Qu’est-ce que le chiffrement des données ?

Le chiffrement des données brouille une donnée, la rendant illisible pour toute personne, tout service ou tout appareil qui ne dispose pas de la clé permettant de déverrouiller son contenu. Le chiffrement rend les fichiers, les disques, les objets, les flux et autres types de données privés entre un chiffreur et le détenteur de la clé. Même si un tiers a accès à des données chiffrées, il ne peut pas y accéder sans la clé. Le chiffrement des données est un élément fondamental de la cybersécurité des entreprises.

Les systèmes de chiffrement modernes utilisent généralement un chiffrement symétrique ou asymétrique, deux formes de cryptographie.

Chiffrement symétrique

Le chiffrement par clé symétrique utilise une clé privée unique pour chiffrer et déchiffrer les données. Le fonctionnement des clés symétriques signifie que l’expéditeur et le destinataire doivent tous deux posséder la clé de chiffrement à l’avance.

En général, le chiffrement symétrique est plus rapide et plus efficace que le chiffrement asymétrique, ce qui le rend parfaitement adapté au chiffrement de grandes quantités de données.

Chiffrement asymétrique

Le chiffrement asymétrique utilise une paire de clés publiques et privées :

• Une clé publique est une clé utilisée pour chiffrer les données que d’autres personnes vous envoient. Vous partagez cette clé de chiffrement publiquement avec vos contacts. Il n’est pas nécessaire que ce soit secret.
• Une clé privée est une clé que vous gardez secrète et que vous utilisez pour déchiffrer les données confidentielles que les gens vous envoient avec la clé publique.

Ce système élimine le besoin d’échanger en toute sécurité une clé partagée, ce qui constitue l’une des limites les plus importantes du chiffrement symétrique.

Les organisations utilisent souvent le chiffrement asymétrique de la manière suivante :

• Utilisation de signatures numériques
• Sécurisation des sessions de navigation web (HTTPS)
• Chiffrement des messages sensibles entre des parties qui n’ont jamais échangé de clés

Le chiffrement asymétrique est également parfois appelé cryptographie à clé publique.

Les particuliers et les organisations utilisent des méthodes de chiffrement pour protéger les données et se conformer aux normes réglementaires. Il est possible de chiffrer les données au repos, en transit et de bout en bout, entre les appareils d’un réseau.

Chiffrement au repos

Les données au repos sont les données que vous avez stockées. Les données stockées peuvent être des données stockées sur un disque dur, dans le cloud ou dans une base de données. Par exemple, les entreprises conservent souvent une sauvegarde synchronisée des données critiques, chiffrées au repos, dans le cloud.

Chiffrement en transit

Les données en transit font référence aux données transférées d’un système à un autre via un réseau. L’interaction entre un navigateur web et un serveur en est un exemple. Lorsque vous visitez un site web sécurisé, tel qu’une banque, le navigateur et le serveur utilisent une forme de chiffrement en transit. Ce chiffrement des communications en transit est appelé Transport Layer Security (TLS). Quelqu’un pourrait intercepter ces données bancaires sur le réseau, mais elles seraient illisibles.

Chiffrement de bout en bout (E2EE)

Le chiffrement des données de bout en bout chiffre les données sur le système émetteur avant leur transfert. Le système récepteur utilise une clé de déchiffrement localement après l’avoir reçue. Par exemple, une application de messagerie sécurisée chiffre de bout en bout le contenu des messages sur votre appareil. Les données ne sont déchiffrées que lorsque votre contact approuvé les reçoit dans son application.

Les organisations utilisent couramment le chiffrement pour sécuriser les données sensibles ou réglementées.

Données financières

Le chiffrement pendant le stockage et en transit constitue une bonne pratique pour sécuriser les données financières sensibles, notamment les transactions, les détails des comptes et les historiques de crédit. Dans le secteur financier, de nombreuses réglementations de conformité, telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS), exigent des règles et des processus de chiffrement des données stricts. Le chiffrement permet de prévenir les fraudes et les accès non autorisés.

Données commerciales

De nombreuses organisations souhaiteront également chiffrer les données commerciales sensibles, telles que les propositions, les contrats clients, les accords de niveau de service (SLA) et les contrats fournisseurs. Des secteurs et des pays spécifiques exigent le respect de réglementations et de lois, telles que le Règlement général sur la protection des données (RGPD), qui couvre les normes de chiffrement. Les entreprises chiffrent les données pour éviter de porter atteinte à leur situation financière ou à leur réputation en cas de violation de données.

Données de ressources humaines

Une combinaison de lois fédérales et locales réglemente généralement la manière dont les organisations doivent sécuriser les données relatives aux ressources humaines (RH), en particulier les données d’identification personnelle (PII) des employés. Les données RH sont également fréquemment partagées avec des plateformes tierces, ce qui peut créer des opportunités de divulgation ou d’interception.

Données d’identification personnelle (PII)

Les données d’identification personnelle (PII) comprennent des données qui, si elles étaient divulguées, pourraient être utilisées pour identifier un individu. Les noms, adresses et numéros de sécurité sociale sont tous des exemples de PII. Le chiffrement des informations personnelles aide les entreprises à prévenir l’usurpation d’identité et garantit la conformité aux lois internationales en matière de confidentialité.

Par exemple, des réglementations telles que le RGPD dans l’Union européenne et la California Consumer Privacy Act (CCPA) obligent les organisations à protéger les informations personnelles dont elles ont la garde. Le chiffrement est un outil couramment utilisé pour répondre à ces normes.

Données de santé protégées (PHI)

Les prestataires de soins de santé, les assureurs et les services des ressources humaines gèrent les informations de santé protégées (PHI), qui comprennent des informations médicales ou liées à la santé associées à une personne. Les dossiers médicaux électroniques, les historiques de traitements et les données sur les ordonnances pharmaceutiques sont des exemples de PHI.

Des lois telles que la Health Insurance Portability and Accountability Act (HIPAA) aux États-Unis imposent la mise en œuvre de mesures de sécurité des données. Ces mesures protègent la confidentialité, l’intégrité et la disponibilité des PHI électroniques (ePHI). Comme pour les informations personnelles, le chiffrement est un outil couramment utilisé pour répondre aux normes HIPAA et aux autres normes PHI.

Un algorithme de hachage prend des données, telles qu’un fichier ou un message, et calcule une chaîne de caractères unique aux données, appelée hachage. Si quelqu’un ou quelque chose modifie les données d’origine, même légèrement, la valeur de hachage change également. Par conséquent, les hachages sont fréquemment utilisés pour vérifier l’intégrité et l’authenticité des données.

Contrairement au chiffrement, les algorithmes de hachage sont des fonctions mathématiques unidirectionnelles. Ils ne possèdent pas de clé cryptographique et ne peuvent pas être inversés. Les organisations utilisent souvent le hachage et le chiffrement conjointement pour vérifier que les données sont authentiques et inchangées.

Les signatures numériques sont un outil qui permet de vérifier l’authenticité d'un expéditeur. Les signatures numériques utilisent à la fois le chiffrement des données par clé publique et le hachage.

Les signatures numériques suivent le processus suivant :

1. Un expéditeur crée un hachage de ses données pour prouver qu’elles sont authentiques et inchangées.
2. L’expéditeur chiffre ensuite ce hachage pour créer une signature numérique.
3. Le destinataire reçoit les données ainsi que la signature associée. Ils exécutent la clé de déchiffrement de la signature et génèrent un nouveau hachage des données à comparer avec l’original déchiffré.

Si les deux hachages correspondent, le destinataire peut être sûr que l’expéditeur identifié a envoyé les données et qu’aucune modification n’est survenue lors de la transmission.

La norme de chiffrement symétrique la plus utilisée aujourd’hui est l’Advanced Encryption Standard (AES), une grande partie du trafic Internet mondial étant chiffrée à l’aide de l’AES. La norme asymétrique la plus courante est Rivest-Shamir-Adleman (RSA). Le RSA nécessite plus de calculs que l’AES et est plus couramment utilisé pour chiffrer de petits volumes de données, tels que des signatures numériques.

Vous pouvez utiliser l’AES et le RSA en combinaison. Étant donné que le RSA est le plus efficace pour chiffrer de petits volumes de données, il peut chiffrer les clés AES envoyées lors de transferts chiffrés à clé symétrique à volume élevé.

Norme de chiffrement avancée (AES)

AES est une spécification pour le chiffrement symétrique établie en 2001 par les États-Unis. Normes NIST (National Institute of Standards and Technology, Institut américain des normes et de la technologie). AES utilise un algorithme de chiffrement développé par les cryptographes Joan Daemen et Vincent Rijmen et prend en charge des clés de chiffrement de 128 ou 256 bits (appelées AES-128 et AES-256).

RSA

Le nom RSA provient des scientifiques du MIT qui l’ont développé en 1977, Rivest, Shamir et Adleman. Il utilise des paires de grands nombres premiers générés secrètement pour créer des clés privées et publiques. RSA utilise le « problème de factoring » en mathématiques pour son modèle de chiffrement. Il n’existe aucune méthode efficace sur le plan informatique pour rétro concevoir les facteurs premiers de nombres exceptionnellement grands, comme ceux utilisés pour générer des clés RSA.

Norme de chiffrement des données (DES)

La norme de chiffrement des données (DES) est une ancienne norme de chiffrement supprimée par le NIST en 2002 au profit de l’AES. Elle utilise une clé de 56 bits pour chiffrer les données en blocs de 64 bits, qui, selon les chercheurs, sont sujets aux attaques par force brute. Bien que vulnérable aux techniques de saisie modernes et aux violations de données, le DES est toujours utilisé dans les systèmes hérités aujourd’hui.

Les techniques de chiffrement des données que vous choisissez ne doivent pas se contenter de sécuriser les données. Ces techniques doivent être conformes aux objectifs commerciaux et aux exigences réglementaires.

Tenez compte de ces quatre facteurs lorsque vous choisissez des techniques de chiffrement pour votre organisation.

Évaluer la sensibilité des actifs

Toutes les données n’ont pas besoin de la même sécurité. Les données sensibles peuvent nécessiter un chiffrement complet de bout en bout. Les données moins sensibles peuvent nécessiter moins ou pas de chiffrement.

Comprendre l’environnement de sécurité

Certaines organisations dans leur ensemble peuvent être visées, comme les institutions financières ou les agences gouvernementales. D’autres, comme les sociétés d’applications, peuvent disposer d’un minimum de données au repos sur leur propre infrastructure, ce qui peut présenter un risque de sécurité. Sélectionnez des techniques adaptées au profil de risque de chaque ensemble d’actifs numériques au sein de votre organisation.

Utilisez des normes modernes

Les algorithmes de chiffrement n’offrent pas tous le même niveau de protection. Le DES, son dérivé 3DES et d’autres normes plus anciennes ne peuvent généralement pas protéger contre les attaques modernes. Recherchez des services de chiffrement qui utilisent les normes actuelles, tels que le cryptage AES-256 et le RSA avec des clés de 2048 bits.

Respect des exigences en matière de conformité

De nombreux secteurs et juridictions ont des réglementations spécifiques qui exigent le chiffrement pour protéger les données sensibles. Par exemple, la norme PCI-DSS impose aux organisations de traiter et de transmettre en toute sécurité les informations relatives aux cartes de crédit des consommateurs.

AWS propose une gamme de services pour prendre en charge le chiffrement et la gestion des clés dans le cloud.

AWS CloudHSM vous permet de générer et d'utiliser des clés cryptographiques sur des instances de module de sécurité matérielle (HSM) à locataire unique dédiées aux normes fédérales de traitement de l’information (FIPS) 140-2 de niveau 3. AWS CloudHSM favorise la conformité à l’aide d’instances HSM à locataire unique détenues par le client qui s’exécutent dans votre propre cloud privé virtuel (VPC).

AWS Key Management Service (AWS KMS) est un service qui vous permet de créer et de contrôler les clés utilisées pour chiffrer les données dans vos applications. AWS KMS utilise la bibliothèque de chiffrement des données AWS Encryption SDK (kit de développement logiciel).

AWS Payment Cryptography simplifie les opérations cryptographiques dans vos applications de paiement hébergées dans le cloud.

AWS Secrets Manager chiffre les secrets au repos à l’aide de clés de chiffrement que vous possédez et stockez dans AWS KMS.

Commencez avec le chiffrement des données sur AWS en créant dès aujourd’hui un compte gratuit.