Les fondamentaux du cryptage

Lorsque l’on travaille avec des données privées, quelles qu’elles soient, il est préférable de se familiariser aux techniques de cryptage et aux exigences de plus en plus nombreuses de protection des données sensibles.

Le Future Lab a récemment publié un article sur les violations de données, de plus en plus fréquentes et coûteuses, et sur les méthodes de cryptage actuellement déployées dans divers pays pour empêcher l’entrée non autorisée dans les bâtiments. L’article soulignait également que du fait de la mobilité croissante des équipements, les données et mots de passe sont encore plus exposés à des mains mal intentionnées.

Nous vous invitons aujourd’hui à commencer par vous poser des questions plus fondamentales sur le cryptage, comme : Qu’est-ce que c’est et d’où vient-il ? Quelles pressions amènent les entreprises à se pencher sur les différentes méthodes de cryptage ? Et quelles spécifications techniques et règlementations faut-il connaître pour comprendre comment les méthodes et la stratégie de cryptage des données actuelles et futures de votre entreprise pourraient affecter sa sécurité physique ?

Le cryptage désigne les différentes méthodes permettant de transformer du texte brut en motifs illisibles (cryptogramme), protégeant ainsi le texte contre la lecture et l’utilisation non autorisées. Le récepteur d’un texte crypté utilise une « clé » pour le restaurer sous sa forme de texte brut d’origine. La cryptographie à clé publique, à la base des normes Internet (voir TLS, PGP ci-dessous), utilise une paire de clés asymétriques. L’une des clés est privée, tandis que l’autre est librement utilisée dans le domaine public. Le cryptage à clé publique est couramment utilisé pour les signatures numériques dans des applications bancaires électroniques.

Selon le document « Fondations de la Cryptographie » publié sur le site SecurityDocs.com, le développement de cette technologie et science prend ses racines dans l’histoire, en particulier l’histoire politique ou militaire. Les secrets écrits à l’encre ou sur papier étaient en effet primordiaux ; C’est encore le cas aujourd’hui, même si les informations en jeu sont plus souvent de nature personnelle ou professionnelle : 

« Des combinaisons de chiffres et lettres les plus simples aux combinaisons d’aujourd’hui dont la sécurité est mathématiquement prouvée, la cryptographie a parcouru beaucoup de chemin. Elle a également élargi sa palette d’utilisations et de capacités pour englober des applications toujours plus nombreuses. La cryptographie permet de maintenir en sécurité des données traversant un réseau non sécurisé. Elle permet également de mettre à l’abri des regards indiscrets vos données privées enregistrées sur votre ordinateur. Des systèmes cryptographiques dans un système de verrouillage à distance peuvent même mettre en déroute des voleurs de voiture. »

PGP Corporation, qui tire son nom du développement du logiciel Pretty Good Privacy dans les années 1990, est l’un des principaux éditeurs de logiciels de cryptage de données et courrier électronique. Outre sa large gamme de ressources de cryptage proposées sur son site, PGP parraine également des présentations et livres blancs tels que « The Critical Need for Encripted Email and File Transfer Solutions » (« Le besoin critique de solutions de transfert de fichier et courrier électronique cryptées »), écrit par Michael Osterman et Linda Leung, disponible chez Osterman Research.

Selon le rapport de M. Osterman et Mme Leung, seuls 5 Etats des Etats-Unis restent sans loi imposant la notification d’une violation. « Il existe de plus en plus de législations fédérales américaines pour la protection des données sensibles, auxquelles s’ajoutent des législations dans d’autres pays … ». On peut citer la loi HIPAA (Health Insurance Portability and Accountability Act) sur la protection des données dans le secteur des soins, la loi GLBA (Gramm-Leach-Bliley Act) sur la confidentialité des données pour les établissements financiers, la loi Privacy of Consumer Financial Information (Regulation S-P) sur la protection des données à caractère personnel des consommateurs, la norme PCI DDS (Payment Card Industry Data Security Standard) sur la sécurité des données des cartes de crédit et la loi PIPEDA (Personal Information Protection and Electronics Act) sur la protection de la vie privée. Il est important de connaître tous ces acronymes si vous travaillez dans ou en partenariat avec des cabinets de services financiers ou si votre société est amenée à stocker ou transférer des informations de carte de crédit. Pour connaître les règlementations spécifiques à d’autres pays, consultez les Rapports Ponemon, gratuits, sur les dernières tendances dans le cryptage.

Même si vous n’êtes pas responsable du cryptage des données dans votre entreprise, voici une présentation détaillée des principales méthodes de cryptage à connaître, notamment :

Vous connaissez désormais les fondamentaux du cryptage. Il ne vous reste plus qu’à rechercher quelles sont les méthodes de la liste ci-dessus appliquées par votre société. Vous pourrez alors discuter avec votre direction pour savoir si ces méthodes de cryptage sont suffisantes ou si les changements de stratégie de cryptage prévus ne risquent pas de mettre en danger la sécurité physique de votre entreprise.

Par Derek Scheips

Nouvelles technologie,c’est l’info du à un monde surveiller par les extraterrestres de Dieu .


Reporter abus

* Indique un champ obligatoire


Comment

You must be logged in to post a comment.