appuient sur le chiffrement, mais pas uniquement, relève Sandy Carielli, directrice protection des données chez RSA.
Pour elle, « le chiffrement est une composante d’une stratégie robuste de défense en profondeur. Mais il n’est pas possible de ne recourir qu’au chiffrement, tout comme il n’est pas possible de ne recourir qu’à de meilleures pratiques de programmation. Il est nécessaire de déployer tout un ensemble de tactiques ».
Adapté de l’anglais par la rédaction.