Le chiffrement consultable est depuis longtemps un mystère. Un oxymore. Un rêve inaccessible pour les professionnels de la cybersécurité du monde entier.
Les entreprises savent qu’elles doivent crypter leurs données les plus précieuses et les plus sensibles pour éviter le vol et les violations de données. Elles comprennent également que les données organisationnelles existent pour être utilisées, recherchées, visualisées et modifiées pour assurer le bon fonctionnement des entreprises. Malheureusement, nos ingénieurs en sécurité des réseaux et des données ont appris pendant des décennies qu’il est impossible de rechercher ou de modifier des données lorsqu’elles sont cryptées.
Le mieux qu’ils ont pu faire a été d’envelopper ces données en texte clair et non chiffrées dans un cocon de matériel, de logiciels, de politiques, de contrôles et de gouvernance complexes. Et comment cela a-t-il fonctionné jusqu’à présent ? Il suffit de regarder la violation de T-Mobile, celle de United Healthcare, Uber, Verizon, Kaiser Foundation Health Plan, Bank of America, Prudential… et la liste est longue. Toutes les données qui ont été volées lors de ces violations sont restées non chiffrées pour soutenir les opérations quotidiennes.
Il est évident que la manière dont nous sécurisons ces données ne fonctionne tout simplement pas. Il est essentiel que nous fassions évoluer notre réflexion et notre approche. Il est temps de chiffrer toutes les données au repos, en transit et également EN COURS D’UTILISATION. Alors, comment chiffrer efficacement les données qui doivent être utilisées ?
Le défi du chiffrement
Comme nous l’avons déjà dit, il est bien établi que la plupart des données ne sont pas chiffrées. Il suffit de regarder le taux de croissance continu et bien documenté de l’activité de cybercriminalité. En bref, toutes les violations de données et les cas de rançon de données ont un point commun flagrant : chaque cible conserve des millions de dossiers privés, sensibles et confidentiels dans un état non chiffré. Des magasins de données, entièrement indexés, structurés et non chiffrés sous forme de texte clair facile à lire, simplement pour soutenir les cas d’utilisation opérationnelle. Ce défi relève du « risque acceptable ».
On considère souvent que si une organisation a une bonne hygiène informatique, elle chiffre les données au repos (en stockage, archivées ou sauvegardées) et en transit ou en mouvement (c’est-à-dire le chiffrement des e-mails ou l’envoi de données d’un point à un autre). Et beaucoup peuvent penser que c’est suffisant, ou que c’est le mieux qu’ils puissent faire. Après tout, le chiffrement au repos et en mouvement est le seul objectif de chiffrement des organismes actuels de conformité et de gouvernance, où ils abordent le chiffrement des bases de données.
En réalité, la plupart des normes de conformité ne définissent pas vraiment ce que l’on pourrait considérer comme un chiffrement de base de données fort. Malheureusement, beaucoup pensent encore que « si la conformité ne traite pas de ce problème, ce n’est pas si important, n’est-ce pas ? »
Décryptons un peu tout cela. Pourquoi ne pas chiffrer les données ? Le chiffrement a la réputation d’être complexe, coûteux et difficile à gérer.
En examinant simplement le chiffrement traditionnel des données au repos (archives et données statiques), ces solutions de chiffrement impliquent généralement un « transfert et un déplacement » complets de la base de données vers la solution de chiffrement au repos. Cet exercice nécessite souvent un architecte réseau, un administrateur de base de données, un mappage détaillé et temps.
Une fois chiffrées, et en supposant qu’un chiffrement à chaîne longue tel que AES 256 soit utilisé, les données ne sont sécurisées que jusqu’au moment où elles sont nécessaires. Les données seront éventuellement nécessaires pour soutenir une fonction commerciale, telle que le service client, les ventes, la facturation, les services financiers, les soins de santé, l’audit et/ou les opérations de mise à jour générales. À ce stade, l’ensemble des données requises (qu’il s’agisse de la base de données complète ou d’un segment) doit être déchiffré et déplacé vers une banque de données sous forme de texte brut vulnérable.
Cela ajoute un niveau de complexité supplémentaire : l’expertise d’un administrateur de base de données ou d’un expert en bases de données, le temps nécessaire pour déchiffrer, la création d’une enclave de sécurité composée de solutions complexes conçues pour surveiller et « sécuriser » le stockage de données en texte clair. Cette enclave de solutions complexes nécessite désormais une équipe spécialisée d’experts connaissant le fonctionnement de chacun de ces outils de sécurité. Ajoutez à cela la nécessité de corriger et de mettre à jour chacun de ces outils de sécurité simplement pour maintenir leur efficacité, et nous comprenons maintenant pourquoi tant de données sont compromises chaque jour.
Bien entendu, une fois que l’ensemble de données a été utilisé, il est censé être ramené à son état chiffré. Le cycle de complexité (et de dépenses) recommence alors.
En raison de ce cycle de complexité, dans de nombreuses situations, ces données sensibles restent dans un état complètement non chiffré et vulnérable, de sorte qu’elles sont toujours facilement disponibles. 100 % des acteurs de la menace conviennent que les données non chiffrées sont le meilleur type de données auxquelles ils peuvent accéder facilement.
Cet exemple se concentre sur le chiffrement des données au repos, mais il est important de noter que les données chiffrées en transit passent par une grande partie du même processus : elles ne sont chiffrées qu’en transit, mais doivent être déchiffrées pour être utilisées aux deux extrémités de la transaction.
Il existe une approche bien meilleure, qui va au-delà du chiffrement de base. Une stratégie de chiffrement de base de données moderne et plus complète doit tenir compte du chiffrement des données critiques de la base de données dans trois états : au repos, en mouvement et maintenant EN COURS D’UTILISATION. Le chiffrement consultable, également appelé chiffrement en cours d’utilisation, conserve ces données entièrement cryptées tant qu’elles sont encore utilisables. Suppression de la complexité et des dépenses liées à la prise en charge d’un processus archaïque de cryptage, de décryptage, d’utilisation et de recryptage.
Fusionner les technologies pour un meilleur cryptage
Alors pourquoi, aujourd’hui, le chiffrement consultable devient-il soudainement une référence en matière de sécurité des données critiques, privées, sensibles et contrôlées ?
Selon Gartner, « la nécessité de protéger la confidentialité des données et de maintenir leur utilité est une préoccupation majeure pour les équipes d’analyse de données et de confidentialité qui travaillent avec de grandes quantités de données. La capacité à crypter les données et à les traiter en toute sécurité est considérée comme la Saint Graal de la protection des données » . «
Jusqu’à présent, la possibilité de chiffrer les données en cours d’utilisation reposait sur la promesse du chiffrement homomorphe (HE), qui a des performances notoirement lentes, est très coûteux et nécessite une puissance de traitement démesurée. Cependant, grâce à la technologie de chiffrement symétrique consultable, nous pouvons traiter les « données en cours d’utilisation » pendant qu’elles restent chiffrées et maintenir des performances de requête en temps quasi réel, à la milliseconde près.
Jennifer Glenn, analyste chez IDC, a déclaré : « La transformation numérique a rendu les données plus portables et utilisables par tous les secteurs de l’entreprise, tout en les rendant plus exposées. Le cryptage consultable offre un moyen puissant de préserver la sécurité et la confidentialité des données tout en libérant leur valeur. »
« Des technologies telles que le cryptage consultable deviennent rapidement un élément essentiel pour les organisations qui souhaitent conserver des données utilisables, tout en garantissant leur intégrité et leur sécurité », a déclaré Glenn.
Paperclip, une société de gestion de données créée il y a plus de 30 ans, a créé une solution pour atteindre ce que l’on appelait autrefois le « Saint Graal de la protection des données », à savoir le cryptage des données en cours d’utilisation. En exploitant la technologie de déchiquetage brevetée utilisée pour le stockage des données et le cryptage symétrique consultable, une solution est née qui élimine la complexité, la latence et les risques inhérents aux stratégies de sécurité et de cryptage des données existantes.
La solution de cryptage SAFE
Consciente que la nécessité est la mère de toutes les inventions, Paperclip, fondée en 1991 en tant qu’entreprise innovante dans le domaine de la chaîne d’approvisionnement de contenu, a réalisé qu’elle devait elle-même faire davantage pour sécuriser le cadre de données sensibles que ses clients lui confiaient. En analysant le nombre croissant de violations de données et d’attaques de rançon de données, une réalité est devenue très claire : les acteurs malveillants ne compromettent ni ne volent des données cryptées.
Ils se concentrent sur les énormes quantités de données en clair et non chiffrées utilisées pour soutenir les activités opérationnelles clés. C’est là qu’ils peuvent faire le plus de dégâts. Ce sont les meilleures données à garder en otage. C’étaient ces données critiques qu’il fallait traiter. Il était temps de faire évoluer la façon dont nous chiffrions nos données les plus actives, au niveau de la base de données.
C’est ainsi qu’est né SAFE, d’abord comme solution puis pour la mettre sur le marché commercial.
Bien sûr, il a été facile d’identifier le défi. Toutes les organisations ont des données sensibles à protéger et elles dépendent de ces données pour mener à bien leurs opérations principales. L’étape suivante consistait à élaborer une solution pratique.
Trombone SÉCURISÉ est une solution SaaS qui fait du cryptage de données entièrement cryptées et consultables une réalité pratique. L’ensemble du processus de cryptage, de décryptage, d’utilisation et de recryptage, ainsi que les ressources nécessaires pour accomplir ces tâches, ne sont plus nécessaires. Plus important encore, SAFE élimine l’excuse liée à la raison pour laquelle des millions d’enregistrements sont actuellement entièrement exposés au vol de données et aux attaques de rançon.
Le chiffrement consultable SAFE est communément appelé plate-forme de technologie d’amélioration de la confidentialité (PET). En tant que PET, SAFE fait évoluer la manière dont les données sont sécurisées au niveau de la couche de base de données principale. SAFE est unique par rapport à toutes les autres solutions de chiffrement car il offre les fonctionnalités suivantes :
- Chiffrement AES 256 complet prenant en charge les coffres-forts de clés du propriétaire et du détenteur des données – Un acteur malveillant doit compromettre les deux clés disparates. Même dans ce cas, il n’a pas accès aux données.
- Stockage de données déchiquetées breveté Paperclip (SDS) – Avant même que les données ne soient cryptées avec le cryptage complexe AES 256, les données sont déchiquetées en morceaux, salées et hachées. Cela brise tout contexte et crée de l’entropie. Imaginez qu’un acteur malveillant compromette les deux clés de chiffrement. Ce qu’il obtient, c’est comme prendre une déchiqueteuse à coupe croisée micro, y faire passer un million de documents, jeter un tiers des morceaux déchiquetés, remplacer ce tiers par de vieilles encyclopédies déchiquetées, secouer le tout et le jeter par terre comme un puzzle malade et dément. Sur la base de la technologie actuelle, il faudra environ 6 000 ans pour réassembler toutes ces pièces.
- Ensemble de données toujours chiffré prenant en charge toutes les fonctionnalités de création, lecture, mise à jour et suppression (CRUD). – Par nature, lorsque les données ne sont pas utilisées, elles sont au repos, toujours entièrement chiffrées. Fini les données chiffrées et non chiffrées… Elles sont toujours chiffrées.
- Recherche rapide de composés cryptés (
- Apprentissage automatique continu et détection et réponse aux menaces par l’IA (TDR) – SAFE est basé sur Zero Trust, de sorte que la solution surveillera et apprendra les tendances des utilisateurs. Toute activité hors bande sera bloquée et nécessitera une action administrative. La solution surveille également les injections SQL, le fuzzing des données et d’autres actions des acteurs de la menace. Dans le cadre de la solution, SAFE produit de nombreuses données de télémétrie qui peuvent alimenter le service de surveillance SOC d’un client.
- Intégration simple de l’API JSON. Un certain développement est nécessaire, mais le résultat est une absence de perturbation pour l’utilisateur final et un ensemble de données toujours disponibles et toujours cryptées.
- Flexibilité de mise en œuvre – SAFE est une solution SaaS, mais elle a également été conçue pour être mise en œuvre en tant que solution légère sur site. De plus, SAFE peut être intégré dans une application tierce lorsque ce tiers conserve des données sensibles pour le compte du client (application externalisée comme les ressources humaines, la paie, les plateformes bancaires, les DMP et les DMP de santé, etc.). Si vous externalisez vos données sensibles auprès d’un fournisseur tiers, il est temps de demander comment il crypte ces données. Que se passe-t-il si ce fournisseur est piraté ? Vos données sont-elles cryptées ?
Nous sommes dans une course que les acteurs malveillants semblent gagner. Il est temps de construire un meilleur moteur de chiffrement. Il est temps d’adopter SAFE.
Dans le paysage commercial actuel centré sur le cyberespace, le besoin de chiffrement consultable s’étend à de nombreux secteurs et cas d’utilisation tels que les services financiers, la santé, la banque, la fabrication, le gouvernement, l’éducation, les infrastructures critiques, la vente au détail et la recherche, pour n’en citer que quelques-uns. Il n’existe aucun domaine dans lequel les données ne doivent pas être plus SÉCURISÉES.
SAFE en tant que solution SaaS peut être mise en œuvre en moins de 30 jours sans perturber les utilisateurs finaux ou l’architecture réseau. Pour en savoir plus sur le chiffrement consultable SAFE, visitez paperclip.com/safe.
Note: Cet article est rédigé et rédigé de manière experte par Chad F. Walter, directeur des revenus chez Paperclip depuis juin 2022, à la tête des initiatives de vente et de marketing, avec plus de 20 ans d’expérience en cybersécurité et en technologie.