Vidéo: Cryptographie - partie 6 : chiffrement RSA (Novembre 2024)
Si vous craignez que les données de l'entreprise ne tombent entre de mauvaises mains, il est temps que vous envisagiez le cryptage. Vous avez probablement entendu parler de ce terme, mais vous ne saviez pas vraiment ce que cela voulait dire ni comment vous pourriez l'utiliser pour aider votre organisation. Littéralement, le cryptage est la transformation de données d'un texte brut à un texte crypté. Pensez-y de cette façon: les données de votre entreprise sont un poème facile à lire qui rime écrit en anglais. Tous ceux qui savent lire en anglais seront en mesure de déchiffrer rapidement le texte du poème ainsi que le modèle de la rime du poème. Une fois crypté, le poème est transformé en une série de lettres, de chiffres et de symboles sans séquence ni implication évidente. Cependant, quand une touche est appliquée à ce fouillis de texte brouillé, elle se transforme immédiatement en poème de rimes original.
Le cryptage ne garantit pas automatiquement que votre entreprise restera à l'abri des intrus. Vous devrez tout de même utiliser un logiciel de protection des points finaux pour vous assurer que vous n'êtes pas touché par un ransomware, qui peut être utilisé pour vous faire chanter et vous faire abandonner votre clé de cryptage. Cependant, si des pirates informatiques tentent d'accéder à vos données et réalisent que vous utilisez le cryptage dans votre entreprise, ils sont beaucoup moins susceptibles de poursuivre l'attaque. Après tout, quelle maison un cambrioleur choisirait-il le plus de cambrioler: celui avec des tourelles de mitrailleuse sur la pelouse ou celui avec la porte d'entrée grande ouverte?
"La meilleure raison de chiffrer vos données est qu'elles réduisent votre valeur", a déclaré Mike McCamon, président et directeur du marketing chez SpiderOak. "Même s’ils y sont entrés, toutes les données stockées sont cryptées. Ils n’auraient aucun moyen de faire quoi que ce soit s’ils les téléchargeaient."
Pour vous aider à déterminer la meilleure façon de protéger votre entreprise contre le vol de données, j'ai compilé les six méthodes suivantes pour déployer le chiffrement dans votre entreprise.
1. Cryptage du mot de passe
Il va de soi que si vous utilisez des mots de passe dans votre entreprise, vous devriez être à l'abri d'une attaque. Toutefois, si les pirates informatiques accèdent à votre réseau, ils peuvent facilement se rendre au terminal sur lequel tous vos mots de passe et noms d'utilisateur sont stockés. Pensez-y comme ceci: Le code pour déverrouiller votre smartphone n’est une garantie pour entrer dans votre smartphone que si quelqu'un ne se tient pas sur votre épaule pour lire votre appui sur un bouton. Les pirates peuvent infiltrer votre réseau, trouver le point de stockage de vos mots de passe et les utiliser pour entrer des points d’accès supplémentaires.
Avec le cryptage de mot de passe, vos mots de passe sont cryptés avant qu'ils ne quittent votre ordinateur. Dès que vous appuyez sur le bouton Entrée, le mot de passe est crypté et enregistré sur le terminal de votre entreprise sans motif déchiffrable. Le seul moyen pour quiconque, y compris les administrateurs informatiques, d’accéder à la version non chiffrée de votre mot de passe consiste à utiliser la clé de chiffrement.
2. Cryptage de la base de données et du serveur
Le trésor de tout pirate informatique est l'emplacement où la majorité de vos données sont au repos. Si ces données sont stockées en texte brut, toute personne pouvant infiltrer vos paramètres de sécurité peut facilement lire et appliquer ces données à des attaques supplémentaires ou au vol. Cependant, en cryptant vos serveurs et vos bases de données, vous garantissez la protection des informations.
N'oubliez pas: vos données sont toujours accessibles à partir de nombreux points de transfert, y compris les informations envoyées du navigateur au serveur, les informations envoyées par courrier électronique et les informations stockées sur les appareils. Je parlerai plus en détail de la manière de chiffrer ces données plus tard dans cet article.
3. Cryptage SSL
Si vous devez protéger les données que vos employés et clients envoient de leurs navigateurs au site Web de votre entreprise, vous devrez alors utiliser le cryptage SSL (Secure Sockets Layer) sur toutes les propriétés Web de votre entreprise. Vous avez probablement déjà vu le cryptage SSL utilisé sur les sites Web d'autres sociétés. Par exemple, lorsque vous vous connectez à un site Web et qu'un verrou apparaît à gauche de l'URL, cela signifie que votre session est entrée dans un état chiffré.
Les entreprises hyper paranoïaques face au vol de données doivent comprendre que le cryptage SSL ne protège que le transfert de données du navigateur au site Web. Il protège contre les attaquants capables d'intercepter les informations lors de leur transfert du navigateur vers le terminal. Cependant, une fois que les données sont entrées sur vos serveurs, elles sont stockées sous forme de texte brut (sauf si d'autres méthodes de cryptage sont utilisées).
4. Email Identity Encryption
Les pirates ont mis au point un moyen astucieux d’amener les gens à donner volontairement des informations personnelles. Ils créent de fausses adresses électroniques d'entreprise, se font passer pour des dirigeants d'entreprise et envoient des courriers électroniques aux employés qui demandent des mots de passe, des données financières ou tout ce qui peut nuire à l'entreprise. Avec le cryptage d'identité de messagerie, vos employés reçoivent une clé complexe qu'ils donnent à tous leurs destinataires. Si le destinataire reçoit un courrier électronique prétendant provenir du directeur général de votre société mais ne contenant pas l'invite de déchiffrement, il doit être ignoré.
5. Cryptage de l'appareil
Nous connaissons tous le cryptage des appareils grâce à la récente bataille d'Apple avec le FBI. En gros, vous déchiffrez votre appareil et les données qui y sont stockées - chaque fois que vous entrez le code d'authentification requis pour ouvrir l'unité. Cela s'applique à tous les appareils, des ordinateurs portables aux ordinateurs de bureau, en passant par les tablettes et les smartphones. Cependant, il est très facile pour quelqu'un d'entrer dans les paramètres de son téléphone et de désactiver la condition de mot de passe. Il s'agit d'un moyen très pratique d'entrer et de sortir de votre téléphone, mais cela le rend également vulnérable à quiconque (littéralement) met la main dessus.
Pour protéger votre entreprise contre les attaques sur le terrain, vous devez imposer le cryptage des appareils à tous vos employés, ainsi qu’à tous les partenaires de l’entreprise qui stockent des données sensibles sur leurs appareils. Votre service informatique peut le configurer à l'aide du logiciel MDM (Mobile Device Management).
6. Cryptage de bout en bout et à connaissance nulle
Peut-être la version la plus complète et la plus sécurisée du chiffrement, le chiffrement de bout en bout brouille toutes les données de votre organisation avant qu'elles atteignent son point de terminaison. Cela inclut tout, des mots de passe de connexion et des mots de passe d'accès aux périphériques aux informations contenues dans les applications et les fichiers. Avec le cryptage de bout en bout, les seuls à avoir accès à la clé pour déchiffrer vos données sont votre équipe informatique et la société de logiciels avec laquelle vous travaillez pour crypter les données.
Si vous avez besoin d'une protection encore plus extrême contre l'intrusion, le cryptage à zéro connaissance garde votre clé de cryptage secrète, même auprès de votre partenaire logiciel. SpiderOak, par exemple, vous aidera à chiffrer vos données, mais ne stockera pas la clé de chiffrement nécessaire pour déchiffrer les informations.
"Si une personne perd son mot de passe avec nous, nous ne pouvons pas l'aider", a déclaré McCamon, en référence aux clients à cryptage zéro connaissance de SpiderOak. "Nous voulons nous assurer que les clients savent que nous ne pouvons pas non plus lire leurs données."
McCamon a déclaré qu'il était important de spécifier avec votre partenaire logiciel s'il s'agissait d'une connaissance de bout en bout ou d'une connaissance zéro, en particulier si la connaissance zéro était requise. "La seule chose que nous savons sur nos clients est leur nom, leur adresse électronique, leurs informations de facturation et la quantité de données qu'ils stockent avec nous."
