Si la protection des données a été placée au cœur des préoccupations des entreprises par différentes règlementations, notamment le RGPD, elle a toujours besoin d’une sensibilisation et d’une culture associée. Ainsi, les organisations doivent déployer des méthodes afin de protéger leurs données face à des cybercriminels de plus en plus aguerris et dans des environnements numériques de plus en plus complexes.
Dans son plan stratégique 2025-2028, la CNIL, a présenté un bilan de ces trois dernières années en matière de violations de données. Ainsi, depuis 2022, la CNIL a recueilli plus de 14 000 notifications de violations de données. En plus de ce bilan, l’agence a réalisé un plan stratégique afin d’aider à la fois les individus et les organisations à protéger leurs actifs et leurs données. Avec, en moyenne, près de 13 compromissions de données par jour, les entreprises ne se demandent plus si elles vont être attaquées, mais quand. C’est pourquoi, en plus de solutions pour limiter l’introduction de cyber-criminels dans les réseaux d’entreprise, il convient également de mettre en place des mesures afin de réduire l’impact des intrusions. Pour ce faire, le chiffrement, qui permet de rendre inaccessibles les données sensibles, est essentiel.
Les cyber-criminels à la recherche de données
En 2024, 5 629 violations de données ont été notifiées à la CNIL, soit une augmentation de 20 % par rapport à l’année précédente. Dans la majorité des cas, les acteurs malveillants ont récupéré les informations des organisations grâce à des accès de connexion, par le vol d’identifiants de partenaires ou de collaborateurs légitimes, ou encore grâce à l’exploitation de failles dans les Systèmes d’Information.
Aussi, il arrive que les cyber-criminels mettent en place une stratégie de cyberattaques de type « Man-in-the-Middle » (MiTM). Dans ce type d’intrusion, l’acteur malveillant s’interpose secrètement entre deux interlocuteurs qui pensent communiquer directement entre eux. Ainsi, chaque information (données sensibles, identifiants ou messages) transite par lui et lui permet de les dérober. C’est pourquoi il convient de mettre en place des solutions de sécurité pour éviter de rendre les informations exploitables par les cyber-criminels.
Le chiffrement, une protection nécessaire
Le chiffrement des données a pour objectif de les rendre illisibles afin de les protéger. Seule une clé de déchiffrement permet aux utilisateurs autorisés de prendre connaissance du contenu. Pour être parfaitement efficace, le chiffrement doit être de bout en bout des données, afin de s’assurer qu’elles restent en permanence inaccessibles aux acteurs malveillants, particulièrement en cas de transfert de stockage ou de partage en dehors de l’entreprise comme dans le cloud par exemple.
Or, certaines entreprises peinent à mettre en place une solution de chiffrement car elles attribuent cette responsabilité à leurs fournisseurs d’applications ou de cloud. En effet, des applications comme WhatsApp ou Google Workspace disposent de leurs propres systèmes de chiffrement, souvent appliqué côté serveur (chiffrement at rest). Côté client, certaines applications créent des partenariats avec les éditeurs de cybersécurité pour également chiffrer les données, mais cela reste limité. Toutefois, déléguer cette tâche à des tiers signifie également leur confier les clés d’accès et finalement, le risque survient d’autant plus lorsque l’entreprise perd le contrôle sur les éléments qu’elle doit protéger, notamment lors des transferts de données. C’est pourquoi, conserver les clés de déchiffrement dans l’organisation est une nécessité afin d’avoir une totale visibilité sur l’accès aux informations, et ce particulièrement pour les données sensibles.
Les données sensibles, selon la définition de la CNIL « forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. » Ce type de données est particulièrement réglementé, dans le RGPD notamment. Ainsi, malgré la confiance induite par ses fournisseurs, il convient de maintenir une cyber-hygiène irréprochable afin de ne pas augmenter ses risques par les accès tiers. Il est donc nécessaire que les données sensibles ne soient jamais accessibles en clair aux serveurs de stockage.
Alors que la cybersécurité, et notamment le chiffrement, sont parfois sacrifiés pour une plus grande simplicité d’usage, comme il semble inconcevable de laisser sa porte d’entrée ouverte pour plus de praticité, il en est de même pour la sécurité des données. D’autant plus qu’avec des solutions simples et de bout en bout, il n’y a pourtant aucun problème d’interopérabilité, ni de difficultés d’usage pour les utilisateurs. En outre, cette technologie de protection n’est que le premier pas pour une sécurité à plus long terme qui, avec la menace pressante de l’informatique quantique, nécessitera d’autant plus de chiffrement.
L’informatique quantique : le futur des attaques et de la protection
Si l’informatique quantique n’en est qu’aux prémices de son histoire, cette révolution pourrait être à double tranchant, en étant utilisée à la fois par les équipes en charge de la sécurité, mais aussi par les acteurs malveillants. Aujourd’hui, certains cyber-criminels sont adeptes, d’après l'ANSSI, de méthodes d’attaques « store now, decrypt later », qui consiste à dérober et conserver des données sensibles chiffrées qui ont une durée de vie longue dans le but de les lire lorsque la technologie quantique le permettra, peut-être des années plus tard.
C’est pourquoi il convient pour les organisations encore récalcitrantes de se tourner vers un système de chiffrement simple et de bout en bout, à la fois afin de protéger leurs actifs sensibles dès à présent, sans prise de risque dans la transmission de données ; mais aussi pour préparer le futur de la cybersécurité. Lorsque les technologies quantiques et post-quantiques seront partout, il sera trop tard pour se protéger. Il est donc essentiel de penser au chiffrement et à la protection des données dès maintenant.
