Lybero https://www.lybero.net Vos données en sécurité Fri, 24 Jul 2020 10:09:45 +0000 fr-FR hourly 1 https://wordpress.org/?v=5.4.2 https://www.lybero.net/wp-content/uploads/2019/08/cropped-favicon-32x32.png Lybero https://www.lybero.net 32 32 Chiffrement de bout en bout, qu’en est-il vraiment? https://www.lybero.net/chiffrement-de-bout-en-bout-quen-est-il-vraiment/ https://www.lybero.net/chiffrement-de-bout-en-bout-quen-est-il-vraiment/#respond Fri, 24 Jul 2020 10:09:45 +0000 https://www.lybero.net/?p=3351 Le chiffrement de bout en bout, tout le monde en parle et tout le monde en fait … Nombreuses sont les solutions de partage vous garantissant la sécurité des données et se targuant d’utiliser le chiffrement de bout en bout , ce qui n’est pas tout à fait vrai … Chez Lybero.net, le chiffrement de […]

L’article Chiffrement de bout en bout, qu’en est-il vraiment? est apparu en premier sur Lybero.

]]>
Le chiffrement de bout en bout, tout le monde en parle et tout le monde en fait … Nombreuses sont les solutions de partage vous garantissant la sécurité des données et se targuant d’utiliser le chiffrement de bout en bout , ce qui n’est pas tout à fait vrai … Chez Lybero.net, le chiffrement de bout en bout ça nous connait et nous avons décidé de clarifier un peu cette notion afin de vous aider à démêler le vrai du faux !

Le monde de l’informatique (l’IT) est une jungle. Que vous soyez un utilisateur pur et dur ou bien un vieux de la vieille, c’est la même chose. Vous pouvez avoir des offres mirifiques qui apparaissent telles des comètes, certaines de ces comètes se transforment en soleil, d’autres ne font que passer. Et il est très difficile de s’y retrouver et d’anticiper. En particulier, les investissements que vous faites sont-ils ou non pérennes ? Les décideurs n’ont pas un boulot facile.

Un des inconvénients du monde informatique est aussi que dans ce monde, il n’y a pas que des techniciens. Et donc, il arrive que l’on ait des discours sur des produits qui soient très déconnectés des réalités techniques.

 Chiffrement de bout en bout : si tout le monde le propose: tout est bien qui finit bien ?

Si vous lisez les offres sur les services ou les logiciels de partage de fichiers, vous pouvez être certains (sûrs ?) que l’adjectif SÛR va apparaître. « Notre service est sûr ! Il respecte le RGPD ! … ». D’abord tous les services sont chiffrés. Tous ! Il n’y a pas d’exception. Truc Drive ? chiffré. XXXXbox ? Chiffré…. CryptnDrive (notre logiciel) est lui aussi chiffré. Tout le monde est chiffré, c’est génial.

En fait, non, ce n’est pas génial. Dans certain cas, le chiffrement est là pour vous protéger, dans d’autres il est là pour protéger celui qui offre le service des utilisateurs et aussi en partie son propre personnel. Ce n’est pas le même chiffrement !

Si vous regardez l’architecture d’un système de partage de fichiers, vous allez avoir quelque chose qui ressemble à cela:

Chiffrement de bout en bout : schema architecture de solution de partage de fichiers

Schéma représentant l’architecture d’une solution de partage de fichiers via le web

Pour tout ce qui est partage de fichiers, le web s’est imposé comme la solution universelle. Donc au minimum, les utilisateurs peuvent déposer / récupérer les fichiers via un navigateur web.

Dans les applications modernes, vous avez une partie de l’application qui est déportée dans le navigateur (ce que j’ai représenté par les 2 briques Angular ou React dans le navigateur) et même une partie de stockage tampon. Le navigateur va alors communiquer avec le site web via internet.

La première raison pour laquelle tout le monde est chiffré, est que cette liaison (notée internet sur le schéma) est aujourd’hui chiffrée de manière systématique. Les navigateurs sont proches du moment où ils refuseront de se connecter à un site sans chiffrement. C’est un premier niveau de chiffrement : le chiffrement de canal.

Ensuite, dans de nombreux systèmes, une fois le fichier arrivé sur le serveur, il est traité par un serveur d’applications et stocké. D’une manière ou d’une autre, le fichier stocké est chiffré. Ce peut être un mécanisme natif d’une base de données, ce peut être applicatif et donc c’est une clé de chiffrement au niveau de l’application qui est utilisée. Ces mécanismes ont plusieurs utilités :

  • ils permettent de garantir qu’un accès physique au support ne conduira pas à une compromission des données,
  • dans l’organisation, cela permet d’avoir des rôles séparés. Typiquement, on peut trouver des mécanismes où l’administrateur système n’a pas accès aux contenus directement, mais doit passer par un administrateur de contenus. Ce type de mécanisme de séparation de responsabilité est très pratique et permet de réduire l’exposition à des attaques internes,
  • si des clés différentes sont utilisées pour les différents contenus ou les différents utilisateurs, cela permet d’isoler les utilisateurs les uns des autres.

Il m’est arrivé de lire que certaines organisations appelaient cela du chiffrement de bout en bout. Vous chiffrez le canal et après vous chiffrez le contenu ! Non, ce sont des étapes successives de chiffrement avec des moments où le fichier est disponible sur un ou plusieurs serveurs de l’organisation sans aucun chiffrement.

 Ce n’est pas du chiffrement bout en bout.

La pierre de touche fonctionnelle pour savoir s’il y a chiffrement de bout en bout c’est : y a-t-il un administrateur dans l’organisation qui a potentiellement accès aux fichiers ? Si la réponse est oui, ce n’est pas du chiffrement de bout en bout.

La définition simple et facile de Lybero.net

Maintenant, parlons de ce qu’est le chiffrement de bout en bout. Si votre fichier est chiffré au moment où il est téléchargé et que seules les personnes à qui un accès explicite a été donné peuvent y accéder, alors c’est un chiffrement de bout en bout. Cela peut être fait ou avec un programme intégrant ces fonctions (pgp, gpg, whatsapp sur mobile, …) ou bien en javascript à l’intérieur d’une page web. C’est ce que nous faisons dans CryptnDrive. De cet manière l’administrateur système n’a à aucun moment la possibilité accèder aux contenus. Le chiffrement de bout en bout joue donc un rôle important dans la protection contre les menaces internes et la fuite de données.

La question de l’accès des administrateurs aux contenus gérés est en train de devenir une question importante. Il y a toute une catégorie de logiciels dédiés à la gestion des comptes à privilèges qui est apparue. Ces logiciels permettent la gestion des accès et l’enregistrement des opérations pour pouvoir faire des vérifications ultérieures. Cependant aussi intéressant que soient ces logiciels, si une information importante a fuité à cause d’un administrateur système, elle a fuité. Être capable d’identifier la source de la fuite est intéressant et rassurant, mais malheureusement c’est trop tard. Donc la meilleure manière de faire cela est que l’administrateur système n’est pas accès du tout aux contenus. D’où l’intérêt du chiffrement de bout en bout.

L’article Chiffrement de bout en bout, qu’en est-il vraiment? est apparu en premier sur Lybero.

]]>
https://www.lybero.net/chiffrement-de-bout-en-bout-quen-est-il-vraiment/feed/ 0
French IoT du Groupe La Poste: une récompense pour Lybero.net https://www.lybero.net/french-iot-du-groupe-la-poste-une-recompense-pour-lybero-net/ https://www.lybero.net/french-iot-du-groupe-la-poste-une-recompense-pour-lybero-net/#respond Tue, 21 Jul 2020 13:40:46 +0000 https://www.lybero.net/?p=3327 Concours French IoT: C’est avec grand plaisir que toute l’équipe de Lybero.net communique sur sa sélection en tant que lauréat du concours La Poste French IoT – communauté Start Up ! Après avoir candidaté pour la première fois au concours du Groupe La poste French Iot , Lybero.net fait partie des lauréats du concours catégorie […]

L’article French IoT du Groupe La Poste: une récompense pour Lybero.net est apparu en premier sur Lybero.

]]>
Concours French IoT: C’est avec grand plaisir que toute l’équipe de Lybero.net communique sur sa sélection en tant que lauréat du concours La Poste French IoT – communauté Start Up !

Après avoir candidaté pour la première fois au concours du Groupe La poste French Iot , Lybero.net fait partie des lauréats du concours catégorie Communauté Start Up de la section Deep Tech !

Cette année, le programme d’Open Innovation French IoT, du groupe La Poste, récompense les services connectés ET engagés. En 2020,  La Poste intègre dans son concours les 4 grands défis de nos sociétés tels que: l’impact environnemental, la confiance dans le numérique, l’entrepreneuriat au féminin et l’enjeu des territoires à l’ère du numérique. Enfin un concours pour une innovation connectée et engagée !

Chez  Lybero.net, la protection de vos données et leur confidentialité est notre priorité !  Nous nous engageons à les protéger et à vous garantir le plus haut niveau de sécurité dans vos échanges.

Afin de rendre nos outils accessibles à tous, nous misons sur une simplicité d’utilisation et un chiffrement accessible à tous . Nous travaillons tous les jours à renforcer la sécurisation de vos données de manière éthique en prenons en compte le respect de votre vie privée .  C’est donc tout naturellement que nous  avons participé à ce challenge correspondant en tout point à nos valeurs !

Notre sélection au sein de ce concours de services connectés et engagés , nous renforce dans notre volonté de continuer à protéger vos données, les garder privées et faciliter l’accès aux technologies de chiffrement au plus grand nombre !

La protection des données est devenue un enjeu majeur et doit être accessible à tous que l’on soit un particulier, une TPE , une start up ou un grand groupe. Lybero.net a l’ambition de continuer à développer des solutions de partage de données par la cryptographie web en renforçant la sécurité des échanges de manière simple à utiliser et à déployer pour les entreprises !

L’article French IoT du Groupe La Poste: une récompense pour Lybero.net est apparu en premier sur Lybero.

]]>
https://www.lybero.net/french-iot-du-groupe-la-poste-une-recompense-pour-lybero-net/feed/ 0
Chiffrement des données : les bonnes pratiques https://www.lybero.net/chiffrement-des-donnees-les-bonnes-pratiques/ https://www.lybero.net/chiffrement-des-donnees-les-bonnes-pratiques/#respond Thu, 25 Jun 2020 09:46:16 +0000 https://www.lybero.net/?p=3290 Le chiffrement des données est aujourd’hui un élément essentiel pour les entreprises  afin de protéger ses données et se prémunir contre les fuites et vol de données . Le chiffrement reste toutefois un terme obscur pour les non-initiés et il parait  nécessaire d’arriver à le démocratiser  tout en expliquant en quoi il permet de protéger […]

L’article Chiffrement des données : les bonnes pratiques est apparu en premier sur Lybero.

]]>
Le chiffrement des données est aujourd’hui un élément essentiel pour les entreprises  afin de protéger ses données et se prémunir contre les fuites et vol de données . Le chiffrement reste toutefois un terme obscur pour les non-initiés et il parait  nécessaire d’arriver à le démocratiser  tout en expliquant en quoi il permet de protéger les entreprises .

Retrouvez dans la suite de cet article les bonnes pratiques pour mettre en place sereinement le chiffrement dans votre organisation .

Faut-il tout chiffrer ?

Commençons par le début. La première question à se poser est : qu’est-ce que l’on chiffre ? plus précisément quelles informations voulez-vous chiffrer ? Toutes les données utilisées par vos collaborateurs et vous doivent-elles nécessairement être chiffrées ?

Bien sûr ,vous pouvez décider de chiffrer toutes vos données , de partout . Cependant cela peut rendre la mise en place et la gestion du chiffrement au sein de votre entreprise difficile.

Le deuxième problème à vouloir tout chiffrer se trouvera du côté des utilisateurs. Si les outils de chiffrement mis en place deviennent trop compliqués et trop contraignant à utiliser, le risque qu’ils s’en détournent et commencent à utiliser d’autres outils dont la sécurité est moindre devient de plus en plus élevé .

La sécurité de votre entreprise sera alors mise à rude épreuve et tous vos efforts pour sécuriser vos données tomberont à l’eau . La vertu est un pic comme dit André Comte-Sponville, pas assez de sécurité, est dangereux pour l’entreprise, trop de sécurité peut rendre la vie des utilisateurs complexe, ce qui les conduit à rejeter les pratiques qui reposent d’abord sur eux. Il faut donc trouver un équilibre entre ergonomie et sécurité.

  Notre conseil : chiffrons bien, chiffrons ciblé !

Vous l’aurez compris, avant de mettre en place un outil de chiffrement au sein de votre organisation, il vous faudra donc  déterminer quelles informations doivent être chiffrées.

Pour ce faire, il est nécessaire de distinguer les données à caractère personnelle dites sensibles, pour lesquelles la réglementation impose une protection avec le plus haut niveau de sécurité, des données propres à votre organisation qui peuvent être confidentielles.

Concernant les données à caractères  personnelles et sensibles, la CNIL définissait de manière claire et précise les données personnelles sensibles au sens de la loi Informatique et Libertés. Cette classification peut être utilement reprise vis à vis du Réglement Général de Protection des Données (RGPD). Nous vous invitons à consulter le site la CNIL afin d’obtenir plus d’informations sur celles-ci.

Ce tableau de  la CNIL ,dans une de ses publication en 2015 , peut déjà vous aiguiller sur les données à protéger:

Source: CNIL – PIA l’outillage: étude d’impact sur la vie privée, modèles et base de connaissances, juin 2015 – pdf

Concernant les données produites et traitées par votre entreprise , leur caractère confidentiel doit être déterminé. Chaque secteur d’activité et chaque organisation étant différente , il n’existe pas de règle préétablie afin de déterminer le caractère sensible d’une donnée.

En fonction de votre activité cela peut être : des données RH, des données relatives à votre recherche et développement ,des données stratégiques , des données d’ordre financier ….

Une technique serait d’identifier quelles données a de valeur ? En d’autres termes, quelles données un hacker vous volerait-il dans le but de les revendre?

Notre conseil: catégoriser vos données d’une part par rapport à leur sensibilité et d’autre part par rapport à leur valeur . Identifiez bien les données dites sensibles conformément à la réglementation que vous traitées.

Le chiffrement pour protéger de la menace interne

Il est important de noter que la menace ne vient pas forcément de l’extérieur , elle peut venir aussi de l’intérieur que ce soit des employés de l’organisation ,qui ont accès à des informations auxquelles ils ne devraient pas ,ou des prestataires externes,  lorsque vous sous-traiter notamment l’administration de votre système d’informations.

Des utilisateurs peuvent avoir accès à des informations confidentielles et donc les divulguer de manière non intentionnelle, au détour d’une simple discussion anodine par exemple.

L’administrateur système peut lui aussi être considéré comme une menace interne . En effet, de part son poste il a généralement accès à toutes les données de l’entreprise. Une divulgation peut là aussi avoir lieu de manière toujours non intentionnelle . A fortiori, le risque est d’autant plus important lorsque vous passer par un prestataire pour gérer  toute la partie SI de votre organisation.

Recourir au chiffrement, et en particulier au chiffrement de bout en bout, prend dés lors tout son sens dans une stratégie de protection contre les cyber risques.

Le chiffrement apparaît donc comme un outil indispensable afin de gérer les accès aux données et ainsi éviter la fuite de données et garantir la sécurité de celles-ci

Notre conseil : utiliser le chiffrement de bout en bout afin de protéger au maximum vos données des menaces internes et externes

Le chiffrement est-il incompatible avec le télétravail ?

Avec le recours au télétravail massif, la sécurité des données des entreprises à été mise à rude épreuve .Que ce soit avec les employés se connectant depuis chez eux aux serveurs de l’entreprise  via leur poste de travail ; tout comme ceux qui ont utilisé leur ordinateur personnel pour télétravailler.- En témoigne l’explosion des cybers attaques  pendant la crise sanitaire liée au COVID-19.

Protéger les données des organisations est donc d’autant plus nécessaire avec ce télétravail massif. La mise en place du télétravail dans une majorité d’entreprise a obligé celles -ci à s’atteler à la sécurité des  données échangées et donc  à trouver une solution. Et le chiffrement est un des moyens d’y arriver.

A cet effet, Il n’est pas nécessaire de rendre le chiffrement  complexe . De nombreux outils payants, gratuits ou libres existent. Dans les outils libres, Veracrypt et gnugpg sont particulièrement intéressants et simples à utiliser et mettre en oeuvre.

Notre conseil : dans le cadre du télétravail, vous pouvez commencer par mettre en place des  mesures de chiffrement simple  afin de protéger les données d’éventuelles cyber attaques

Trouver une solution de chiffrement facile à utiliser et facile à gérer

Si le recours au chiffrement est un bon moyen de se protéger pour une organisation, il n’en est pas moins un moyen qui peut parfois être difficile à mettre en œuvre et gérer pour votre service informatique, mais aussi compliqué à utiliser pour les utilisateurs.

Pour l’utilisateur ,l’outil doit être simple voir même automatique, dans le cas contraire il risque de s’en détourner; voire même d’utiliser des outils qui ne seront pas d’un niveau de sécurité suffisant.

Du côté de l’administrateur, le recours au chiffrement lui permettra de lui enlever  la pression liée  par exemple au SPOF dont il peut être victime ; tout cela en lui permettant de continuer à effectuer son travail dans de bonnes conditions.

Il est donc important de trouver un juste milieu entre la sécurité informatique et les utilisateurs qui ne souhaitent pas avoir trop de contraintes ou qui ne sont pas toujours très à l’aise avec l’informatique.

Par ailleurs, l’aspect web du chiffrement est un facteur à prendre en compte. Aujourd’hui, et cela est d’autant plus vrai avec la crise actuelle, l’entreprise est de plus en plus ouverte vers l’extérieur. Il faut donc pouvoir échanger des données vers l’extérieur tout en respectant les contraintes de sécurité de l’organisation et en offrant un outil facile à prendre en main et rapide.

L’utilisation de cryptographie web associée au chiffrement de bout en bout comme proposé dans l’offre CryptnDrive peut d’ailleurs tout à fait répondre à ce besoin.

 Notre conseil :  en choisissant votre solution de chiffrement prêtez autant attention à la facilité de gestion de l’outil qu’à la facilité d’utilisation

Distinguer la protection des données au repos de la protection des échanges

Lorsque vous déciderez de mettre en place une stratégie de chiffrement au sein de votre organisation, il sera alors important de bien identifier deux problématiques :

  • Une problématique liée à la protection des données sur les postes et les serveurs
  • Une problématique liée à la protection des informations échangées

Pour les données stockées sur les serveurs, vous n’utiliserez pas le même outil de chiffrement que pour celles qui sont partagées dans et hors de l’organisation.

Dans le cas de la protection des échanges une solution telle que CryptnDrive pourra parfaitement convenir.

Il vous faudra  vous assurer que la solution choisie intègre :

  • Le chiffrement de bout en bout
  • La facilité d’utilisation pour vos collaborateurs
  • La facilité de gestion de clés pour vos administrateurs
  • Les dernières technologies en matière de sécurité comme la cryptographie à seuil par exemple

Notre conseil: après avoir identifié les données à chiffrer , distinguez celles qui sont en local ou sur les serveurs de celles qui sont échangées et partagées en interne et externe.

 

Le récap utile et pratique:

L’article Chiffrement des données : les bonnes pratiques est apparu en premier sur Lybero.

]]>
https://www.lybero.net/chiffrement-des-donnees-les-bonnes-pratiques/feed/ 0
Health data hub: défiance envers les acteurs du numérique français https://www.lybero.net/health-data-hub-defiance-envers-les-acteurs-du-numerique-francais/ https://www.lybero.net/health-data-hub-defiance-envers-les-acteurs-du-numerique-francais/#respond Tue, 09 Jun 2020 09:12:09 +0000 https://www.lybero.net/?p=3275 Aujourd’hui nous,L’équipe de Lybero.net ,n’écrivons pas un article informatif ou instructif  sur le chiffrement ou la cybersécurité ; aujourd’hui nous écrivons un article plus politique. Nous dénonçons le choix de Microsoft pour le projet Health Data Hub. Comme l’ensemble des acteurs du numériques français, nous ne comprenons pas le choix fait par le gouvernement. Pourquoi […]

L’article Health data hub: défiance envers les acteurs du numérique français est apparu en premier sur Lybero.

]]>
Aujourd’hui nous,L’équipe de Lybero.net ,n’écrivons pas un article informatif ou instructif  sur le chiffrement ou la cybersécurité ; aujourd’hui nous écrivons un article plus politique. Nous dénonçons le choix de Microsoft pour le projet Health Data Hub. Comme l’ensemble des acteurs du numériques français, nous ne comprenons pas le choix fait par le gouvernement. Pourquoi ne pas faire confiance aux entreprises françaises comme OVH qui ont tous les moyens techniques pour mener à bien ce projet ?

Le projet Health Data Hub est un projet intéressant à plus d’un titre. Il y a aujourd’hui en France et dans le monde une vague d’innovation numérique autour de la santé. Lorsque j’étais CPPI (on va dire chargé d’affaires) chez Inria après mes expériences dans le logiciel libre, les projets que je trouvais parmi les plus intéressants étaient ceux liés à la santé. Et cela a une traduction directe : un tiers des projets de startups d’Inria sont dans le domaine de la santé.

Bref IA, données, santé tout cela fait un projet avec un potentiel très intéressant. Bravo pour le projet et l’initiative.

Microsoft n’est pas le problème

Cependant, le choix de Microsoft me met dans une rage froide. Attention, ne nous trompons pas : Microsoft est une entreprise respectable et qui a même perdu l’habitude d’écraser la compétition. On est clairement passé d’une entreprise agressivement monopolistique à une entreprise avec une stratégie d’adaptation (une stratégie « eau ») fluide au marché. Défendant son business, mais comprenant que l’innovation cela passe par la coopération tous azimuts.

Donc Microsoft n’est pas le problème. Le problème est que quand vous voulez créer une industrie, cette industrie est une chaîne avec un ensemble d’éléments. Aujourd’hui dans cette chaîne de valeur dans le numérique, les services cloud quels qu’ils soient ont une place importante. Nous avons en France quelques acteurs importants. Ces acteurs importants ne sont pas dans le top 5 mondial. L’acteur qui, à ma connaissance, se rapproche le plus d’une part de marché importante, c’est OVH (oui, j’ai travaillé pour OVH, je les aime bien), et certainement, après on ne peut pas rayer d’un trait de plumes les acteurs comme Orange, Atos, Bundestelecom, 1&1, …

Je ne vais pas m’étendre sur les arguments techniques qui font qu’OVH est parfaitement capable de répondre à la demande, ni sur l’aspect hébergeur de données de santé (OVH est maintenant hébergeur de données de santé). Imaginer qu’OVH n’a pas les serveurs, le stockage, la bande-passante, la capacité technique pour fournir le service est risible – l’incompréhension  des entreprises françaises certifiées hébergeur de données de santé, dont OVH, est plus que compréhensible !

De l’importance de soutenir l’industrie numérique française et européenne

Le marché du Health Data Hub est un marché important parce qu’il est un marché de préfiguration des services futurs. C’est un intermédiaire entre de l’opérationnel pur et la recherche. C’est un excellent moyen d’apprendre à naviguer entre les contraintes légales spécifiques de la santé et les contraintes techniques du cloud associé. Le marché Health Data Hub sert à cela, à préparer la suite. Parce que si dans les projets retenus certains fonctionnent bien, ils vont donner lieu à un déploiement potentiellement important. Donc si vous avez construit vos solutions en vous appuyant sur la solution « tirebouschtroumpf » (Microsoft dans notre cas), quand vous allez passer sur de l’opérationnel, vous allez rester dessus pour des raisons de coût, de fiabilité et de facilité technique.

Donc tous les acteurs européens vont être dans une situation de rattrapage vis à vis de l’offre Microsoft qui elle aura démontré sa fiabilité, son efficacité, … Donc autant dire que bye, bye OVH & co sur ces marchés.

Dans une situation de déséquilibre évident entre les acteurs du marché, si vous laissez faire la main invisible du marché, c’est vite vu, jamais vous n’aurez d’acteurs locaux émergeants. La seule solution est une politique volontaire. Au cas où vous ne seriez pas convaincu, le premier éditeur de logiciel européen est SAP. Son CA 2019 est de 27,5 milliard d’euros; sa dernière valorisation est 144 milliard d’euros. Considérons Microsoft, son CA 2019 était de 112,4 milliard d’euros; sa dernière valorisation est 1420 milliard d’euros (son résultat opérationnel était de 38,4 milliard d’euros supérieur au CA de SAP).

Au passage, les américains ne s’embarrassent pas de ce genre de considération : la défense américaine avait choisi Airbus pour les avions ravitailleurs, le congrès américain a cassé le marché, et finalement Boeing l’a eu. Imagine-t-on la Maison Blanche mettant ses serveurs web chez OVH US ? Non. Imagine-t-on Emmanuel Macron descendant les Champs Elysées en BMW ? Non. L’industrie du numérique européenne existe, se bat, alors par pitié, que l’état fasse ce qui en son pouvoir pour l’aider.

L’article Health data hub: défiance envers les acteurs du numérique français est apparu en premier sur Lybero.

]]>
https://www.lybero.net/health-data-hub-defiance-envers-les-acteurs-du-numerique-francais/feed/ 0
Failles de sécurité et négligences ou les symptômes du SI malade https://www.lybero.net/failles-de-securite-et-negligences/ https://www.lybero.net/failles-de-securite-et-negligences/#respond Tue, 19 May 2020 08:15:05 +0000 https://www.lybero.net/?p=3246 S’il est bien deux éléments que chaque RSSI tente d’étouffer à grand coups de mises à jour et notes de services, ce sont bien les failles de sécurité et les négligences humaines qui ont mis à mal bien des Systèmes d’Information depuis que l’informatique existe. Vaudou ? Magie noire ? Incompatibilité homme / machine ? […]

L’article Failles de sécurité et négligences ou les symptômes du SI malade est apparu en premier sur Lybero.

]]>

S’il est bien deux éléments que chaque RSSI tente d’étouffer à grand coups de mises à jour et notes de services, ce sont bien les failles de sécurité et les négligences humaines qui ont mis à mal bien des Systèmes d’Information depuis que l’informatique existe. Vaudou ? Magie noire ? Incompatibilité homme / machine ? Problème de couche 8 ou d’ICC ? Tentons de comprendre.

Prenons notre premier danger : Martine ou la faille de San Andreas.

Martine sous ses airs de cinquantenaire toute de bonhomie vêtue, 25 ans de carrière, états de services impeccables, CSP+ de rêve, plus d’un publicitaire et d’un DRH rêverait de capter son attention.

Mais vous, RSSI ou technicien, vous connaissez sa vraie nature. Vous savez que derrière ces apparences se cache votre pire cauchemar. Une sirène qui, loin de faire chavirer le coeur des marins et leur navire, sait comme personne, sans rien faire paraître, sans même donner l’impression d’y porter une quelconque attention, mettre à genou toute ou partie de votre système.

Vous la connaissez, cette petite voix qui vous hérisse le poil, que vous entendez trop souvent et qui commence systématiquement par le même enchaînement de mots à peine audibles : « Dis, je pense que j’ai encore fait une bêtise ». Cette étrange sensation quand vous raccrochez votre téléphone que votre temps va être comme aspiré. Vous commencez d’ailleurs à croire qu’après l’étude des travaux des meilleurs scientifiques, Martine a réussi là où beaucoup ont échoué. Martine est capable de courber l’espace et le temps.

A peine avez-vous résolu son problème que vous vous apercevez que le temps a défilé, débobiné comme un chat tire sur le fil d’une pelote de laine. Votre famille est-elle encore vivante ? Le monde a-t-’il sombré ? Etes-vous le dernier être sur terre ? Le temps n’est plus qu’une donnée irrationnelle. Qu’elle est incroyable cette Martine, capable de faire les meilleurs gâteaux du monde pour les anniversaires et faire s’écrouler votre monde en deux clics de souris inconscients.

D’où Martine tire-t’elle son incommensurable pouvoir ? Souvent de son absence d’intérêt pour l’outil. Peut-on seulement lui en vouloir ?

Bien souvent, on utilise des outils assez complexes pour tenter de contrecarrer les plans ou errances des Martines, car oui, il existe bien des Martines dans de nombreuses sociétés.Je pense d’ailleurs personnellement que la présence de deux Martines dans un espace trop restreint déclencherait l’apparition d’un gigantesque trou noir qui aspirerait la Terre. J’espère ne j’amais avoir à vous confirmer ce point mais mon premier conseil : isolez les Martines.

Revenons-en à nos moutons en vous posant quelques questions :

  • Votre outil n’est-il pas un peu trop complexe pour une Martine ou pour d’autres ?
  • Doit-on vraiment avoir fait un doctorat en informatique pour utiliser une application interne ?
  • Ne peut-on pas se préserver de la destruction de la terre en utilisant un outil simple mais néanmoins sécurisé ?

Oui, parce que les Martines, outre leur pouvoir immense de destruction, ça échange aussi de la donnée. Et la donnée, c’est une grande partie de votre activité, vous la manipulez, vous l’exploitez, vous la vendez et vous la conservez.

Mais Martine, elle aime bien la partager sa donnée avec ses collègues, avec vos clients. Et avec son envie irrépressible de mettre le monde à feu et à sang, Martine elle utilise le mail. Lourd, fastidieux, dangereux et ingérable, un cocktail parfait. Martine elle aime bien le mail, c’est simple. En deux clics, elle peut envoyer des choses partout dans le monde. Elle entend une petite voix dans sa tête qui lui assure que son mail va arriver à son destinataire puisqu’elle a saisi l’adresse et personne ne viendra lire le contenu hormis le destinataire- puisqu’elle a saisi cette adresse. Mais Martine, ce n’est pas une experte en informatique, elle a juste envie de transmettre des éléments simplement.

Et vous de votre côté, vous avez envie que cette donnée soit en sécurité.

Une petite erreur d’inattention et hop, comme par magie, le contrat arrive chez un concurrent de votre client ou un de vos concurrents directs. Ou mieux, le mail de Martine arrive bien là où il devrait, mais entre temps, il a été lu, parce que les rois de l’interception, ce ne sont pas les joueurs du superball, ce sont les «  hackers » de tout poil. Après, comme Martine ne manque pas d’imagination, quand les pièces jointes sont trop lourdes pour être envoyées par mail, elle utilise sa botte secrète : le service d’hébergement de fichiers. On ne peut plus sécurisé : Il y a un mot de passe ! Ha ! Vous ne vous y attendiez pas à celle-ci hein ? Martine vous a damé le pion ! Vous lui interdisez des pièces trop lourdes ? Que nenni ! Son neveu lui a donné la solution il y a peu. Martine peut repartir pour la grande aventure de l’anéantissement. Une série de documents confidentiels sur le prochain projet important de l’entreprise ? Hop, un Google drive ! Le récapitulatif des comptes de l’année ? Vlan, un petit coup de Dropbox ! Et comme Martine est fière, elle en parle à ses collègues qui au fur et à mesure utilisent aussi ces outils. Pas de cohérence, pas de centralisation, pas de sécurité, Martine est sur la route toute tracée de son plan machiavélique pour le grand effondrement !

Vous n’êtes pas idiot, vous y avez pensé, même tardivement, alors vous avez déployé un système ultra sécurisé pour contrecarrer Martine. Vous avez mis en place une partie du système et pour vous épauler, vous avez fait appel à …

Kevin ou la négligence ingénue.

Kevin, il est né avec l’informatique, c’est ce qu’on appelle un millenial, une espèce d’un nouveau genre, peu compréhensible de ceux qu’il appelle amicalement, ou pas, les boomers. Il est en charge de la maintenance de vos applications. C’est lui qui a la lourde tâche de s’assurer que tous les systèmes sont à jour.

Les Kevins, ils aiment leur temps libre et les tâches peu rébarbatives; alors ils mettent souvent une ardeur incroyable à automatiser tout ce qu’il peuvent (vous aurez beau lui dire que les trois jours qu’il a passé ne seront compensés que par 20 ans d’utilisation de ce qu’il vient de réaliser, lui au contraire, ne réalise pas). Donc Kevin, il automatise, il n’a pas le temps de tester, il aime aller vite, alors il met à jour automatiquement et systématiquement. Et parfois, quand l’automatisation n’est pas aussi bien pensé que ce qu’il croyait, certaines mises à jour passent à la trappe. Et quand il essaye de vous expliquer pourquoi le système a pu être pénétré par un ransomware, il est aussi clair dans ses explications qu’une chanson d’Aya Nakamura. Il essaye pourtant de bien faire Kevin, mais il n’a pas encore votre expérience.

Pourquoi alors ne pas faciliter votre vie et celle de Kevin en vous épargnant cette fastidieuse étape de mises à jour ? En plus Kévin, c’est lui qui est aussi en charge des installations. L’ennui ? Kevin vient d’expérimenter sa signification en installant trois logiciels sur chaque machine de votre organisation. Il s’est récemment remis au papier pour, tel un prisonnier volontaire, il coche le nombre d’installations vérifiées avant de retrouver sa liberté tant chérie. Aller Kevin, plus que 200 vérifications et tu pourras enfin revoir ton écran 65 pouces pour te délecter des bretons à Mexico.

Avant cette extrémité, il lui reste pas mal de loupés à accomplir. Les utilisateurs appelleront (peut-être des Martines) par ce qu’ils ne voient pas l’icône en forme de tatou carré orange sur un fond jaune et qu’ils ne peuvent pas travailler. Et la pression Kevin, il ne gère pas encore bien. Alors il tente de calmer les foules, les faire patienter.

En attendant, Martine a repris ses habitudes, mais en mieux. Cette fois ci elle utilise We Transfer ! On ne l’empêche pas de travailler comme ça notre Martine !


Evidemment, chez Lybero, on a des Martines et des Kevins, des Martines homme, des Kevin femmes. Je suis moi-même un ancien Kevin repenti, même si mes collègues auraient sûrement le bon goût de vous préciser que je n’ai pas encore tout à fait terminé ma transition 😉

Et c’est bien pour ça que nous les connaissons si bien et que nous avons une affections toute particulière pour eux. Et nous savons que les Martine et les Kevins, ça aime la simplicité et l’efficacité. Et vous, vous aimez les applications qui améliorent votre sécurité.

SI vous souhaitez échanger simplement et efficacement des données chiffrées, sans installation sur les postes client, sans matériel supplémentaire, avec un simple navigateur web alors je vous conseille vivement de vous rendre sur le lien suivant, attention, ce que vous allez y découvrir va vous étonner !

L’article Failles de sécurité et négligences ou les symptômes du SI malade est apparu en premier sur Lybero.

]]>
https://www.lybero.net/failles-de-securite-et-negligences/feed/ 0
Sécurité des données et séquestre numérique de recouvrement à quorum https://www.lybero.net/securite-des-donnees-et-sequestre-numerique-de-recouvrement-a-quorum/ https://www.lybero.net/securite-des-donnees-et-sequestre-numerique-de-recouvrement-a-quorum/#respond Tue, 05 May 2020 13:05:45 +0000 https://www.lybero.net/?p=3140 Le séquestre de recouvrement à quorum ou comment gérer simplement la cryptographie pour sécuriser vos données ? Si vous connaissez Lybero.net vous avez sûrement entendu parler de notre séquestre numérique à quorum intégré à notre drive chiffré CryptnDrive pour assurer les recouvrements. Cette technologie de quorum utilisée dans nos solutions est une technologie brevetée par […]

L’article Sécurité des données et séquestre numérique de recouvrement à quorum est apparu en premier sur Lybero.

]]>
Le séquestre de recouvrement à quorum ou comment gérer simplement la cryptographie pour sécuriser vos données ?

Si vous connaissez Lybero.net vous avez sûrement entendu parler de notre séquestre numérique à quorum intégré à notre drive chiffré CryptnDrive pour assurer les recouvrements. Cette technologie de quorum utilisée dans nos solutions est une technologie brevetée par l’INRIA et le CNRS et permet d’administrer CryptnDrive de manière simple et sûre grâce à une gestion originale des clés cryptographiques de contenus en garantissant ainsi la sécurité des données et leur confidentialité

Qu’est-ce qu’un séquestre numérique à quorum ?

Un séquestre numérique à quorum est un service dans lequel tout un chacun peut séquestrer une information. L’information n’est alors plus accessible. Pour qu’elle redevienne accessible, un membre de l’équipe d’administration du séquestre numérique, que nous appelons les administrateurs de secrets, doit partager avec le tiers qui veut accéder à l’information (recouvrer).

Ensuite, il faut que cet accès soit confirmé par un nombre donné (le quorum) de membres du groupe des administrateurs de secrets.

Chez Lybero.net, nous exploitons le séquestre numérique à quorum pour offrir un service de recouvrement des informations dans un service web de partage chiffré d’informations.

Qu’est-ce que le recouvrement ?

Pas de panique, ici nous ne parlerons pas de recouvrement de créances.Mais nous parlerons de recouvrement dans le sens de retrouver quelque chose que l’on a perdu.  Cela s’illustre par le fait de retrouver l’accès à des coffres et donc des fichiers auxquels on n’a plus accès.

Le groupe d’administrateurs de secrets a en quelque sorte une fonction de vérification et contrôle d’accès. Dans CryptnDrive, ce groupe permet à une personne de recouvrer l’accès à des fichiers chiffrés dans le drive. Le groupe peut de lui-même être à l’origine de l’autorisation d’accès ou cela peut être une personne qui en fait la demande.

Mais comment le groupe à quorum donne l’accès à un tiers ?

Tout simplement en faisant appel à cette notion de quorum. Au niveau juridique un quorum est un nombre minimal de personnes qui doit être présent lors d’une assemblée afin de pouvoir valider une prise de décision. Ce nombre minimum de personne est définit en amont.  Dans notre cas, il s’agit d’un nombre minimum de personne qui doivent donner leur accord pour pouvoir libérer l’accès à un coffre. Nous appelons donc plutôt le groupe d’administrateurs de secrets, groupe à quorum.

Prenons un exemple : La société Corpa a mis en place un groupe à quorum afin de pouvoir gérer les problématiques d’accès aux coffres.

Dans ce groupe, nous trouvons Alice, Bob Charly. A la création de ce groupe à quorum, il a été défini que le quorum serait de 2 personnes. Il faut donc que deux membres du groupe, au minimum, donnent leur accord pour accepter les demandes d’accès qui leurs sont faites.

Paul a perdu son mot de passe et ne peut plus accéder à ses fichiers chiffrés.  Elle demande à Bob s’il peut lui redonner ses accès à ses coffres.  Bob connait Paul et sait qu’il est bien le propriétaire des coffres. Il valide sa demande.

Puis Paul demande à Alice d’accepter sa demande. Alice connait aussi Paul et peut confirmer son identité. Elle valide aussi sa demande.

2 personnes sur 3 ont accepté la demande de Paul.  Le quorum est atteint. Paul peut accéder à ses données.

Retrouvez une courte vidéo explicative sur notre séquestre numérique à quorum ici

 

Mais concrètement comment fonctionne la technologie de recouvrement par quorum chez Lybero.net?

Notre technologie de quorum de recouvrement est unique dans le sens où il permet aux organisations, petites et grandes, de mettre en place et gérer la cryptographie pour chiffrer les données facilement ! Tout simplement parce que l’organisation n’a pas à gérer les clés, tout est géré par notre solution CryptnDrive : d’un point de vue chiffrement et d’un point de vue cryptographique.

Quand vous créez un coffre dans le drive:

les chiffrements successifs avec le séquestre numérique

  • Une clé AES256 est générée: tout contenu du coffre sera automatiquement chiffré dans votre navigateur avec cette la clé.
    • Puis cette clé AES256 est chiffrée en utilisant votre clé publique
    • Cette clé AES256 est chiffrée à nouveau avec la clé publique du groupe d’administrateurs de secrets.

NB : L’ordre de chiffrement ou de déchiffrement n’a pas d’importance

Voici ce qui se passe à l’intérieur du groupe à quorum :

Le groupe à quorum a une seule clé publique qui lui est propre.   Cette clé identifie le groupe en tant qu’entité. À la création du groupe à quorum, chaque membre du groupe à quorum a reçu une clé privée spécifique.

Pour procéder au déchiffrement, il faut faire appel au quorum. Il faut donc que les membres du quorum déchiffrent chacun, avec leur clé privée spécifique, partiellement la clé publique qui chiffre l’information. Une fois que le quorum est atteint le déchiffrement par le groupe à quorum est effectif, l’information est libérée ! Tout cela est possible grâce à la cryptographie.

Mettons maintenant que vous perdiez vos accès, il vous faut donc pouvoir accéder à vos contenus.

  1. Vous allez donc demander au groupe à quorum de recouvrement de retrouver vos accès. Au moment où vous faites votre demande, votre nouvelle clé publique vient surchiffrer la clé AES256 chiffrée avec la clé publique du groupe à quorum. On a donc 2 chiffrements fait successivement.
  2. Les membres du groupe à quorum déchiffrent successivement la clé publique du groupe.
  3. Le quorum de déchiffrement est atteint
  4. Résultat : la clé AES 256 chiffrée par votre clé publique

Vous n’avez plus qu’à déchiffrer votre clé publique avec votre clé privée pour obtenir la clé AES256 protégeant le coffre.

Bien sûr vous n’avez pas à retenir des mots de passe pour effectuer ces procédures de déchiffrement. Quand vous réinitialisé le mot de passe, tout comme à l’inscription, les clés publique et privée sont automatiquement générées. De ce fait, lorsque vous vous connectez comme sur n’importe quelle application, la procédure cryptographique se met en place toute seule.

Les caractéristiques clés sont les suivantes :

  • Le groupe à quorum autorise l’accès au contenu sans jamais avoir accès au contenu,
  • Une personne du groupe à quorum ne pourra jamais accéder seule à l’information,
  • Un seul refus dans le groupe à quorum annule toutes les autres autorisations d’accès,
  • Sans les « autorisations » (en fait des déchiffrements) des membres du groupe à quorum, il est impossible pour l’utilisateur d’accéder à l’information lors des recouvrements,
  • Toutes ses opérations sont « opaques » pour les administrateurs informatiques du système. Ils peuvent savoir qu’il se passe quelque chose, ou que l’opération est en cours. Mais en aucun cas, ils ne peuvent accéder à l’information à quelque endroit ou quelque moment que ce soit.

 

Prenons notre exemple précédent : avec notre groupe de recouvrement à quorum : Alice, Bob Charly. Paul a perdu son mot de passe.

  • Il a besoin d’accéder à des fichiers sur le drive. Il s’agit de données RH sur les salariés donc des données confidentielles qui ne doivent pas être accessibles.
  • Il réalise la procédure de réinitialisation de mot de passe et fait une demande de recouvrement d’accès au groupe de recouvrement à quorum.
  • Lorsqu’il fait sa demande, sa nouvelle clé publique est utilisée pour surchiffrer la clé de contenu AES256 chiffrée par la clé publique du groupe à quorum.
  • Les membres du quorum reçoivent une notification leur indiquant que Paul souhaite recouvrer ses accès à ses coffres.
  • Chaque membre du groupe à quorum reçoit cette notification. Ici le quorum est de 2, il faut donc que deux membres du groupe à quorum valide la notification reçue. De cette manière, chacun des membres déchiffre partiellement.
  • Une fois les deux validations actées, la clé de contenu AES256 chiffrée avec la clé publique de Paul est obtenue.
  • Paul peut avec sa nouvelle clé privée déchiffrer la clé de contenu chiffrée avec sa nouvelle clé publique et accéder au coffre avec ses dossiers.

processus complet du séquestre à quorum

 

Voilà donc pour ce qui se passe derrière la caméra. Face caméra, cela est beaucoup plus simple.

Paul a juste eu à faire une demande au groupe à quorum et rentrer son mot de passe. Les membres du groupe à quorum ont juste eu à valider l’identité de Paul pour valider son accès. D’un point de vue cryptographique, les opérations sont complexes, mais pour les utilisateurs elles se présentent très simplement. Se logger, cliquer sur un bouton d’acceptation, …

Il y a une séparation cryptographique stricte entre

  • La demande d’accès que Paul fait au groupe
  • L’autorisation, quand l’autorisation est donnée par le groupe
  • L’accès quand Paul a effectivement accès aux données

Le contenu étant surchiffré avec la clé publique de Paul, les membres du quorum n’ont jamais eu accès aux fichiers confidentiels. L’intégrité, la confidentialité et la sécurité des données sont donc garanties.

Et dans quel cas l’utiliser ?

Il existe aujourd’hui plusieurs cas (non exhaustif) nécessitant la mise en place d’un quorum de recouvrement.

  • Le plus commun des cas d’utilisation est bien sûr la gestion des pertes de mot de passe et des recouvrements d’accès aux dossiers chiffrés. Il permet d’augmenter la sécurité des accès aux données et garantir leur confidentialité grâce à l’isolation cryptographique.
  • Lorsqu’ une personne quitte l’entreprise un peu précipitamment ou que celle-ci est absente et non joignable. Par le biais du recouvrement par quorum, il est possible de récupérer l’accès aux fichiers sans compromettre l’intégrité des données. Cela peut être le cas par exemple lorsqu’une personne quitte l’entreprise en mauvais termes, lors d’un décès d’un salarié ou d’une hospitalisation …

Le quorum peut jouer un rôle de contrôle d’accès afin de protéger les secrets de votre organisation et empêcher la fuite vers la concurrence.  En effet il n’est pas rare que des employés quittent une entreprise pour la concurrence. Un quorum de recouvrement pourra aider l’entreprise à protéger ses données dans ces cas de figures.

  • La technologie de quorum permet aussi de répondre à des contraintes spécifiques en termes d’accès aux données. Comme cela peut être le cas dans le secteur de la propriété intellectuelle où le conseil national de la propriété industrielle impose qu’un confrère puisse accéder aux données d’un indépendant justement dans le cas où ce dernier ne serait plus dans la capacité d’accéder à ses données.
  • L’utilisation de la technologie de quorum de recouvrement permet à toute organisation de respecter la réglementation en matière de protection des données. En effet, elle garantit leur confidentialité et leur intégrité.

Quels en sont les avantages pour un organisation ?

  • Tout comme l’utilisation de notre solution CryptnDrive starter, elle facilite la mise en place du chiffrement par la cryptographie web et de la protection de vos données au sein de votre organisation.
  • Elle simplifie aussi la gestion des clés de chiffrement qui est souvent difficile à mettre en place dans les entreprises. Les clés de chiffrement sont générées et gérées par l’application.
  • La séparation cryptographique entre la demande d’accès, l’autorisation et l’accès au coffre permet de garantir la confidentialité et la sécurité des données.
  • La possibilité de pouvoir contrôler l’accès aux données, sans avoir accès à celles-ci, est une fonctionnalité fortement différenciante vis-à-vis de la concurrence et elle garantit la confidentialité des données.
  • Le risque SPOF, qu’il soit humain ou matériel, est fortement diminué. Les clés d’accès aux données ne sont pas entre les mains d’une seule personne, cible privilégiée d’une attaque potentielle. Mais entre les mains de plusieurs personnes. La sécurité est basée sur le nombre de personnes du quorum et non plus sur une seule personne ou le matériel ; rendant ainsi les attaques plus compliquées.

Vous l’aurez compris, la technologie de recouvrement par quorum vous permettra de gérer facilement la sécurité de vos données et d’en contrôler l’accès de manière hautement sécurisée mais aussi facilement.

 

L’article Sécurité des données et séquestre numérique de recouvrement à quorum est apparu en premier sur Lybero.

]]>
https://www.lybero.net/securite-des-donnees-et-sequestre-numerique-de-recouvrement-a-quorum/feed/ 0
Lybero.net and Hego IT announce their partnership ! https://www.lybero.net/lybero-net-and-hego-it-announce-their-partnership/ https://www.lybero.net/lybero-net-and-hego-it-announce-their-partnership/#respond Thu, 02 Apr 2020 09:14:00 +0000 https://www.lybero.net/?p=3030 #New partnership Hego IT, expert in IT infrastructure security and data maintenance, and Lybero.net, expert in web encryption and data protection, join their forces to offer you the best suited solutions to your data security needs in Germany. HEGO Informationstechnologie GmbH was founded 1997. Since then the company has gathered customers from all markets all […]

L’article Lybero.net and Hego IT announce their partnership ! est apparu en premier sur Lybero.

]]>
#New partnership

Hego IT, expert in IT infrastructure security and data maintenance, and Lybero.net, expert in web encryption and data protection, join their forces to offer you the best suited solutions to your data security needs in Germany.

HEGO Informationstechnologie GmbH was founded 1997. Since then the company has gathered customers from all markets all around the world.
Their customers are located worldwide in Germany, Europe, USA, VAE and even China. Core competency of HEGO is the design and realisation of long-living strategies in the area of IT security, IT governance, compliance and design. HEGO is protecting its customers from downtimes in IT infrastructure, data-breaches, intrusions and all other kinds of IT security risks, both in terms of technical and also strategical consulting.
Their team is highly motivated to work for customers success and trained on the best possible level ( ISO 27001 / ISO 27005 / ITQ / CEH- Certified Ethical hacker and much more)

Hego IT as an expert on strategies in cybersecurity will provide you one of the most secure solution in cybersecurity.

Thanks to this unique partnership, which will offer you high security solutions to protect your data wherever you are.

More information about Hego It

 

 

L’article Lybero.net and Hego IT announce their partnership ! est apparu en premier sur Lybero.

]]>
https://www.lybero.net/lybero-net-and-hego-it-announce-their-partnership/feed/ 0
Datalake et sécurité des données https://www.lybero.net/datalake-et-securite-des-donnees/ https://www.lybero.net/datalake-et-securite-des-donnees/#respond Tue, 24 Mar 2020 16:08:03 +0000 https://www.lybero.net/?p=2991   Un datalake centralise l’ensemble des données de l’organisation ; il lui permet de stocker, traiter et analyser ses données dans une optique d’amélioration de son business. Au vu de la quantité de données que nous générons, nous vous laissons imaginer d’une part la taille de ces datalakes ou lac de données et d’autre part […]

L’article Datalake et sécurité des données est apparu en premier sur Lybero.

]]>
 

Un datalake centralise l’ensemble des données de l’organisation ; il lui permet de stocker, traiter et analyser ses données dans une optique d’amélioration de son business. Au vu de la quantité de données que nous générons, nous vous laissons imaginer d’une part la taille de ces datalakes ou lac de données et d’autre part la difficulté pour sécuriser ces données. En cas de faille, c’est potentiellement toutes les informations de l’organisation qui fuitent ! Le dilemme de ces organisation est donc  comment  assurer la sécurité des données de ces datalakes tout en pouvant procéder aux traitements nécessaires à l’amélioration de leur activité .

De la difficulté de sécuriser les données d’un datalake

La première solution qui viendrait à l’esprit pour sécuriser les données d’un datalake serait l’anonymisation des données.  Il serait possible d’anonymiser les données avant qu’elles ne soient déposer dans le datalake.

Cela pose deux problèmes.  Le premier  concerne le fait qu’une donnée anonymisée ne peut plus être récupérée et cela d’une manière irréversible ; cela peut donc poser certains problèmes car elle ne pourra plus faire l’objet ultérieurement de certains types de traitement.

Le deuxième problème concerne la certitude de l’anonymisation des données, elle peut donc s’avérer très complexe. Prenons un exemple qui parlera aux techniciens et au moins techniciens d’entre nous.

Bob se poste à l’entrée d’une agence bancaire pendant quelques jours, il relève les gens qui vont à l’agence, il les identifie individuellement, ensuite, sans autre information que les relevés bancaires (dépôt de chèques à telle date, ou dépôt d’argent ou retrait guichet), il y a des chances qu’il arrive à identifier les comptes des personnes ou des organisations simplement avec les relevés et sans aucune information d’authentification individuelle. Ainsi avoir accès à des données qui sont anonymes peut permettre de les ré-identifier.

Une solution, en utilisant une stratégie d’anonymisation des données, serait d’anonymiser en bruitant les données soit en les modifiant.  Cependant l’anonymisation va dépendre du traitement ultérieur que l’on va vouloir faire. Si nous reprenons notre exemple de la banque:  je souhaite pouvoir établir les heures d’affluence de l’agence. Je vais donc anonymiser les données d’identité, de dépôts de montant … Mais je vais laisser en clair les données de dates et d’heures afin d’effectuer le traitement souhaité.

Mais si je souhaite effectuer un autre traitement par exemple sur le montant moyen déposé, je vais devoir anonymiser les données d’heures, de dates, d’identités … Mais laisser cette fois en clair les données relatives aux montants des dépôts.

Il y aura donc autant de stratégie d’anonymisation que de traitements. Vous pouvez aisément imaginer la complexité de cette stratégie et le véritable casse-tête qu’elle représente !

Mais alors comment sécuriser les données d’un datalake ?

Reprenons notre datalake débordant de données diverses et variées. Différentes personnes au sein de l’organisation souhaitent pouvoir faire des analyses à grandes échelles sur ces données tout en respectant le RGPD. Ces personnes souhaitent chacune faire des traitements différents.  Il est donc nécessaire de trouver une solution qui permettent à la fois :

  • A différentes personnes d’effectuer des analyses
  • D’effectuer différents types de traitement
  • De respecter la protection des données conformément à la réglementation

En utilisant les algorithmes de chiffrement que nous utilisons chez Lybero.net,  nous vous proposons une stratégie afin de répondre à ces différentes contraintes.

Nous allons utiliser un chiffrement ElGamal à la Pedersen avec un groupe d’administrateurs de secrets, nous appelons ce groupe un groupe à quorum.

Nous avons donc d’un côté le datalake rempli de données, d’un autre côté un groupe à quorum d’administrateurs de secrets et enfin une personne souhaitant effectuer un traitement sur des données.

Le groupe a quorum est constitué de plusieurs personnes, il aura la charge de contrôler l’accès aux données qui se trouvent dans le datalake lorsqu’une personne en fera la demande. Ce groupe à quorum a sa propre clé publique.Chaque membre du groupe à quorum a une clé privée spécifique associée au groupe à quorum. Lorsque l’on chiffre avec la clé publique du groupe une information, il faut que différents administrateurs de secrets (dont le nombre est le quorum) déchiffrent chacun avec leur clé privée de groupe successivement afin d’obtenir le déchiffrement final.

Dans le datalake, chaque type de données est chiffré avec une clé de contenu AES différente. Cette même clé est chiffrée par la clé publique du groupe à quorum.

Une personne souhaite faire un traitement sur un type de données que nous appellerons A. Il va donc demander au groupe à quorum s’il peut avoir accès aux données. Cette demande est matérialisée par le surchiffrement avec sa clé publique par le demandeur de la clé de contenu associée à A chiffrée par la clé publique du groupe à quorum. La clé de contenu est donc chiffrée et surchiffrée.

Deux cas se présentent alors en fonction du traitement.

Dans le cas d’un traitement direct des données, le groupe à quorum va accepter la demande de cette personne. L’acceptation est faite via le déchiffrement par le groupe à quorum (donc les déchiffrements successifs) de la clé de contenu chiffrée par la clé publique du groupe à quorum. Ils libèrent la clé de contenu pour le type de données demandées.  La personne peut déchiffrer les données et a accès à ces données et peut effectuer le traitement souhaité.

Le quorum peut bien sûr aussi refuser la demande cette personne et la procédure s’arrête immédiatement.

Dans le deuxième cas, la personne va faire une demande pour un traitement indirect de ces données. Ceci peut être le cas s’il faut anonymiser ces données au vu de leur caractère personnel et sensible.

La personne va donc demander l’accès aux données au groupe à quorum. Comme dans le premier cas celui-ci peut accorder l’accès ou pas. S’il accorde l’accès il libère donc la clé mais non pas vers le demandeur, mais vers un process qui va faire le traitement spécifique d’anonymisation des données, avant de les rechiffrer à destination du demandeur.

Le terme libéré est dans ce cas trompeur, les administrateurs de secrets n’ont jamais accès à la clé de contenu des données ni aux données.

La personne peut donc maintenant accéder aux données anonymisées et effectuer le traitement souhaité.

Ainsi en intégrant des technologies de chiffrement et un séquestre numérique à quorum il est possible de sécuriser les données stockées sur les datalake et d’en assurer l’intégrité et la confidentialité.

A cela il est bien sûr conseillé de rajouter une architecture réseau isolée accompagnée d’accès contrôlés ou de bastions pour les VMs traitant les données afin de renforcer leur sécurité.

Avec cette stratégie, il est donc possible de sécuriser les données présentes dans les datalake de manière très sûre en :

  • Garantissant une isolation maximale des rôles et des responsabilités des personnes intervenants dans le traitement des données

  • Restreignant l’accès des données : les personnes qui ont besoin d’accéder à des données, auront accès uniquement aux données nécessaires.

L’article Datalake et sécurité des données est apparu en premier sur Lybero.

]]>
https://www.lybero.net/datalake-et-securite-des-donnees/feed/ 0
Baromètre de la cybersécurité des entreprises en France https://www.lybero.net/barometre-de-la-cybersecurite-des-entreprises-en-france/ https://www.lybero.net/barometre-de-la-cybersecurite-des-entreprises-en-france/#respond Mon, 17 Feb 2020 13:51:53 +0000 https://www.lybero.net/?p=2588 Focus sur le baromètre de la Cybersécurité des entreprises : Le CESIN a dévoilé en janvier son étude réalisée avec Opinion Way sur la cybersécurité des entreprises. Chez Lybero.net, nous nous sommes bien sûr penchés dessus et y avons relevé quelques informations clés sur : Les rapports des entreprises aux cyber attaques Le cloud et les […]

L’article Baromètre de la cybersécurité des entreprises en France est apparu en premier sur Lybero.

]]>
Focus sur le baromètre de la Cybersécurité des entreprises :

Le CESIN a dévoilé en janvier son étude réalisée avec Opinion Way sur la cybersécurité des entreprises.

Chez Lybero.net, nous nous sommes bien sûr penchés dessus et y avons relevé quelques informations clés sur :

  • Les rapports des entreprises aux cyber attaques
  • Le cloud et les inquiétudes liées à sa sécurité
  • Les enjeux humains

Découvrez notre focus infographie ci-dessous :

baromètre de la cybersécurité des entreprises en france par lybero.net

L’article Baromètre de la cybersécurité des entreprises en France est apparu en premier sur Lybero.

]]>
https://www.lybero.net/barometre-de-la-cybersecurite-des-entreprises-en-france/feed/ 0
Baromètre des fuites de données par Lybero.net https://www.lybero.net/barometre-des-fuites-de-donnees-par-lybero-net/ https://www.lybero.net/barometre-des-fuites-de-donnees-par-lybero-net/#respond Thu, 06 Feb 2020 09:53:03 +0000 https://www.lybero.net/?p=2575 Les fuites de données ne vous sont sûrement pas inconnues. Peut-être vous ou votre organisation en avez déjà été victime ? De nos jours, les vols et fuites de données sont devenus monnaie courante. Vous en entendez parler quotidiennement à la télévision, sur les réseaux sociaux, dans les journaux… Un problème croissant qui nous concerne […]

L’article Baromètre des fuites de données par Lybero.net est apparu en premier sur Lybero.

]]>
Les fuites de données ne vous sont sûrement pas inconnues. Peut-être vous ou votre organisation en avez déjà été victime ?

De nos jours, les vols et fuites de données sont devenus monnaie courante. Vous en entendez parler quotidiennement à la télévision, sur les réseaux sociaux, dans les journaux…

Un problème croissant qui nous concerne tous que l’on soit un particulier, une TPE ou encore une grande multinationale.

Microsoft en a d’ailleurs fait les frais en décembre dernier avec la mise à disposition sur le web de plus de 250 millions de dossiers de leur service client.

Cela dit, il convient de relativiser cette fuite de données. En effet si les données ont bel et bien été exposées sur le web, celles-ci avaient été anonymisées par Microsoft ; les clients concernés par cette fuite n’ont donc pas de cheveux blancs à se faire !

Le seul point critique dans cette affaire serait la fuite d’une partie des adresses emails comme le souligne le magazine en ligne bigdata.fr

« Cependant, certaines des données censées être supprimées n’ont pas été détectées et sont restées visibles. En guise d’exemple, l’entreprise américaine cite les adresses email auxquelles un espace a été ajouté par erreur. De telles adresses n’ont pas été reconnues comme données sensibles par les outils automatiques, et n’ont donc pas été supprimées. »

source : https://www.lebigdata.fr/microsoft-fuite-250-millions-donnees

Ces adresses pourraient être réutilisées par des hackers se faisant passer pour Microsoft en vous demandant des informations confidentielles, de paiement ou essayer de prendre le contrôle de votre ordinateur.  Vous pourriez vous laisser berner par une demande contenant des informations précises et exactes sur des échanges que vous auriez eu avec le service client de Microsoft.

Notre première recommandation à l’égard des personnes concernées sera de faire attention aux emails qu’elles recevraient de la part de Microsoft :

  • Assurez-vous bien qu’il s’agisse de Microsoft.
  • Faites attention à ce que le lien de l’URL de redirection ne soit pas frauduleux en vous redirigeant vers une page ressemblant trait pour trait à celle de Microsoft mais qui n’en est pas une !
  • Si vous souhaitez vous rassurer et vérifier si votre email a été compromis, n’hésitez à faire un tour sur haveibeenpwned.com

Microsoft n’a pour l’instant décelé aucune tentative d’utilisation de ces données à des fins frauduleuses, il convient donc de relativiser cette fuite et de se poser la question sur la relative gravité des fuites de données.

Nous vous proposons à cet effet un baromètre made in Lybero.net sur la fuite de données :

Barometre-des-fuites-de-donnees de lybero.net

Vous l’aurez compris la gravité d’une fuite de données va dépendre du type d’information concernées et de l’état de ces informations.

Si nous prenons en compte les données de niveau baromètre rouge de paiement, financières ou de santé, celles-ci sont considérées comme particulièrement sensibles. L’usage frauduleux de ces données peut vous causer à vous ou à votre organisation des préjudices particulièrement important et vous coûter très cher.  Il apparaît donc nécessaire d’être vigilant et de mettre en place en plan d’action rapidement dans ce genre de situation.

En ce qui concernent les données de contact (email, adresse …), ce type de fuite est à relativiser. En effet contrairement aux données sensibles, le fait d’avoir accès à ces données ne vous compromet pas immédiatement. Ces informations sont certes personnelles mais en générale publiques. Il vous faudra être vigilant sur l’utilisation qui sera faite de ces données et apprendre à analyser les emails reçus ou les tentatives de contact frauduleux.  Cela démontre aussi à quel point il est primordial de former ses salariés aux cyber risques et ainsi leur apprendre à reconnaître toutes tentatives d’intrusion dans les systèmes d’information ou de phishing.  La gravité de la fuite de données n’est pas tant dans la fuite elle-même mais surtout dans l’utilisation et l’action humaine qui en découle.

Enfin le premier niveau de notre baromètre concernerait des fuites de données anonymisées et chiffrées. Anonymiser et chiffrer des données est le moyen de plus sûr de protéger des données sensibles et stratégiques. Si les données ne sont pas lisibles, elles n’auront donc plus aucune valeur et n’auront plus d’intérêt aux yeux des hackers.  Vos secrets seront donc bien gardés !

Dans le cas de Microsoft, les données qui ont été mises à disposition en clair sur le web avaient majoritairement fait l’objet d’un traitement d’anonymisation au préalable ce qui limite par conséquent leur utilisation malhonnête.

Les solutions Lybero.net utilisent l’art de la cryptographie en associant le chiffrement symétrique AES 256 au chiffrement asymétrique ElGamal 2048 à différents niveaux. Nous assurons de cette manière un chiffrement des données garantissant le plus haut niveau de sécurité.

Vous comprenez donc maintenant l’importance de protéger vos données en amont afin de les rendre illisibles. Chiffrer vos données en utilisant la cryptographie est donc une des meilleures décisions que vous puissiez prendre ; encore faut-il les chiffrer correctement !

 Et si vous doutez encore des pouvoirs de la cryptographie nous vous invitons à lire notre article ici

 En conclusion

  • Oui les fuites et vols de données sont devenus réguliers
  • Oui même les plus grosses organisations et les entreprises du secteur informatique peuvent être touchées
  • Mais non toutes ne sont pas l’affaire du siècle !

Nous vous recommandons tout de même d’être vigilant sur la fuite de données de contact comme les adresses emails qui peuvent engendrer des attaques de phishing de grande ampleur. Ce type d’attaque peut rapidement bloquer votre activité et mettre en péril votre organisation. La simple ouverture d’une pièce jointe peut donner l’accès à votre réseau et infecter l’ensemble de votre système d’information.

 

Nos sources: 

Cyberguerre par numérama: 250 milllions de données de Microsoft ont fuité : quelles conséquences ?

Lebigdata: Microsoft a oublié de sécuriser une base de 250 millions de données

Communiqué de Microsoft

L’article Baromètre des fuites de données par Lybero.net est apparu en premier sur Lybero.

]]>
https://www.lybero.net/barometre-des-fuites-de-donnees-par-lybero-net/feed/ 0