Comment garantir la confidentialité des données et la sécurité organisationnelle ?
Aujourd’hui, le 28 janvier, est célébré comme la Journée de la confidentialité des données (ou, dans l’Union européenne, la Journée de la protection des données) aux États-Unis, au Canada, en Israël et dans les 47 pays de l’UE où elle est célébrée.
La confidentialité, en particulier la confidentialité des données, est essentielle. De nombreuses constitutions nationales – en fait, plus de 150 d’entre elles – mentionnent le « droit à la vie privée ». Il est également mentionné dans la Déclaration universelle des droits de l’homme des Nations Unies et est protégé par la Convention européenne des droits de l’homme. Un certain nombre de réglementations sur la confidentialité ont été adoptées dans de nombreux pays, régions et États, notamment le règlement général sur la protection des données (RGPD) de l’UE et le California Consumer Privacy Act (CCPA).
L’objectif de la Journée de la protection des données est de sensibiliser les entreprises et les consommateurs à l’importance de protéger la confidentialité des utilisateurs et leurs informations personnelles. Son objectif est d’éduquer et d’encourager le développement d’outils permettant aux entreprises et aux consommateurs de mieux gérer et contrôler les informations personnelles des utilisateurs. Il vise également à favoriser une conformité accrue ou renforcée avec les lois et réglementations existantes en matière de confidentialité, telles que le RGPD et le CCPA. De nombreuses agences, ministères et conseils internationaux et nationaux, ainsi que des établissements d’enseignement et des consortiums industriels, reconnaissent la Journée de la protection des données comme une occasion de lancer ou de poursuivre des discussions sur la manière de mieux protéger la confidentialité des données des consommateurs et des utilisateurs.
Mise en pratique
L’un des moyens les plus populaires et les plus efficaces pour accroître la confidentialité des données des consommateurs et des utilisateurs, qu’elles soient au repos ou en transit, est le cryptage. Le cryptage des données des consommateurs et des utilisateurs ainsi que les méthodes de transmission de ces données sont essentiels pour préserver la confidentialité des informations personnelles identifiables.
Aujourd’hui, le cryptage est omniprésent. L’attention portée à la confidentialité des utilisateurs et des données a contribué à l’explosion du trafic crypté. En outre, de nombreux fournisseurs proposent désormais des certificats gratuits ou à faible coût dans le but d’améliorer la sécurité en ligne, ce qui profiterait aux utilisateurs, aux consommateurs et aux entreprises. En substance, ils essaient de crypter l’ensemble du Web ! Selon F5 Labs , 86 % des chargements de pages Web sont désormais cryptés avec SSL ou TLS. Le chiffrement AES (Advanced Encryption Standard) représente plus de 96 % du trafic Web chiffré actuel. Les réglementations et exigences en matière de confidentialité susmentionnées, telles que le RGPD, le CCPA et d’autres, favorisent l’adoption du cryptage, même si la plupart de ces réglementations et exigences n’imposent pas le cryptage des données personnelles et des utilisateurs. Cependant, de nombreuses organisations utiliseront le cryptage pour les données et les communications des utilisateurs afin de ne pas enfreindre ces mêmes réglementations et exigences.
Les inconvénients inévitables
Bien que le cryptage soit excellent pour garantir la confidentialité des utilisateurs et de leurs données, il existe en même temps un problème de cryptage, créant un sérieux casse-tête pour les utilisateurs et les entreprises : Les attaquants et les pirates informatiques aiment également utiliser le cryptage pour masquer les logiciels malveillants, les ransomwares et autres vecteurs d’attaque. Le cryptage crée malheureusement un angle mort en matière de sécurité.
Par exemple, les sites Web frauduleux utilisés dans les campagnes de phishing et de spearphishing utilisent de plus en plus le protocole HTTPS pour paraître authentiques afin d’inciter les utilisateurs peu méfiants à cliquer sur des liens infectés par des logiciels malveillants ou à insérer leur nom d’utilisateur et leur mot de passe dans des pages de connexion convaincantes mais fausses. Ils dupent même les utilisateurs qui ont accepté l’apparition du petit cadenas dans la barre d’adresse comme indiquant un site Web sûr et sécurisé. Selon F5 Labs , 72 % des sites de phishing utilisent désormais le cryptage. Mais, pour empirer les choses, non seulement les attaquants, les pirates informatiques et autres acteurs malveillants utilisent le cryptage pour masquer les menaces ; ils profitent également de la confidentialité que permet la cryptographie pour échapper à la détection des analyses post-mortem simplement en utilisant une campagne de menaces spécifique qui inclut des logiciels malveillants et des sites de phishing une seule fois par victime.
Le phishing est une attaque très difficile à combattre car elle exploite la psychologie humaine, l’ingénierie sociale et la désinformation. L’hameçonnage exploite la nature humaine et les émotions, telles que la peur. Cela est particulièrement vrai pendant la pandémie de coronavirus. Et les attaquants le savent et l’utilisent à leur avantage. F5 Labs a constaté que les nouveaux certificats HTTPS contenant les mots « covid » ou « corona » ont augmenté en même temps que les pics de cas de COVID-19. Même des sources de santé bien connues comme l’Organisation mondiale de la santé (OMS) et les États-Unis Les Centres pour le contrôle et la prévention des maladies (CDC) ont été et continuent d'être usurpés par des attaquants dans des campagnes de phishing ciblées qui tentent d'attirer les victimes vers des domaines malveillants et de télécharger des logiciels malveillants ou d'autres attaques malveillantes, ou de les inciter à saisir leurs informations d'identification d'utilisateur dans de fausses pages de connexion.
Ce que vous pouvez faire à ce sujet
Alors, comment une organisation peut-elle aujourd’hui défendre la confidentialité des données et des informations personnelles des utilisateurs et des consommateurs, tout en se protégeant contre diverses attaques et violations ?
Les organisations doivent utiliser une solution capable de décrypter à grande échelle l’assaut du trafic crypté requis quotidiennement pour le trafic entrant et sortant. Compte tenu du niveau actuel du trafic crypté, de la nécessité de garantir la confidentialité des données des utilisateurs et des consommateurs, ainsi que de la tâche de décryptage et de recryptage gourmande en calculs, exploiter une solution de sécurité existante pour assurer une double tâche afin d'assurer la sécurité et de décrypter et de recrypter le trafic est une mauvaise idée. Un dispositif de sécurité surchargé et surchargé peut simplement commencer à contourner le trafic crypté ou ne pas exécuter les tâches de sécurité pour lesquelles il a été déployé.
Pour garantir la confidentialité et la sécurité des données des utilisateurs et des consommateurs, et dans le but de ne pas empiéter sur les réglementations et exigences en matière de confidentialité, les organisations doivent utiliser une solution qui permet intelligemment au trafic des utilisateurs et des consommateurs qui est privé, comme les données financières ou de santé, de contourner le décryptage. Ce trafic ne devrait cependant pas bénéficier d’un laissez-passer gratuit, mais devrait être inspecté par un ensemble limité de solutions dans la pile de sécurité. Cependant, cela ne peut être réalisé que si les solutions de la pile de sécurité ne se trouvent pas dans une chaîne statique, mais sont autorisées à participer à des chaînes de services de sécurité dynamiques, en exploitant des politiques tenant compte du contexte pour acheminer le trafic chiffré entrant, une fois déchiffré, vers la chaîne de services de sécurité appropriée.
C'est ce qu'on appelle l'orchestration SSL et la description ci-dessus (espérons-le) illustre pourquoi elle est si nécessaire aujourd'hui, non seulement pour garantir la sécurité organisationnelle, mais également pour confirmer que les informations des utilisateurs et des consommateurs sont protégées et gardées privées.
Pour plus d'informations sur F5 SSL Orchestrator, veuillez cliquer ici .