La cryptographie, ou toute forme de codage évolué et résistant aux attaques qui sont chaque jours plus ingénieuses et puissantes, sont un excellent moyen de rendre les données et informations ‘non interprétables’, donc sans signification. Cela réduit d’autant leur valeur.
Mais ces techniques ne s’utilisent pas sur un coup de baguette magique … La norme ISO/CEI 27002 de 2013 propose deux contrôles dont l’objectif est de garantir l’utilisation correcte et efficace de la cryptographie en vue de protéger la confidentialité, l’authenticité et/ou l’intégrité de l’information.
La Politique d’usage
Il est bon de publier une politique réglant l’emploi de la cryptographie. Elle expliquera les raisons qui poussent à l’utiliser, les cas d’utilisation, les méthodes (symétrique ou asymétrique) et moyens utilisés. Tout dépend de ce que vous voulez assurer : la confidentialité, l’intégrité, la non-répudiation ou l’authentification des intervenants.
La ‘non-répudiation’ permet de s’assurer que celui qui a agi ne peut pas le nier. Ou d’apporter la preuve que quelque chose de précis s’est produit.
La politique cryptographique décrit également l’organisation relative à l’usage des moyens cryptographiques ainsi que la gestion des clés.
Selon le service attendu (utilisation de solutions externes ou, par exemple, décider de créer soi-même des signatures digitales), des règles très précises sont indispensables car les lois et les normes pertinentes doivent être connues et et votre conformité vérifiée. Notez que certains pays interdisent ou contrôlent la cryptographie de façon très stricte.
Attention, l’utilisation de la cryptographie, par exemple pour échanger des courriels de façon sécurisée, rend inopérantes certaines solutions contre les virus et autres logiciels malveillants.
La gestion des clés
La grosse difficulté est la gestion des clés. C’est bien pire que de donner à chaque personne qui a accès à votre maison, une copie de la clé.
La cryptographie symétrique (à clé secrète) doit prévoir une clé pour toutes les entités qui peuvent avoir accès. Il vous faudra autant de clés que vous avez le ‘liaison’ spécifique.
La cryptographie asymétrique (à clé publique) exige deux clés : une pour chiffrer et une pour déchiffrer.
Il faudra donc gérer les clés sur tout le cycle de vie : création, protection, attribution, distribution, conservation, destruction, révocation.
La protection est indispensable pour éviter que des intrus s’en emparent, et perdre la clé signifie que l’information chiffrée est irrécupérable.
La durée de vie des clés est également un point critique, ce qui signifie qu’il faudra distribuer et détruire les clés à chaque changement.
Il faudra choisir non seulement le mode (à clé secrète ou publique), les formules utilisées (les algorithmes), la longueur des clés mais aussi les règles d’utilisation.
Pour soutenir l’emploi cohérent et éviter l’usage abusif des clés, il faudra organiser un calendrier d’activation et de désactivation, ainsi qu’un système de révocation pour signaler les clés qui ne peuvent plus être utilisées.
Si la cryptographie s’étend à un très grand nombre d’utilisateurs, il faudra ensuite prévoir un moyen de s’assurer de l’authenticité des clés.
Choisir la cryptographie, c’est décider et c’est organiser. Votre entreprise a-t-elle suivi ce schéma ? N’hésitez pas à m’interroger si vous avez des questions. j’aborderai la fois prochaine l »introduction à la cryptographie… que je croyais déjà avoir publiée.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+