SOLUTIONS D’IDENTITÉ DES UTILISATEURS

Qu’est-ce que le Bring Your Own Key (BYOK) ?

Si le cloud computing offre de nombreux avantages, la sécurité pose néanmoins un problème majeur : les données résident physiquement chez le fournisseur de services cloud (CSP) et échappent au contrôle direct du propriétaire des données. Pour les entreprises qui se tournent vers le chiffrement pour protéger leurs données, la sécurisation de leurs clés de chiffrement est d’une importance primordiale. La solution Bring Your Own Key (BYOK) permet aux entreprises de crypter leurs données tout en conservant le contrôle et la gestion de leurs clés de chiffrement. Cependant, certains plans BYOK importent les clés de chiffrement dans l’infrastructure du fournisseur de services cloud (CSP). Dans ces cas, l’entreprise perd une fois de plus le contrôle de ses clés. Une bonne pratique permettant de contourner ce problème propre à BYOK consiste à générer des clés fortement sécurisées dans un module matériel de sécurité (HSM) inviolable et de contrôler leur exportation sécurisée dans le cloud. La gestion des clés s’en trouve ainsi renforcée.

Qu’est-ce qu’un système de gestion des informations d’identification ?

Pour contrôler l’accès aux données sensibles, les organisations ont besoin des informations d’identification des utilisateurs. Le déploiement d’un ou plusieurs systèmes robustes de gestion des informations d’identification est essentiel pour sécuriser l’intégralité des systèmes et des informations. Les autorités doivent pouvoir créer et révoquer des informations d’identification au rythme de l’évolution des clients et du personnel, ou simplement lorsqu’ils changent de rôle, et que les processus et les politiques de l’entreprise évoluent. En outre, la montée des réglementations en matière de confidentialité et d’autres mandats de sécurité augmente la nécessité pour les organisations de démontrer leur capacité à valider l’identité des consommateurs en ligne et des utilisateurs privilégiés internes.

Défis associés à la gestion des informations d’identification

  • Les attaquants qui peuvent prendre le contrôle de votre système de gestion des informations d’identification peuvent émettre des identifiants en faisant des utilisateurs internes, dont les privilèges peuvent permettre de compromettre les systèmes sans être détectés.
  • La compromission des processus de gestion des informations d’identification implique de réémettre les informations d’identification, une opération qui peut s’avérer longue et coûteuse.
  • Les taux de validation des informations d’identification peuvent varier énormément et facilement surpasser les performances d’un système de gestion des informations d’identification, mettant ainsi en péril la continuité des activités.
  • Les attentes des propriétaires d’applications métier concernant les modèles de sécurité et de confiance augmentent. Dans un tel contexte, la gestion des informations d’identification peut être perçue comme un maillon faible, susceptible de compromettre les allégations de conformité.

Modules matériels de sécurité (HSM)

Bien qu’il soit possible de déployer une plate-forme de gestion des informations d’identification dans un système purement logiciel, cette approche est par nature moins sécurisée. La signature par jeton et les clés de chiffrement gérées en dehors des limites cryptographiques d’un HSM certifié sont beaucoup plus vulnérables aux attaques qui pourraient compromettre le processus de signature et de distribution des jetons. Les HSM sont le seul moyen éprouvé et vérifiable de sécuriser du contenu cryptographique précieux et de fournir une protection matérielle certifiée FIPS.

Les modules matériels de sécurité (HSM) permettent à votre entreprise de :

  • Sécurisez les clés de signature de jetons dans des limites cryptographiques soigneusement conçues, à l’aide de mécanismes de contrôle d’accès robustes basés sur une séparation des tâches renforcée. Ainsi, vous garantirez que les clés ne sont utilisées que par des entités autorisées.
  • Garantissez la disponibilité en utilisant des fonctionnalités sophistiquées de gestion des clés, de stockage et de redondance.
  • Obtenez des hauts niveaux de performances pour prendre en charge les exigences d’entreprise de plus en plus élevées en matière d’accès aux ressources à partir de différents appareils et emplacements.

Qu’est-ce qu’une clé asymétrique ou le chiffrement à clé asymétrique ?

La cryptographie asymétrique utilise une paire de clés liées pour sécuriser les données. Une clé, la clé privée, est secrètement conservée par son propriétaire, puis utilisée pour la signature et/ou le déchiffrement. L’autre, la clé publique, est publiée et peut être utilisée par n’importe quel utilisateur pour vérifier les messages signés par la clé privée ou pour crypter des documents à destination du propriétaire de la clé privée.



Qu’est-ce qu’une clé symétrique ?

En cryptographie, la clé symétrique est utilisée pour le chiffrement, le déchiffrement et l’authentification des messages. Cette pratique, également appelée « cryptographie à clé secrète », signifie que pour décrypter des informations, il faut disposer de la clé utilisée pour les crypter. Les clés, en pratique, sont un secret partagé entre les parties, qui peut être utilisé pour maintenir une liaison vers des informations privées. Les clés peuvent être utilisées par deux ou davantage de parties. Elles peuvent également être utilisées par une seule partie (par exemple dans le but de crypter des sauvegardes).

L’un des avantages de la cryptographie symétrique est qu’elle est nettement plus rapide que son équivalent asymétrique. Un exemple bien connu de cas d’utilisation de la cryptographie symétrique est la tokénisation.

Qu’est-ce que le mécanisme d’encapsulation des clés ?

Lors de l’encapsulation des clés (où une partie sélectionne le contenu de la clé secrète), le contenu crypté de la clé secrète est transporté de l’expéditeur au destinataire. Les schémas d’encapsulation des clés utilisent soit des techniques de clé publique, soit une combinaison de techniques de clé publique et de clé symétrique (hybride). La partie qui envoie le contenu de la clé secrète est appelée l’expéditeur, l’autre le destinataire.

Qu’est-ce que le protocole d’agrément de clé ?

Au cours du protocole d’agrément de clé, le contenu de la clé secrète dérivé est le résultat de contributions apportées par les deux parties. Les schémas d’agrément de clé peuvent employer des techniques de clé symétrique ou de clé asymétrique (clé publique). La partie qui initie un schéma d’agrément de clé est appelée l’initiateur, l’autre le répondeur.



Qu’est-ce que l’échange de clé ?

Le contenu de la clé secrète peut être établi électroniquement entre les parties à l’aide d’un schéma d’échange de clé, c’est-à-dire en utilisant soit un schéma d’agrément de clé, soit un schéma d’encapsulation de clé.