Un concept pas toujours compris de tous... Nous vous l'expliquons en quelques lignes. Pour aller plus loin sur le Zero Trust : Qu’est-ce que le modèle Zero Trust ? | Oracle France anssi-guide-recommandations_securite_architecture_systeme_journalisation.pdf Zero Trust Network Access vs ZTAA vs ZTA - Cyolo

N'hésitez pas à poser vos questions en commentaire ou à nous contacter pour plus d'informations !

Données chiffrés, cryptage, chiffrement de bout-en-bout, HTTPS… Autant de termes familiers omniprésents aujourd’hui, mais dont on ne sait pas toujours à quoi ils correspondent en réalité. Pourquoi tant d’importance accordée au chiffrement ? Mais avant tout, qu’est-ce que la cryptographie ? La cryptographie est une science, visant à assurer la confidentialité des échanges. Il faut pour cela : S’assurer de l’identité de ceux qui discutent (si je veux parler à Alice, il ne faut pas que quelqu’un d’autre puisse se faire passer pour Alice), S’assurer que personne d’autre ne pourra lire cette conversation secrète (mon message ne doit pas pouvoir être intercepté et déchiffré). A noter : en cybersécurité, d’autres facteurs entrent en ligne de compte, comme l’intégrité du message (il ne doit pas pouvoir être altéré, ou plutôt je dois pouvoir détecter s’il a été altéré ou non), ou encore la disponibilité. Motivations Sans la cryptographie, tout Internet serait public. Autrement dit, on ne pourrait par exemple pas effectuer de paiement sur internet ni accéder à ses mails sans divulguer ses informations personnelles (mot de passe, numéro de CB…). De même, vos communications seraient compréhensibles par tous. C’est donc la cryptographie qui vous permet d’assurer la confidentialité sur internet, d’utiliser différents services (tout ce qui nécessite mot de passe, identifiant…) et de manière plus générale, d’assurer la confidentialité sur tous les canaux de communication et de stockage (ondes radiotéléphoniques, communications filaires, serveurs, etc.). Histoire Depuis la nuit des temps, vouloir envoyer un message secret a été une préoccupation, notamment pour les usages militaires et politiques. Ainsi, le « chiffre de César » est sans doute le chiffrement ancien le plus connu (il consiste à décaler l’alphabet utilisé). Mais beaucoup de chiffrements de toutes époques (de la Grèce Antique à nos jours, en passant par le Moyen-Âge), et de tous lieux restent aujourd’hui des mystères impossibles à déchiffrer. Plus récemment, c’est au XXème siècle que l’usage des techniques de cryptographie est devenue un standard, principalement pendant les guerres mondiales (notamment Enigma, utilisé par les Allemands pendant la 2nde guerre). L’arrivée des communications par les ondes a rendu l’usage de la cryptographie indispensable, d’abord pour des usages militaires, puis à destination du grand public. Comment chiffrer un message aujourd’hui ? Qu’est-ce que la cryptographie concrètement ? Primitives Intéressons-nous dans un premier temps à chiffrer un mot. Ou un nombre. On utilise généralement une « clef », dont on suppose qu’elle ne sera pas connue du public (nous reviendrons sur ce point). Par exemple, pour chiffrer un nombre x, je peux convenir que tous les nombres seront multipliés par 193. 193 est la clef : on a besoin de connaître ce nombre pour utiliser mon système de chiffrement. Autrement, il est inintelligible. Une primitive cryptographique est un ensemble de fonctions, dont l’une, « chiffrement » prend en entrée un texte à chiffrer, éventuellement une clef, et renvoie le texte chiffré. L’autre, « déchiffrement », prend en entrée un texte chiffré, éventuellement une clef, et renvoie le texte déchiffré. Protocoles Mais cela ne suffit pas. Les primitives sont la partie « mathématique » du problème. Mais si Bob dit à Alice « utilisons 193 comme clef », n’importe qui peut les espionner. Ou encore, sur internet, sans même s’échanger la clef, on peut usurper l’identité d’un destinataire. Par exemple, Amazon m’envoie un remboursement. Un pirate peut se faire passer pour moi, usurper mon identité, et poursuivre la conversation avec Amazon au lieu de moi. Pour cela, des protocoles sont mis en place. Ces protocoles cryptographiques assurent différentes propriétés, comme l’authenticité des destinataires, ou encore la confidentialité du contenu. Par exemple, TLS est un de ces protocoles. Une combinaison « primitive – protocole » est appelé crypto-système. C’est en réalité ce crypto-système qui permet d’envoyer et de recevoir des messages chiffrés. Systèmes symétriques et asymétriques Sans rentrer dans les détails, on peut noter l’existence de deux familles principales de crypto-systèmes : les crypto-systèmes symétriques et asymétriques. Les crypto-systèmes symétriques utilisent la même clef pour chiffrer et déchiffrer les messages. Par exemple, « multiplier les nombres par 193 » est un chiffrement symétrique : si on connaît la clef, on peut chiffrer et déchiffrer un message. Ces systèmes sont généralement peu coûteux (en termes de temps, de mémoire, etc.), mais plus difficile à sécuriser d’un point de vue protocole. Les crypto-systèmes asymétriques n’utilisent pas ce principe. Chaque utilisateur dispose d’une paire de clef : une privée, utilisée pour le déchiffrement (seul moi peut déchiffrer), et une publique, utilisée pour le chiffrement (tout le monde peut m’envoyer un message chiffré). Ces systèmes sont plus chers, et utilisent des opérations à sens unique. Par exemple, multiplier des nombres premiers entre eux est une opération à sens unique. En effet, faire 17*29 (=493) est facile. Mais factoriser, à partir de 493, retrouver la seule décomposition entière (i.e. retrouver 17 et 29), est difficile. La cryptographie asymétrique se base sur ce genre de problème à sens unique. Pour aller plus loin : problèmes à base de logarithme discret, courbes elliptiques. Attaques Les attaques sont très nombreuses en cryptographie, en utilisant des méthodes très diverses. Des problèmes tels que la difficulté à générer un nombre aléatoire, ou bien prédire la répercussion d’une perturbation lors du chiffrement (variation du texte à chiffrer), ou encore les attaques par canaux auxiliaires (sur le matériel, indépendamment des crypto-méthodes), sont des sujets très étudiés et très actuels. Une faille dans un crypto-système peut avoir d’immenses répercussions, notamment sur Internet (comme la perte de la confidentialité de tous les échanges, par exemple). Qui fait quoi ? Les utilisateurs : tout le monde utilise sans le savoir la cryptographie. Les chercheurs : face à des problématiques très actuelles (méthodes sur le point d’être dépassées par la puissance du matériel informatique, mise en service industrielle des systèmes quantiques, etc.), de nouvelles méthodes font l’objet d’études car les standards doivent en permanence s’adapter. Les Etats, les grandes entreprises, développent fortement leurs systèmes de cryptographie, stimulant cette recherche. Les éditeurs, les concepteurs de langage informatique, de logiciels, etc. actualisent leurs méthodes et solutions en fonction des failles trouvées. Quant à nous, nous devons savoir à quoi correspondent les termes utilisés. "Chiffré avec telle méthode" ne signifie pas forcément que vos échange sont sûrs. Et même si vous utilisez un crypto-système "sûr" (RSA, par exemple), gardez à l'esprit que c'est la méthode qui est sûre, à partir d'une certaine taille de clef, sous certaines conditions, dans une certaine limite ; par exemple, votre message ne sera pas très sûr si vous vous contentez d'une clef (mot de passe) faible. Enfin, rappelons que la cryptographie n'est qu'un maillon de la chaîne. La force de la chaîne est la force du maillon le plus faible : si vous envoyez un message chiffré de manière sûre d'un point de vue cryptographique, vous devez tout autant prêter attention au reste de la chaîne (de l'ordinateur potentiellement infecté à vos voisins qui regardent votre écran)., Coup de projecteur La cryptographie est un éternel « match de tennis » depuis des millénaires, opposant cryptographie (chiffrement) et cryptanalyse (attaque), qui ne sont qu’une et même science. Les standards actuels ne seront plus en mesure de répondre aux problématiques actuelles d’ici quelques années (puissances de calculs, systèmes quantiques, etc.), peut-être moins. La recherche, très active dans ce domaine, propose des embryons de piste (comme la cryptographie post-quantique), qui doivent continuer de se développer pour permettre de déployer de nouveaux standards. Sans crypto-systèmes fiables, c’est l’utilisation d’Internet tout entier, de votre téléphone, de votre CB sans contact, qui prendra fin. Ambroise BAUDOT Ouvrage de référence : Simon Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, 2000 Introduction de l'ANSSI : https://www.ssi.gouv.fr/particulier/bonnes-pratiques/crypto-le-webdoc/crypto-sensu/ Pour aller plus loin, exemple de cryptographie post-quantique : Oded Regev. Lattice-based cryptography. In Advances in cryptology (CRYPTO)

Le Cloud occupe certainement une place de choix dans les discussions stratégiques de votre entreprise, et souvent à juste titre. Plus qu’un simple effet de mode, les prestations Cloud offrent de vrais avantages, tant d’un point de vue financier que d’un point de vue adaptabilité du système d’information ; en passant par les innombrables services créateurs de valeur et rapidement déployables. A cela s’ajoute le fait que toutes les tâches de maintenance, de sécurisation et de gestion des infrastructures sont sous la responsabilité du prestataire. Pratique, n’est-ce pas ? Néanmoins, là où le bât blesse est que toute externalisation s’accompagne de risques, et pas des moindres : souscription à des services non-adéquats, perte de la maîtrise des données, absence de contrôle sur le niveau de sécurité sont autant d’exemples de risques pouvant avoir des conséquences funestes sur l’activité de l’entreprise. Pour répondre à ce problème, l’EIOPA (European Insurance and Occupational Pensions Authority, AEAPP en français) a émis un ensemble de guidelines visant à mieux encadrer le recours à des prestataires de services Cloud pour les entreprises d’assurance et de réassurance. Que disent ces guidelines pour les assureurs et réassureurs ? Le document de référence, intitulé « Orientations relatives à la sous-traitance à des prestataires de services en nuage », a pour objectif d’organiser le recours aux prestataires Cloud et à mettre en place un cadre réglementé et permettant aux entreprises de mieux maîtriser les risques d’externalisation. Une première lecture du document permet de voir que le but de l’EIOPA est de limiter l’externalisation massive et sans étude préalable d’une fonction opérationnelle importante pour l’entreprise. L’approche adoptée est une approche par risques où chaque décision fait l’objet d’une évaluation des risques inhérents, selon l’importance de l’activité à sous-traiter. : 1) Evaluation de l’importance de l’activité à sous-traiter : La première question à se poser est de connaître la nature de l’activité à sous-traiter et son importance pour le fonctionnement et la pérennité de l’entreprise. Il est également important de bien identifier les référentiels légaux et règlementaires applicables à cette activité 2) Evaluation des risques d’externalisation dans le Cloud : Comme mentionné plus haut dans l’article, les orientations mettent grandement l’accent sur la bonne connaissance des risques liés à chaque activité à externaliser. L’entreprise devra donc, toujours en amont d’un accord, tenir compte des risques IT, juridiques, de non-conformité et de sécurité. Cette évaluation des risques devra également prendre en considération les aspects suivants : Les risques liés au modèle Cloud choisi (cloud public, privé, hybride, …) et le type de service (IaaS, PaaS, SaaS, …) ainsi que les contraintes d’implémentation et/ou migration La stabilité politique du pays de sous-traitance et notamment les lois et normes sur la sécurité, la protection des données et le droit applicable en cas de défaillance d’un prestataire Les éventuels risques inhérents à la sous-sous-traitance Les impacts d’une éventuelle concentration d’activités chez un même prestataire et donc de dépendance Cette étude préalable de tous les aspects d’une sous-traitance a pour but de mettre en exergue les points forts et faibles du prestataire et ainsi d’éclairer la décision de signer un accord, ou dans le cas où les mécanismes mis en place ne paraissent pas suffisants, d’exiger des dispositions supplémentaires, voire de ne pas mettre en place d’accord avec ce prestataire 3) Evaluation de l’adéquation du sous-traitant : L’entreprise devra déterminer si le sous-traitant présente suffisamment de garanties globales ou non, en particulier dans le cas d’une activité critique. Il s’agit là d’évaluer, par exemple, les compétences du sous-traitant, les certifications acquises attestant de sa conformité et de ses infrastructures ou encore sa santé économique. Cette démarche, appelée procédure de vigilance, devra être réalisée avant chaque accord avec un sous-traitant. Chaque entreprise devra mettre en place une procédure de vigilance déterminant les critères d’évaluation de l’adéquation d’un sous-traitant. Par ailleurs, l’activité de sous-traitance dans le Cloud sera désormais nécessairement encadrée par une politique adéquate faisant apparaître les rôles et responsabilités de chacun dans les processus, et définissant les outils et règles à prendre en considération ainsi que la documentation opérationnelle adossée à l’activité. Une fois l’accord de sous-traitance conclut, celui-ci devra être consigné dans un registre de sous-traitance que l’entreprise maintient régulièrement à jour, à la manière d’un registre de traitements. Celui-ci devra faire apparaitre les informations suivantes : La criticité de l’activité Le périmètre de la prestation Une synthèse de l’évaluation des risques la plus récente, et la date de cette évaluation La personne ou le service responsable de la prestation Les audits réalisés et à venir Les informations sur le sous-traitant Les coûts annuels estimés Une description de la stratégie de retrait, s’il y en a une D’un point de vue contractuel, le règlement précise les éléments à faire figurer sur l’accord, tout en mettant essentiellement l’accent sur les droits d’accès et d’auditabilité. Concrètement, cela signifie que l’entreprise peut accéder à toute documentation du sous-traitant jugée pertinente dans le cadre de l’accord. Il peut s’agir de derniers rapports d’audits, de certifications, de contrôles effectués sur le périmètre de la prestation, sans pour autant priver le client de la possibilité d’effectuer des audits individuels du prestataire. Bien évidemment, dans le cas où le droit d’accès ou d’auditabilité ne peut s’effectuer, à cause d’un risque trop élevé pour le sous-traitant ou son environnement, celui-ci peut transmettre les informations à l’entreprise sous forme de rapports exhaustifs. Il est à noter que le sous-traitant sera contractuellement tenu d’informer le client de tout cas de sous-sous-traitance et devra garantir un niveau de maîtrise des risques équivalent à celui exigé par le client. Concernant le volet Sécurité, les guidelines n’apportent pas de réelle nouveauté et se contentent de dire qu’il est nécessaire de définir les mesures appropriées à la criticité de l‘activité, le bon niveau de continuité d’activité et la supervision des mécanismes de contrôles mis en place, tout en mettant l’accent sur la nécessité de définir clairement les rôles et responsabilités entre l’entreprise et le sous-traitant. Les autorités de contrôles mobilisées Afin de vérifier la bonne application des guidelines, une autorité de contrôle nationale veillera à leur bonne application. En France, il s’agira de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). L’autorité de contrôle devra être notifiée de toute activité importante ou critique sous-traitée et pourra émettre un avis sur la solidité de l’accord conclu. En effet, l’autorité de contrôle sera en mesure d’exiger la mise en place de mesures en plus, dans le cas d’accords jugés non-conformes ou offrant peu de garanties pour l’entreprise voire d’exiger la sortie de pure et simple de l’accord. A cela s’ajoutent des campagnes de contrôles de l’ensemble des accords de sous-traitance souscrits par l’entreprise et qui, comme déjà mentionné, devront être consignés dans un registre de sous-traitance. Les informations à retenir Comme vous pouvez vous y attendre, la mise en place de ces orientations s’accompagne de deadlines. En effet, les guidelines seront applicables à partir du 1er Janvier 2021 à tous les accords de sous-traitance contractés ou modifiés à partir de cette date. Les entreprises devront également mettre en place ou à jour leur politique interne et procédures opérationnelles de sous-traitance Cloud avant cette date. En ce qui concerne les accords conclus avant le 1er Janvier 2021, ceux-ci devront faire l’objet d’une revue avant le 31 Décembre 2022. De même, les entreprises auront jusqu’à cette date pour mettre en place un registre de sous-traitance opérationnel. Ainsi, l’EIOPA entend, à travers ces orientations, redonner le contrôle aux entreprises d’assurance et de réassurance et les aider à mieux maîtriser les services Cloud auxquels ils souscrivent. Il est, tout de même, nécessaire de constater que le document ne précise pas des sanctions seront émises à l’encontre des entreprises ou sous-traitants ne le respectant pas, contrairement au RGPD dont les amendes ont certainement eu une incidence sur la mise en conformité des entreprises. Alors, est-ce que cela suffira à faire en sorte que les sous-traitants joueront-ils le jeu ? Les paris sont ouverts ! ZOUARI Mehdi