Protéger ses données ne se résume pas à l’authentification et au contrôle d’accès

Si les données ne sont pas chiffrées, un simple vol d'équipement supplante les efforts d'authentification et de contrôle d'accès. Le chiffrement évite que les données soient utilisées ou détournées.

Aujourd’hui encore, il est classique de se méprendre sur le rôle de l’authentification et du contrôle d’accès en matière de protection des données. Cette confusion relève d’une mutation des menaces et de l’apparition de nouveaux périmètres de divulgation frauduleuse de données.

Cette mésentente a également été pérennisée par l'absence de fonctionnalité de chiffrement des données destinée aux applications au sein des logiciels d'entreprise. Il suffit d'interroger les éditeurs de logiciels pour comprendre que les fonctionnalités de protection des données se résument souvent à l'authentification et au contrôle d'accès, ce qui alimente, au final, une confusion sur l'art et la manière de déployer un environnement sécurisé pour les données d'entreprise.

L'authentification et le contrôle d'accès sont des éléments importants de la sécurité des données, mais, il est urgent de définir précisément leurs rôles et leurs limites. Le processus d'authentification donne la preuve qu'une identité donnée correspond à l'entité ou à la personne qui l'utilise. Les identifiants de l'utilisateur sont passés à la moulinette d'une méthode d'authentification, qu'il s'agit d'un mot de passe classique, d'une authentification forte ou d'autres méthodes similaires. Lorsque l'identité est validée via l'authentification, le contrôle d'accès détermine les ressources pouvant être utilisées par l'utilisateur.

Cette description laisse entrevoir une forme de protection des données, puisque l'utilisateur habilité n'accède qu'aux données autorisées. On note néanmoins que l'authentification et le contrôle d'accès ne sont efficaces que pour les données auxquelles on accède via la passerelle principale d'une l'application. La limite de ces 2 composantes est que les responsables informatiques doivent également se pencher sur ces données lorsqu'elles sont acheminées au-delà de cet accès principal.

Considérons le rôle d'un administrateur système dont la responsabilité est d'assurer la disponibilité des applications métier et qui dispose d'un accès privilégié de "super-utilisateur" lui permettant de passer outre les contrôles d'accès qui protègent les données.  Ainsi, l'administrateur a la possibilité (mais pas forcément le droit) de visualiser toutes les informations non chiffrées qui transitent via le système. Pour assurer son rôle, l'administrateur doit être capable de mener sa mission sans pour autant visualiser les données. La meilleure solution pour y arriver est via le chiffrement des données.

Il s'agit également de se pencher sur les menaces particulièrement versatiles qui pèsent sur l'intégrité des données, d'autant que les pirates déploient de nouvelles méthodes pour détourner de grands volumes de données confidentielles. C'était notamment le cas pour la fuite de données chez Heartland Payment Systems, un fournisseur majeur de services de traitement de cartes de paiement aux États-Unis. Des "sniffers" ont été déployés par un logiciel malveillant pour détourner des données de cartes stockées en clair sur certains segments du réseau. Cette méthode déjoue les processus d'authentification en utilisant des passerelles de type backdoor pour accéder à des données confidentielles. Cet exemple prouve à nouveau l'urgence de chiffrer ses données, pour garantir leur acheminement en toute sécurité, et ce, quel que soit le niveau de sécurité des réseaux par lesquelles elles transitent.

Les déploiements d'applications de nouvelle génération remettent en cause le traditionnel périmètre de sécurité des données. Aujourd'hui, les applications sont de plus en plus souvent fournies sous forme de services administrés ou de services hébergés (ou SaaS pour Software as a Service). Ces applications acheminent et stockent des données d'entreprise confidentielles sur des réseaux et des équipements de stockage qui sont hors du périmètre de contrôle de la société. Dans l'intérêt de l'entreprise et du fournisseur de service, ces données doivent rester confidentielles et donc être chiffrées. En dissociant la gestion des applications de la gestion des clés de chiffrement, un fournisseur SaaS peut continuer à proposer ses services applicatifs en mode hébergé sans pour autant avoir accès aux informations utilisées et stockées par cette application.

D'autre part, la durée de vie des données est souvent supérieure à celle de l'application qui en est à l'origine. Par exemple, la messagerie électronique est une application qui génère de forts volumes de données confidentielles. Pourtant, un message électronique n'est pris en charge par le serveur de messagerie que pendant un certain laps de temps, et il est le plus souvent ensuite acheminé vers de multiples postes clients, qu'il s'agisse d'ordinateurs portables, de PC de bureaux ou encore de terminaux mobiles.

Si les données ne sont pas chiffrées (le message en lui-même ou sa restitution sur l'équipement du destinataire), un simple vol d'équipement supplante l'ensemble des efforts d'authentification et de contrôle d'accès du serveur de messagerie. Le chiffrement des données évite que les données soient utilisées ou détournées en cas de vol ou lorsque les données sont en transit.

Les entreprises et organisations qui se soucient de la protection de leurs données doivent étudier de plus près le chiffrement de ces données. Le chiffrement constitue une protection fiable, et se veut l'ultime rempart pour sécuriser les données, notamment lorsque les processus classiques de sécurité, à savoir l'authentification et le contrôle d'accès, présentent leurs limites.  Plutôt que d'ajouter le chiffrement en tant que couche supplémentaire à un arsenal de sécurité, les directions informatiques sont plus que jamais invitées à faire du chiffrement une priorité, en tant que pré-requis avant d'activer les différentes couches de sécurité dont ils ont besoin.

Autour du même sujet