Sommaire
- Définition du chiffrement
- Les différents types et méthodes de chiffrement
- Les différents algorithmes de chiffrement
- Les différentes normes de chiffrement
- Aperçu du chiffrement des fichiers
- Aperçu du chiffrement de disque
- Aperçu du chiffrement des emails et de la messagerie électronique
- Bonne pratiques de chiffrement
Définition du chiffrement
En cryptographie, le chiffrement est le processus qui consiste à coder un message ou une information de manière à ce que seules les parties autorisées puissent y accéder et que les personnes non autorisées ne puissent pas le faire.
La formation à la cybersécurité commence ici
Votre évaluation gratuite fonctionne comme suit :
- Prenez rendez-vous avec nos experts en cybersécurité afin qu'ils évaluent votre environnement et déterminent votre exposition aux menaces.
- Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
- Découvrez nos technologies en action !
- Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.
Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.
Un représentant de Proofpoint vous contactera sous peu.
Les différents types et méthodes de chiffrement
Chiffrement asymétrique
Dans les systèmes de chiffrement à clé publique, la clé de chiffrement est publiée pour que chacun puisse l'utiliser et pour chiffrer les messages. Seule la partie destinataire a accès à la clé de déchiffrement qui permet de lire les messages. Le chiffrement à clé publique a été décrit pour la première fois dans un document secret en 1973. Avant cela, tous les systèmes de chiffrement étaient à clé symétrique (également appelée clé privée).
Chiffrement symétrique
Dans les systèmes à clés symétriques, les clés de chiffrement et de déchiffrement sont les mêmes. Les parties qui communiquent doivent avoir la même clé afin d'assurer une communication sécurisée.
Les différents algorithmes de chiffrement
Chiffrement Triple DES
Le chiffrement triple DES a été conçu pour remplacer l'algorithme DES (Data Encryption Standard) original, que les pirates informatiques ont appris à vaincre avec facilité. À une certaine époque, Triple DES était la norme recommandée et l'algorithme symétrique le plus utilisé dans l'industrie.
Le chiffrement triple DES utilise trois clés individuelles de 56 bits chacune. La longueur totale de la clé s'élève à 168 bits, mais les experts affirment que la force de la clé est plutôt de 112 bits.
Bien qu'il soit progressivement abandonné, le triple DES reste une solution de chiffrement matériel fiable pour les services financiers et d'autres secteurs.
Chiffrement RSA
RSA est un algorithme de chiffrement à clé publique et la norme de chiffrement des données envoyées sur Internet. Il se trouve que c'est aussi l'une des méthodes utilisées dans les programmes PGP et GPG.
Contrairement au Triple DES, le RSA est considéré comme un algorithme de chiffrement asymétrique car il utilise une paire de clés. La clé publique est utilisée pour chiffrer un message et une clé privée pour le déchiffrer. Les attaquants ont besoin de beaucoup de temps et de puissance de traitement pour déchiffrer ce code de chiffrement.
Chiffrement AES
L'Advanced Encryption Standard (AES) est l'algorithme considéré comme la norme par le gouvernement américain et de nombreuses autres organisations.
Bien qu'il soit extrêmement efficace sous forme de 128 bits, l'AES utilise également des clés de 192 et 256 bits pour le chiffrement à haut rendement.
L'AES est considéré comme résistant à toutes les attaques, à l'exception des attaques par force brute, qui tentent de déchiffrer les messages en utilisant toutes les combinaisons possibles dans le chiffrement de 128, 192 ou 256 bits. Néanmoins, les experts en sécurité estiment que l'AES finira par devenir la norme pour le chiffrement des données dans le secteur privé.
Les différentes normes de chiffrement
Il existe un certain nombre de normes relatives à la cryptographie. Voici les normes de chiffrement suivantes :
- Norme de chiffrement des données (maintenant obsolète).
- Norme de chiffrement avancée.
- RSA (l'algorithme original à clé publique).
- Ouvrir PGP.
Aperçu du chiffrement des fichiers
Le chiffrement au niveau du système de fichiers, souvent appelé chiffrement de fichiers et de dossiers, est une forme de chiffrement de disque où les fichiers ou les dossiers individuels sont cryptés par le système de fichiers lui-même.
Aperçu du chiffrement de disque
Le chiffrement des disques est une technologie qui protège les informations en les convertissant en un code illisible qui ne peut être déchiffré facilement par les utilisateurs autorisés. Le chiffrement de disque utilise un logiciel ou du matériel de chiffrement de disque pour chiffrer chaque bit de données qui va sur un disque ou un volume de disque.
Aperçu du chiffrement des emails et de la messagerie électronique
Le chiffrement des emails est le chiffrement des messages électroniques conçu pour protéger le contenu contre la lecture par des entités autres que les destinataires prévus. Le chiffrement du courrier électronique peut également inclure l'authentification. Le courrier électronique n'est pas sécurisé et peut divulguer des informations sensibles. La plupart des courriels sont actuellement transmis en clair (non cryptés).
Grâce à certains outils disponibles, des personnes autres que les destinataires désignés peuvent lire le contenu des courriels. Le chiffrement du courrier électronique utilise traditionnellement l'un des deux protocoles suivants : TLS ou chiffrement de bout en bout. Dans le cadre du chiffrement de bout en bout, il existe plusieurs options, notamment les protocoles PGP et S/MIME.
Bonne pratiques de chiffrement
- Connaître les lois : Lorsqu'il s'agit de protéger les informations personnelles identifiables, les organisations doivent se conformer à de nombreuses réglementations qui se chevauchent et sont liées à la vie privée. Voici les six principaux règlements qui ont une incidence sur de nombreuses organisations : RGPD, FERPA, HIPAA, HITECH, COPPA, PCI DSS et les lois sur les notifications de violation de données spécifiques à chaque État.
- Évaluer les données : Une règle de sécurité de l'HIPAA n'exige pas explicitement le chiffrement, mais elle stipule que les entités doivent effectuer une évaluation des risques liés aux données et mettre en œuvre le chiffrement si l'évaluation indique que le chiffrement serait une mesure de protection “raisonnable et appropriée”. Si une organisation décide de ne pas chiffrer les informations électroniques de santé protégées (ePHI), l'institution doit documenter et justifier cette décision, puis mettre en œuvre une “mesure alternative équivalente”.
- Déterminer le niveau de chiffrement requis ou nécessaire : Le ministère américain de la santé et des services sociaux (HHS) se tourne vers le National Institute of Standards and Technology (NIST) pour connaître les pratiques recommandées en matière de niveau de chiffrement. Le HHS et le NIST ont tous deux produit une documentation solide pour adhérer à la règle de sécurité de l'HIPAA. La publication spéciale 800-111 du NIST adopte une approche large du chiffrement sur les appareils des utilisateurs. En bref, elle indique que lorsqu'il existe une possibilité de risque, même infime, le chiffrement doit être en place. La norme FIPS 140-2, qui intègre l'AES dans ses protocoles, est un choix idéal. FIPS 140-2 aide les entités éducatives à faire en sorte que les IIP soient “rendues inutilisables, illisibles ou indéchiffrables pour les personnes non autorisées”. Un appareil qui répond aux exigences de la norme FIPS 140-2 possède une fonction d'effacement cryptographique qui “tire parti du chiffrement des données cibles en permettant l'aseptisation de la clé de chiffrement des données cibles, ne laissant que le texte chiffré sur le support, ce qui a pour effet d'aseptiser les données”.
- Soyez attentifs aux transferts de données sensibles et à l'accès à distance : Le chiffrement doit s'étendre au-delà des ordinateurs portables et des disques de sauvegarde. La communication ou l'envoi de données sur Internet nécessite la sécurité de la couche transport (TLS), un protocole de transmission de données sur un réseau, et le chiffrement AES. Lorsqu'un employé accède au réseau local d'une institution, une connexion VPN sécurisée est essentielle lorsqu'il s'agit d'ePHI. En outre, avant de placer une poignée de dossiers d'étudiants sur un dispositif physique externe pour le transfert entre systèmes ou bureaux, le dispositif doit être crypté et répondre aux exigences de la norme FIPS 140-2 pour éviter les violations potentielles.
- Lisez les petites lignes : Malheureusement, de nombreux établissements scolaires ne font pas preuve de la diligence requise dans l'examen des politiques de confidentialité et de sécurité des données des services tiers, et autorisent par inadvertance des pratiques de collecte et d'exploration de données que les parents/élèves jugent inacceptables ou qui violent la FERPA. Le respect de la réglementation implique bien plus que la simple protection par mot de passe des postes de travail d'un bureau. Elle exige l'utilisation du chiffrement pour protéger les données au repos lorsqu'elles sont stockées sur les systèmes scolaires ou sur des supports amovibles. N'oubliez pas que les données au repos qui se trouvent en dehors du pare-feu de l'école (ou “dans la nature”) sont la principale source de failles de sécurité.