Comment gérer les clés de chiffrement

Les clés de chiffrement sont des codes alphanumériques ou des séquences de caractères utilisés, avec un algorithme ou un processus mathématique, pour transformer des données en texte clair que tout le monde peut lire en un texte chiffré brouillé qui est illisible à moins d’être déchiffré. Les clés de chiffrement sont utilisées pour protéger les données privées et sensibles lors du stockage, du transit et de l’utilisation. Les données cryptées ou le texte chiffré ne peuvent être lus que lorsqu’ils sont désembrouillés à l’aide de la clé de déchiffrement associée.

Les clés de chiffrement peuvent être symétriques ou asymétriques. Lorsqu’une clé de chiffrement symétrique est utilisée, la même clé est employée pour chiffrer puis déchiffrer les données en texte lisible. Lorsque des clés asymétriques sont utilisées, une clé partagée publiquement (clé publique) chiffre les données en texte clair et une autre clé, qui n’est jamais partagée et reste privée (clé privée), est utilisée pour déchiffrer les données. Que l’on utilise un chiffrement symétrique ou asymétrique, l’objectif est de maintenir la confidentialité des données chiffrées. Même si les données chiffrées tombent entre de mauvaises mains, elles restent protégées. C’est pourquoi il est essentiel de protéger les clés - perdre les clés, c’est perdre les données.

Le chiffrement a une longue histoire et a été utilisé au fil du temps, notamment en temps de guerre. Les premiers Grecs utilisaient des chiffres de transposition (un type de chiffrement) pour empêcher les informations de tomber entre les mains de l’ennemi. À l’époque moderne, et avec l’avènement de l’ère de l’information, le chiffrement est devenu un outil indispensable pour protéger les données et les applications. Initialement utilisé principalement dans les applications bancaires et financières, son adoption s’est généralisée dans l’espace de transformation numérique, devenant une exigence obligatoire dans de nombreux secteurs réglementés.

Aujourd’hui, le chiffrement est devenu une bonne pratique et est utilisé dans un large éventail d’applications et de secteurs. Comme de plus en plus d’activités quotidiennes sont effectuées en ligne, il est essentiel de garantir la confidentialité et l’intégrité de ces transactions. La banque, la finance, le commerce électronique, l’administration en ligne et les soins de santé ne sont que quelques-uns des nombreux secteurs qui font un usage intensif de la technologie de chiffrement. La plupart des personnes utilisent le chiffrement tous les jours sans même le savoir. Lorsque vous effectuez un achat en ligne, les informations relatives à la commande et au paiement sont chiffrées avec Transport Layer Security/Secure Socket Layer (TLS/SSL) - une norme largement utilisée qui utilise un chiffrement symétrique et asymétrique pour sécuriser les connexions en ligne.

Le chiffrement est utilisé pour protéger la confidentialité des informations. Les organisations qui traitent des données sensibles telles que leur propre propriété intellectuelle (IP) et les données de leurs clients, notamment les informations personnelles identifiables (PII), les informations personnelles sur la santé (PHI), les données de paiement comprenant les numéros de carte de crédit et d’autres formes de données liées à des individus, sont souvent tenues de protéger ces données par diverses juridictions dans le monde. Comme les organisations stockent de plus en plus de données sensibles pour mener à bien leurs activités quotidiennes, les référentiels de stockage sont devenus des cibles majeures pour les attaques. Par conséquent, les données en transit (traversant les réseaux) et les données au repos (dans l’espace de stockage) sont généralement chiffrées pour se protéger des attaques susceptibles de compromettre leur confidentialité, de paralyser les activités et de compromettre la réputation des organisations.

L’information étant devenue le moteur de l’entreprise moderne, les données sont désormais une ressource importante. Les entités réglementaires gouvernementales et industrielles du monde entier ont intensifié leurs efforts pour assurer la protection des données et de la vie privée des personnes dont les données sont collectées. Le nouvel environnement réglementaire a fait du chiffrement une priorité pour les dirigeants d’entreprise, notamment les directeurs de l’information (CIO), les responsables de la sécurité de l’information (CISO) et les responsables de la conformité dans de nombreux secteurs. Le chiffrement est donc de plus en plus intégré à de nombreuses applications. Dans la mesure où le chiffrement désensibilise les données, il en va de même pour l’étendue de certaines réglementations, avec à la clé, un renforcement de la sécurité et la réduction des coûts.

Le chiffrement est un outil important pour protéger les organisations contre les violations de données qui peuvent causer des dommages économiques et de réputation importants. Toutefois, la qualité du chiffrement dépend du degré de protection des clés qui lui sont associées. Si l’on considère le chiffrement comme la serrure de votre porte d’entrée, il ne peut protéger efficacement vos biens que si vous protégez correctement la clé. Si vous laissez la clé sous le paillasson de votre porte, la protection offerte par la serrure est inexistante. Si l’on ne protège pas les clés de chiffrement, il est inutile de chiffrer les données - trouver les clés, accéder aux données. Par conséquent, une bonne gestion des clés de chiffrement est essentielle pour garantir l’efficacité de tout système de chiffrement des données.

La gestion des clés de chiffrement comprend deux aspects principaux : la gestion du cycle de vie et la gestion de l’accès. La gestion du cycle de vie implique la génération, l’utilisation, le stockage, la mise à jour, l’archivage et la destruction des clés de chiffrement critiques. La gestion des accès garantit que seuls les utilisateurs authentifiés et autorisés peuvent utiliser les clés pour chiffrer et déchiffrer les données. Il est important de souligner qu’aujourd’hui, les utilisateurs sont aussi bien des humains que des applications (machines). En fait, il y a généralement plus de machines qui ont besoin d’accéder aux données que de personnes réelles. Pour permettre l’authentification et l’autorisation des utilisateurs, les identités des personnes et des machines doivent être émises pour une validation ultérieure. C’est là qu’une public key infrastructure (PKI) fait également partie d’une stratégie globale de gestion des clés.

La qualité d’une clé cryptographique se mesure à la mesure dans laquelle elle peut être vaincue par force brute. À l’instar des mots de passe qui doivent être forts et ne pas être facilement devinés, les clés doivent également être fortes et développées à l’aide de véritables générateurs de nombres aléatoires. Les Federal Information Processing Standards (FIPS) fournissent des conseils sur l’utilisation de générateurs de nombres aléatoires matériels approuvés. Ceux-ci sont généralement fournis par des modules matériels de sécurité certifiés (HSM) - des plateformes dédiées qui génèrent et gèrent des clés fortes tout au long de leur cycle de vie. Alors que les HSM étaient traditionnellement déployés sur site, la migration vers le Cloud a rendu les HSM disponibles sous forme de service par abonnement. Les HSM basés sur le Cloud fournissent des plateformes matérielles dédiées sous forme de service permettant aux clients de générer et de gérer des clés sans avoir à acheter et à entretenir leur propre équipement. Lorsqu’elles déplacent des applications et des données vers le Cloud, les entreprises doivent réfléchir à la manière dont le niveau de propriété, de contrôle et de possession change pour garantir une solide posture de sécurité dans l’écosystème informatique en expansion.

Les clés, qu’elles soient utilisées pour le chiffrement afin de protéger la confidentialité des données ou pour la signature afin de protéger leur provenance et leur intégrité, sont à la base de la sécurité du processus cryptographique. Quelle que soit la puissance de l’algorithme utilisé pour crypter ou signer les données, si la clé associée est compromise, la sécurité du processus est anéantie. C’est pourquoi la protection des clés cryptographiques est d’une importance capitale.

En raison de la nature aléatoire des clés que nous avons décrite précédemment, l’emplacement des clés dans les logiciels peut être assez facile à identifier. Les attaquants qui recherchent des données sensibles s’attaqueront aux clés, car ils savent que s’ils obtiennent les clés, ils peuvent obtenir les données. Les clés stockées dans un logiciel peuvent donc être localisées et obtenues, mettant en danger la sécurité des données cryptées. C’est pourquoi les HSM doivent toujours être utilisés pour protéger les clés. L’utilisation de HSM en tant que racine de confiance est devenue une bonne pratique dans le secteur de la cybersécurité, recommandée par les professionnels de la sécurité et de nombreux fournisseurs d’applications de premier plan.

Un autre facteur à prendre en considération pour la protection des clés est l’accès non seulement par des attaquants externes, mais aussi par des initiés. L’utilisation de HSM pour protéger et gérer les clés fournit des mécanismes permettant d’établir un double contrôle, de sorte qu’aucun individu ou entité interne ne puisse modifier les politiques d’utilisation des clés et déjouer efficacement les mécanismes de sécurité établis. Les schémas de quorum, dans lesquels un ensemble minimal prédéterminé de personnes doit se réunir pour apporter des modifications au HSM et à ses fonctions de gestion des clés, offrent également des niveaux de sécurité accrus.

Un système de gestion des clés fournit la base de confiance centralisée nécessaire pour appliquer la politique de sécurité des données dans toute l’entreprise. En contrôlant non seulement le cycle de vie de toutes les clés, mais aussi en conservant des journaux horodatés de tous les accès des utilisateurs, il constitue un outil essentiel pour l’audit et la conformité. Avec l’augmentation des menaces de cybersécurité et le renforcement des réglementations gouvernementales et industrielles, les systèmes de gestion des clés deviennent indispensables.

Un nombre croissant de réglementations gouvernementales et industrielles sur la sécurité des données exigent un chiffrement fort et une gestion efficace des clés cryptographiques pour être conformes. Les lois sur la protection de la vie privée des citoyens, telles que le Règlement général sur la protection des données (RGPD ) de l’Union européenne et la loi californienne sur la protection de la vie privée des consommateurs (CCPA ), ainsi que les réglementations industrielles telles que la Norme de sécurité des cartes de paiement (Payment Card Industry Data Security Standard) (PCI DSS), entre autres, reconnaissent spécifiquement la nécessité d’un chiffrement fort et d’une gestion des clés, y compris l’utilisation de produits certifiés pour faciliter la conformité.