Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO
Home > Blog Sécurité et Conformité > Email sécurisé > Qu’est-ce que le chiffrement de bout en bout et comment ça fonctionne?
Qu’est-ce que le chiffrement de bout en bout et comment ça fonctionne

Qu’est-ce que le chiffrement de bout en bout et comment ça fonctionne?

par Bob Ertl on décembre 12, 2022 Email sécurisé
temps de lecture: 8 minutes

Le chiffrement de bout en bout est une mesure de sécurité incontournable pour protéger les informations confidentielles et sensibles. Mais comment cela fonctionne-t-il concrètement ?

Qu’est-ce que le chiffrement de bout en bout ? Le chiffrement de bout en bout est un moyen de sécuriser les données, en les chiffrant pendant le transfert entre deux personnes. De cette manière, si quelqu’un venait à les intercepter, les données seraient illisibles.

Analyser la confidentialité et la conformité des communications de contenus sensibles au sein des services financiers

Qu’est-ce que le chiffrement de bout en bout et comment ça fonctionne ?

Le « chiffrement » est la technique qui consiste à brouiller les informations en les rendant illisibles pour des tiers non autorisés. Ce brouillage repose sur l’utilisation de fonctions mathématiques, qui transforment des données lisibles en un code qui ne peut être déchiffré que par un processus inverse spécifique. Il faudra en général une « clé » pour le déchiffrement et l’authentification.

Pour garantir la sécurité des données chiffrées, les méthodes de chiffrement reposent sur des mécanismes complexes qui rendent quasiment impossible leur inversion sans accès spécifique.

Cependant, il n’existe pas de méthode universelle de chiffrement pour toutes les données. Au contraire, il est appliqué de plusieurs manières différentes en fonction des conditions d’utilisation de ces données :

  • Au repos: le chiffrement des informations stockées sur un appareil ou sur un serveur est considéré comme étant « au repos ». Les données au repos sont généralement protégées par des normes de chiffrement telles que AES (Advanced Encryption Standard), établie et mise à jour par le National Institute of Standards and Technology (NIST).
  • En transit: les données sont considérées comme « en transit » lorsqu’elles circulent entre des appareils. Parmi les techniques de chiffrement standard, citons les tunnels de chiffrement avec SSL (secure sockets layers) ou les VPN (réseaux privés virtuels).
  • En cours d’utilisation: les données dites « en utilisation » peuvent signifier qu’elles sont présentes sur un appareil ou stockées dans la mémoire locale d’un poste de travail. Bien que le chiffrement en cours d’utilisation ne soit pas aussi répandu que les deux premiers (même s’il tend à le devenir), les solutions de chiffrement des données en cours d’utilisation prévoient le chiffrement de la RAM.

Le chiffrement sert à protéger et à préserver la confidentialité des données, au repos et en transit. Le chiffrement, la sécurisation du périmètre, et le contrôle des accès constituent déjà un bon point de départ. Mais des recherches récentes montrent aussi qu’il vaut mieux mettre en place des protocoles de conformité et des mesures de sécurité complémentaires. Toutes ces mesures et contrôles de gouvernance sont gérés par le réseau de contenu privé, ou PCN. (voir ci-dessous).

Les données sont à la base de toute activité, quelle qu’elle soit. C’est pourquoi les entreprises et leurs fournisseurs ont recours au chiffrement pour permettre de partager des données. Cela se fait généralement via des systèmes publics ou privés vulnérables, et le chiffrement les protège donc des menaces courantes telles que les attaques de type « man-in-the-middle » ou attaques d’espionnage.

Le chiffrement de bout en bout (E2E) devrait faire partie intégrante de toute stratégie de gestion des risques tiers (TPRM). Il répond à ces problématiques en chiffrant les données avant leur transmission, de sorte que leur protection ne dépende pas d’un serveur ou d’un système de chiffrement en transit. L’expéditeur et le destinataire utilisent chacun une méthode de chiffrement spécifique pour chiffrer et déchiffrer les informations, lesquelles restent masquées tant au repos dans un serveur que pendant le transit.

En quoi le chiffrement de bout en bout est-il différent du chiffrement en transit ou au repos ?

Le chiffrement de bout en bout est une solution globale, de l’expéditeur au destinataire. Au contraire, les méthodes au repos et en transit ne chiffrent les données que dans un contexte bien précis.

Prenons l’exemple d’un service de messagerie électronique classique. Bien que l’on ne prête pas souvent attention aux détails techniques des e-mails, la plupart des fournisseurs assurent un chiffrement à la fois au repos et en transit :

  • Les serveurs de messagerie sont souvent protégés par un chiffrement AES-128 ou AES-256.
  • Les envois d’e-mails utilisent presque systématiquement une version de sécurité de la couche de transport (TLS), la version moderne des tunnels SSL. En outre, les utilisateurs qui se connectent à ces fournisseurs de messagerie via des services Web doivent souvent utiliser HTTPS, la forme sécurisée de HTTP.

Le problème de cette configuration, c’est qu’elle ne protège pas suffisamment les données. En effet, les fournisseurs de messagerie ne peuvent garantir entièrement la sécurité de l’e-mail à travers les différents serveurs de messagerie avec lesquels il interagit avant d’arriver à destination.

Pour contourner ce problème, E2E chiffre les données indépendamment des technologies utilisées pour la transmission ou dans le serveur. Cela implique de chiffrer les données elles-mêmes au point de transmission, et d’envoyer les données chiffrées par des canaux publics (indépendamment de tout autre protocole de chiffrement comme TLS). Le message délivré est alors brouillé, et seul l’utilisateur final est capable de le déchiffrer.

À noter qu’avec le chiffrement E2E, le chiffrement et le déchiffrement des informations sont limités aux utilisateurs, et non au propriétaire du serveur ou de l’infrastructure. Le chiffrement s’effectue au niveau du dispositif, et non du serveur.

Plus spécifiquement, le chiffrement de bout en bout utilise des clés asymétriques :

  • Chiffrement symétrique: dans les systèmes symétriques, le chiffrement et le déchiffrement se font avec la même clé. Un système crypte le message à l’aide d’une clé spécifique, et les systèmes récepteurs les décodent en utilisant une clé identique.
  • Chiffrement asymétrique: les systèmes asymétriques (ou chiffrement à clé publique) utilisent un ensemble de clés publiques et privées pour assurer le chiffrement public. Dans ce cas, un utilisateur dispose d’une clé publique (commune à tous les salariés d’une entreprise par exemple), et d’une clé privée (confidentielle).

Quiconque souhaite envoyer un message chiffré utilisera sa clé publique, et le destinataire sa clé privée pour le déchiffrer. Les messages codés avec une clé publique ne peuvent être décodés qu’avec la clé privée correspondante.

La plupart des techniques de chiffrement sont symétriques. C’est le cas d’AES qui utilise des clés identiques, mais qui requiert une sécurité et une maintenance importantes. Cependant, de nombreuses solutions E2E sont asymétriques.

Quels sont les avantages et inconvénients du chiffrement de bout en bout ?

De toute évidence, le chiffrement E2E comporte des avantages considérables, sans quoi il ne ferait pas l’objet d’un débat permanent. Une protection élargie, une sécurité centrée sur l’utilisateur… voici les grands avantages du chiffrement de bout en bout pour les organisations :

  • Une protection accrue des données: le chiffrement E2E est, comme son nom l’indique, une protection de A à Z. Les informations transmises sont masquées au moment de leur envoi, puis brouillées au moment où elles sont envoyées. Elles ne sont ensuite décodées que par le destinataire final. Qui plus est, les systèmes asymétriques permettent un chiffrement plus aisé sur les canaux de transmission publics.
  • La confidentialité: les informations étant chiffrées à l’aide d’une clé, personne, ni les prestataires de services ni les nœuds de routage, ne peut les lire à moins de disposer de la clé publique. Le chiffrement E2E assure donc une plus grande confidentialité que ses homologues.
  • Une meilleure résistance aux attaques des comptes administrateurs: les clés publiques et privées étant entre les mains des utilisateurs, elles ne sont pas gérées par les administrateurs. Ces derniers ne sont donc pas une source de défaillance susceptible de divulguer les informations relatives aux clés. Ainsi, les attaques contre les comptes d’administrateurs ne compromettent pas forcément le chiffrement des utilisateurs.
  • La conformité: parmi les nombreux critères imposés par les règlementations en matière de conformité, la protection complète des données par chiffrement est exigée à tous les points de transmission et de stockage. Les solutions classiques de type « au repos » ou « en transit » sont pas insuffisantes pour partager des données protégées. En revanche, une solution E2E correctement configurée peut, dans la plupart des cas, satisfaire aux exigences de conformité telles NIST (FedRAMP, NIST 800-53), HIPAA ou CMMC.

Malgré ces avantages, le chiffrement de bout en bout présente certains inconvénients :

  • Sa mise en œuvre: ce n’est pas une technologie standard et exige un certain temps d’appropriation. Contrairement à AES ou TLS (où les fournisseurs tirent souvent parti de la normalisation pour promouvoir l’interopérabilité), son déploiement est complexe. Il est difficile de mettre en place un système à clé publique qui puisse satisfaire tous les utilisateurs et fournisseurs. Par conséquent, la mise en œuvre fiable de l’E2E pour les communications publiques est pratiquement impossible.

De même, les systèmes à clé publique nécessitent souvent plus de ressources pour créer et calculer les clés de chiffrement, contrairement à leurs homologues symétriques. Les gros systèmes doivent consacrer une puissance de calcul importante pour pouvoir prendre en charge l’E2E.

  • Le piratage psychologique: les clés publiques restent fiables tant qu’elles sont privées. Mais les pirates peuvent toujours inciter les utilisateurs à les divulguer. Il est possible de limiter ce risque en utilisant un système de gestion des clés centralisé, mais dans ce cas vous perdez certains avantages de l’E2E.

Bénéficiez des avantages du chiffrement de bout en bout grâce aux réseaux de contenu privé compatibles avec Kiteworks

Dans les secteurs d’activité soumis à de lourdes règlementations, les grandes entreprises ont souvent déjà rencontré des problèmes de chiffrement et de confidentialité, alors même qu’elles cherchaient à partager des informations en toute sécurité avec leurs clients. Dans de nombreux cas, les portails privés ou encore les liens sécurisés ont servi de solution tampon, mais ne sont pas aussi efficaces que la communication directe avec le public.

Les réseaux de contenu privés compatibles avec Kiteworks offrent aux entreprises la sécurité et la puissance d’un système de chiffrement E2E, intégré à des services professionnels sécurisés : messagerie électronique, partage de fichiers, partage géré de fichiers (MFT), formulaires Web et interfaces de programmation d’applications (API). De plus, les capacités de chiffrement de bout en bout de la plateforme Kiteworks comprennent une passerelle de protection des e-mails optimisée par totemo. Cette acquisition nous permet de chiffrer les e-mails de bout en bout à partir de n’importe quel serveur de messagerie.

L’un des gros avantages des réseaux de contenu privés compatibles avec Kiteworks est la capacité d’hébergement. Nos clients peuvent envoyer ou partager des fichiers chiffrés jusqu’à 16 To (taille maximale des fichiers sur les systèmes Linux).

Avec Kiteworks, vous bénéficiez des fonctionnalités suivantes :

  • Sécurité et conformité: Kiteworks utilise le chiffrement AES-256 pour les données stockées et TLS 1.2 pour les données échangées. L’appliance virtuelle durcie de la plateforme, les contrôles granulaires, les authentifications et autres intégrations de solutions de sécurité ainsi que des rapports complets de connexions et d’audits permettent aux entreprises de se conformer rapidement aux normes de sécurité.

La plateforme Kiteworks propose une conformité prête à l’emploi aux règlementations et normes du secteur, telles que la loi américaine sur la portabilité et la responsabilité des assurances maladie (HIPAA), la norme de sécurité de l’industrie des cartes de paiement (PCI DSS), les contrôles système et d’organisation (SOC 2) et le Règlement général sur la protection des données (RGPD).

De plus, Kiteworks propose des certifications et une conformité à de nombreuses normes, y compris le programme fédéral de gestion des risques et des autorisations (FedRAMP), les normes officielles en matière de sécurité informatique (FIPS), et la loi fédérale sur la gestion de la sécurité des informations (FISMA). De même, Kiteworks est évalué selon les contrôles de niveau PROTECTED du programme IRAP (Information Security Registered Assessors Program). Enfin, d’après une étude récente, Kiteworks se conforme à près de 89 % des pratiques du niveau 2 du Cybersecurity Maturity Model Certification (CMMC). 

  • Journaux d’audit: la plateforme Kiteworks génère des logs d’audit protégés et permet ainsi aux organisations de détecter plus tôt les attaques et de conserver la chaîne de preuves pour mise en œuvre d’une analyse forensique.

Le système fusionnant et homogénéisant les entrées de tous les éléments, les fichiers de logs unifiés et alertes Kiteworks font gagner un temps précieux aux équipes du centre opérationnel de sécurité (SOC), tout en aidant les équipes en charge de la conformité pour la préparation des audits.

  • Intégration SIEM: Kiteworks prend en charge les solutions d’intégration à la gestion des événements et des informations de sécurité (SIEM), y compris IBM QRadar, ArcSight, FireEye Helix, LogRhythm, etc. Il dispose également d’un Forwarder Splunk et d’une application Splunk.
  • Visibilité et gestion: le tableau de bord CISO Kiteworks offre aux organisations une vue d’ensemble de leurs informations : leur emplacement de stockage, qui y a accès et de quelle manière elles sont utilisées, et, en cas d’envoi, de partage ou de transfert de données, si ceux-ci sont conformes aux règlementations et aux normes. Le tableau de bord CISO éclaire les décisions des dirigeants, tout en leur fournissant une vision détaillée de la conformité.
  • Environnement cloud à locataire unique: le transfert et le stockage de fichiers ainsi que l’accès utilisateur s’effectuent sur une instance Kiteworks dédiée, déployée sur site, au sein d’une infrastructure de type IaaS, ou encore hébergée par une instance privée à locataire unique par Kiteworks dans le cloud via le serveur Kiteworks cloud. Cela signifie qu’il n’y a ni temps partagé, ni bases de données partagées, ni référentiels ou ressources partagés, ni risque de violation ou d’attaque inter-cloud.

Pour en savoir plus sur la messagerie électronique sécurisée, le chiffrement de bout en bout, et sur le réseau de contenus privés Kiteworks, allez lire l’article sur la messagerie sécurisée Kiteworks.

RESSOURCES COMPLÉMENTAIRES

console.log ('hstc cookie not exist') "; } else { //echo ""; echo ""; } ?>
Partagez
Tweetez
Partagez