Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Données en ligne : comment fonctionne la sécurité ?

juillet 2018 par Mike Ahmadi, CISSP, Global Director, Solutions de Sécurité IoT chez DigiCert

La prolifération des données en ligne a conduit l’ensemble du monde IT à faire entièrement confiance au stockage « basé dans le cloud ». L’omniprésence des données en ligne est transparente pour de nombreux utilisateurs. Prenons un objet aussi élémentaire qu’un smartphone : les utilisateurs se rendent rapidement compte que sans connexion à Internet, leur smartphone bien-aimé perd de son utilité et la plupart de ses fonctionnalités. Les fabricants de périphériques et les développeurs d’applications ont rapidement compris que la construction et la maintenance de moteurs de stockage et de diffusion de contenus à la fois robustes et sécurisés sont des éléments vitaux pour la création d’une expérience utilisateur riche et dynamique. Dans un monde où la concurrence grandit et évolue sans cesse, l’incapacité à fournir aux utilisateurs une expérience enrichissante en permanence est directement sanctionnée par la perte de ces utilisateurs.

Penchons-nous sur l’utilisation des solutions de sécurité destinées à protéger les données en ligne. Comprenons bien que le terme sécurité ici ne signifie pas seulement empêcher les « méchants » d’accéder aux endroits qui leur sont interdits, mais aussi (et c’est sans doute l’essentiel) de garantir le bon fonctionnement et la longévité du modèle sur lequel repose la croissance de l’entreprise. Notre approche s’appuiera sur le trio classique « confidentialité, intégrité, disponibilité ».

Confidentialité : pour faire simple, la confidentialité consiste à maintenir secrètes les informations face à tous ceux qui ne doivent pas y avoir accès. Il s’agit d’informations financières, d’informations commerciales, de données médicales, de plans stratégiques... ou tout autre élément dont on veut empêcher l’accès aux tiers. Avec la croissance permanente des utilisateurs en ligne, garder ses données à l’abri des regards indiscrets est devenu de plus en plus difficile. Aux débuts de l’Internet, il était encore acceptable d’utiliser « la sécurité par l’obscurité » pour protéger ses informations, puis l’utilisation de mots de passe complexes est devenue la norme. Aujourd’hui, les organisations utilisent des modules matériels de sécurité avec des microcontrôleurs et des PKI (infrastructures à clé publique) inviolables afin d’apporter un niveau de garantie supérieur, pour que les secrets restent bien des secrets.

Intégrité : l’intégrité consiste à s’assurer que les données demeurent intactes et inchangées après leur création, qu’elles se trouvent sur un réseau ou stockées quelque part. A l’époque du crayon et du papier, on conservait une copie des informations en attestant leur version (généralement à l’aide d’un tampon-dateur). On effectuait des vérifications par recoupement si une question se posait ou tout simplement pour s’assurer que rien n’était altéré par inadvertance. Aujourd’hui, de nouvelles méthodes sont apparues pour gérer la quantité importante de données disponibles en ligne, se déplaçant rapidement et n’existant que sous forme de bits et d’octets sur des supports de stockage magnétiques ou logiques. Ces données sont "hachées", ce qui signifie qu’une valeur leur est attribuée en fonction de leur composition à un instant donné. En cas de doute sur l’intégrité des données, elles peuvent être à nouveau hachées et les valeurs comparées. Si les données ont changé, les hachages ne correspondent pas et vous savez dès lors que l’intégrité des données a été compromise. Les systèmes enregistrent également les accès aux données et les modifications, de sorte que l’on puisse plus facilement enquêter sur les contrôles d’intégrité qui ont échoué en se penchant sur les moments spécifiques où les données ont changé. Par ailleurs, les données sont souvent copiées sur plusieurs supports différents en temps réel, au cas où un système soit défaillant, et des sauvegardes régulières sont souvent exécutées pour permettre aux organisations de « remonter dans le temps » si nécessaire et récupérer des versions précédentes de leurs fichiers.

Disponibilité : c’est le domaine où je crois vraiment que l’amélioration la plus importante s’est produite. Finalement, ce qui a probablement l’impact le plus immédiat sur les utilisateurs en ligne, c’est de ne pas pouvoir accéder aux données quand on veut et comme on veut. L’augmentation massive de la bande passante des réseaux de données, couplée à la croissance de vitesse des ordinateurs de toutes tailles, a cependant conduit à une disponibilité en temps réel, permettant l’émergence de ce qui paraissait impossible. Je peux prendre une photo avec mon téléphone et l’afficher sur mon bureau et sur 3 sites de stockage en ligne différents en quelques minutes (voire en quelques secondes). Si je perds mon téléphone ou mon ordinateur portable, je peux restaurer toutes mes données à partir des sauvegardes en ligne. Il me faut simplement acheter un nouvel appareil et m’authentifier sur les serveurs en ligne qui me permettront de tout récupérer automatiquement. Les organisations ne doivent pas nécessairement prévoir toutes les méthodes pour assurer la disponibilité, mais simplement fournir une API pour que d’autres organisations puissent entrer dans le jeu. Ce serait par exemple, Apple permettant à Google et Amazon de sauvegarder mes photos. Apple assurerait ainsi ma tranquillité d’esprit sans avoir à gérer tous les tenants de la disponibilité.

Cette liste n’est évidemment pas exhaustive. Rappelons également que toutes les entreprises auxquelles vous avez affaire sur Internet ne fournissent pas forcément toutes ces fonctionnalités... et ne font pas toujours du bon travail ! Il est de la responsabilité de chacune d’entre elles d’investir pour garantir une expérience en ligne sécurisée. Si tout le monde semble d’accord là-dessus, il semble bien qu’il s’agisse également d’un challenge permanent.




Voir les articles précédents

    

Voir les articles suivants