Lybero https://www.lybero.net Vos données en sécurité Tue, 20 Apr 2021 13:52:10 +0000 fr-FR hourly 1 https://wordpress.org/?v=5.5.4 https://www.lybero.net/wp-content/uploads/2019/08/cropped-favicon-32x32.png Lybero https://www.lybero.net 32 32 Encryption, cloud and GDPR – Encryption Europe webinar of march 31, 2021. https://www.lybero.net/encryption-cloud-and-gdpr-encryption-europe-webinar-of-march-31-2021/ https://www.lybero.net/encryption-cloud-and-gdpr-encryption-europe-webinar-of-march-31-2021/#respond Tue, 20 Apr 2021 13:43:13 +0000 https://www.lybero.net/?p=3588 On the 31st of march 2021, Encryption Europe organized a webinar : « Encryption, cloud and GDPR – what is the recipe for survival ? ». This is the full transcription of the webinar. You may access the full video here : https://us02web.zoom.us/rec/share/uOyunqvaKz41CZxkBm3O7ob9ak8avbBESnSHRmYX5yqVei2PEeWRUFlYURdR41g-.9bJ3C9Wp2Z25TLBQ .The password is : T814u%^@ Encryption, cloud and GDPR – what is the recipe […]

L’article Encryption, cloud and GDPR – Encryption Europe webinar of march 31, 2021. est apparu en premier sur Lybero.

]]>
On the 31st of march 2021, Encryption Europe organized a webinar : « Encryption, cloud and GDPR – what is the recipe for survival ? ». This is the full transcription of the webinar. You may access the full video here : https://us02web.zoom.us/rec/share/uOyunqvaKz41CZxkBm3O7ob9ak8avbBESnSHRmYX5yqVei2PEeWRUFlYURdR41g-.9bJ3C9Wp2Z25TLBQ .The password is : T814u%^@

Encryption, cloud and GDPR – what is the recipe for survival ?
Webinar
March 31, 2021

  • Eric Bedell – Chief Privacy Office – Franklin Templeton
  • Xavier Lefevre – Founder& CEO – Fair & Smart
  • Christophe Buschmann – Commissioner – CNPD
  • Arnaud Laprévote – Founder & CEO – Lybero.net
  • Jean-Christophe Le Toquin – Encryption Europe

As a transcription of a live event, this is spoken language and we hope that the reader will excuse all faults and imprecisions.

Arnaud Laprévote – Lybero.net

Initially, encryption was considered a good practice to protect data. Then it was integrated in industrial norms and finally it is becoming a legal requirement. GDPR is a core law in this regard, but there are others such as Eidas, Eprivacy, NIS, …


If you look at the text of GDPR, encryption is directly quoted in article 32 and in article 34. Article 32 relates to the security of processing, and 34 to the communication of data breach.

Fair&Smart is directly related to GDPR, but at the same time, Fair&Smart is also a data processor. Xavier Lefevre is going to explain us why and how Fair&Smart needs to deal with encryption.

Xavier Lefevre – Fair&Smart

Good morning, everyone. Fair and Smart is a SaaS software provider and, our solutions are designed to take care of all the visible aspects of GDPR compliance for our customers. What do I call visible aspects? It’s the aspects of GDPR and compliance which imply an interaction with the end user. It’s what we call privacy UX. It’s mainly three things : consent and preference management, GDPR rights requests, management and personal data transfers or acquisition. So our solution is labeled privacy tech. I know certification are also mentioned in the government as market guide. And in Luxembourg and Belgium, they are distributed by LuxTrust which is our exclusive reseller.


Next slide, please. Why did we choose encryption and why did we implement encryption into our solutions?

First, it’s obvious that contents are personal data. And they must be treated and managed as such and a consent management platform must handle all use cases. One of the main objective of implementing a consent management platform is to build a single source of truth, which will enable the data controller to know, am I allowed on or not allowed to run such a process on this data for that person, etc.. It means that you must be able to handle all use cases, including the one which may imply special categories of personal data like health data, etc. It means that security measures, appropriate security measures must be implemented.

And since we incorporated Fair and Smart in 2016 and GDPR was already known, even if it only came into force in 2018, we knew it and privacy by design was already a set rule. So we tried to take it into account and implemented the best we could.

And last but not least, there’s a strong market trend towards privacy and encryption, broadly speaking. So at that time, we decided to implement encryption because it makes us different from our competitors.

And also we anticipated that the level of security requirements would only rise in the coming years. And what is important is whether encryption is necessary for you. If you want to implement encryption, it’s really difficult to implement it afterwards and end to end encryption in particular. So it was really important right at the beginning to have that in mind and to to take it into account.

We act as data processors for our customers, who are data controllers, and most of them are big companies with DPOs, Cisos, and security policies. So it was also important for us to really take into account this security policies that were already in place. No, please.

So what were our issues and what are the issues regarding content management, broadly speaking?

First of all, we have some functional requirements. It’s to secure, of course, consent procedures and isolate the data of one of our customers from the data of other controllers and have a traceability of access. End to end encryption helps us to do that. It also makes it impossible for us to access to the data. It means that as a data processor, we only store encrypted data. We have no access to the keys. This is why we obviously cannot access the data.

Encryption thus raises security and minimizes risk both for our customers, but also for us as a data processor. And since like any data processor, we of course subscribe to cyber insurance, being able to show that we really implemented state of the art security measures is a very important aspect.

But end to end encryption is pretty complicated. And we were not experts at that time. This is why we chose carefully our end to end encryption provider. And what was important for us was the ease of implementation of such encryption process and also, of course, the support of the team. And this is what we found in the expertise of Lybero.net.

And, of course, there are financial issues like any software providers, the cost of the implementation of encryption has to be affordable for us and don’t put us out of the market. And, this is probably what make us, make that choice. It’s that « end to end » encryption is affordable now. It is not expensive. So I mean, it might be difficult in the near future for any data controller to say that they did not implement encryption because it was too expensive, because this is not true. So this is also one of the reason why we said, well, let’s do it.

Arnaud Laprévote – Lybero.net

So Lybero.net partnered with Fair&Smart and provided them a technology of encryption for web applications. Lybero.net is a cryptographic web software editor.

Lybcrypt is the core libraries in CryptnDrive which is an end to end encrypted drive and data rooms server. So these are our core values : ergonomy, security, intellectual property, simplified management, control. In Encryption Europe, there are many software and cryptographic software editors, we are all basically working on these kind of constraints for our customers. It is just that we have different use cases and different functions and many kind of software.

So to to come back to a little encryption, you have basically two types of encryption, the symmetric one and the asymmetric one.

Symmetric encryption means that you have the same encryption key to crypt and decrypt your content. Asymmetric one means you have two keys, one to crypt which is the public key, and one to decrypt the private key of the user.

Most of the time, in fact, you are using mixed encryption. Your content will be encrypted with the symmetric key and you will use an asymmetric key to encrypt the content key. The reason why is that first it avoids data duplication, you encrypt your content only once with one key. And for each person that need to access its contents, you crypt only the key. It allows also to have a very fine grained access management on your content. And the third thing is that there is a performance issue. Asymmetric encryption is around 100 times slower than symmetric encryption. So when you need to encrypt megabytes of content or kilobytes or gigabytes, you need to have something which is a fairly speedy so that’s the reason why mixed encryption is so used.


If you look at the architecture for web application, you have something like that :
• storage
• application server, using whatever language you want,
• and most of the time you have a front end,
• then you have your Web browser that will be used to to access the application.


So if you look at the different threats, in fact, you have threats basically everywhere. Maybe if your attacker has access to the storage. Well, if it is not encrypted, you can access the data. If he can access to the application server, then he can grab the data, when they are going through or you can do the same thing on the front end.

Obviously, if you have an attack that is on the transmission channel between the server and the desktop. You can also grab the data or obviously on the desktop. So if you look at this schematic, what you see is that you have interest to encrypt as soon as possible because obviously you will lower the risk. If you crypt at the storage level, at the app server level or even at the front end level, you will have at least one problem, which is if an attacker has access to the platform, where’s the applications running? He can access the data. And it is also the case for the system administrator.

So really, I think that’s the key question you have to ask yourself when looking at a system : does a system administrator have access to the content? If the answer is no, OK, it’s good. If we answer is yes, then you have a problem, I think.

So what we do with end to end encryption is basically, for web application, you put the encryption directly in the web browser via the web browser before the content is sent to any server. So it doesn’t mean that you have no risk. It’s very obvious that if an attacker has access to your desktop, well, he has access to your data. So but what it does, he will only have access to your data and not the data to any of the other persons that are using the same application.

And here you have to take care of the integrity of basically all JavaScript libraries that you are using and sending to the web browser. The lybcrypt is just a library. And all cryptographic operations are done at the end, in the web browser on your desktop.


So encryption, it’s not so easy, but the real problem in such a system is the key management. And you have to be very careful on that, because the person or the persons that have the keys or that have access to the keys, can have access to your data. So what is especially touchy are the key distribution or creation and what does happen when there is a key loss. Well, when somebody loses its key, you have to do something.

The different criteria you have to look at are :
• is the key management local or centralized ?
• is it hardware or software solution ?
• Is it more something personal or is it more at the organizational levels ?
• and finally the different functions.

The first technical solution that you are seeing today is PKI. Meaning that you are going to centralize at least the public keys, and guaranty the integrity of the keys of each users via this centralized server. The second one is the web of trust. Each person is going to create the trust at his level and you are going to use this chain of trust to know that the key of somebody is a good one. What we use in Lybero.net is a web of trust, but associated with a centralized digital escrow.

Each content key is escrowed and when you need to release the key, you have a quorum based system which is highly secured and that allows to separate the authorization of access from the access and which guarantee that a single person as never the rights to access alone anything. If you need more details on quorum based escrow and threshold cryptography, please just contact me.


Let’s speak now of cloud architecture and encryption.

So what we see today commonly for cloud are architectures of this kind. So you have the storage on whatever cloud you wish, and it is encrypted. So it may be in a cloud provider at the same time, you need to have a key management server in one way or another. And the desktop will access these different elements on the application is going to run basically on the desktop, on your browser. But at the same time, you need to have processing. So the processing is a program that will run on a machine either in your IT system or on a secured cloud, but that needs to access the data.

As long as you don’t use homomorphic encryption (not really commercialy available), you need to decrypt the data to do the processing. So the key thing here is that to do the processing you need to decrypt the data and then you must be very cautious where you put that.

If you look at the nice white book on the cloud act of Hexatrust, you will see that the only companies that are not subject to the cloud act are the providers that are not established in the US and that have no links or whatever with the US. This has to be very carefully managed especially key management. The keys should be encrypted as soon as possible.


Jean-Christophe Le Toquin – Encryption Europe

Thank you. Now that we had the initial presentation on how Xavier and Arnaud, Lybero and Fair&Smart make the management of consent easy for the companies and secure, we are now going to listen to the perception or perspective from two people, from one professional who is Eric Bedel, CPO of Franklin Templeton, and from Christophe Buschmann commissioner at the privacy regulator of Luxembourg. And so, of course, we are not asking Eric and his staff to comment on the specific solution provided or delivered by anyone. But more on the other question of, why use encryption in the words of Christophe, when we prepared this meeting, he said the question is why not using encryption?

So first of all, I would like to head over to Eric Bedell. So Eric is a great example of an I.T. security professional who over his career broadened his scope and to become a DPO. I mean, frequently DPOs have a legal background and then it is a kind of natural extension to become DPO, which is still a very recent type of profession. And Eric is coming from the technical backgrounds and he has been awarded the title of DPO of the Year of Luxembourg last year. And one of the questions we will ask, is how much this has changed his life. But for the time being, Eric, what we would like to hear from you, I think, is because there are a number of DPOs with us today and privacy professionals. And so the question from your perspective is for you, how much encryption matters and and how do you make the decision to choose to support a solution which is encrypted or not? So what is the process and what are the benefits that you see in in selecting solutions which have a component which is encrypted? So really how it works in practical terms in your day to day work.

Eric Bedell – Franklin Templeton Investments

Good morning, everyone. So just quickly to answer to your question. It has changed a lot my life because now I’m talking with so many new people. My network has broadened a lot and I’m talking at many conferences. So that’s really what changed. I mean, my daily job has not really changed a lot with this title. But anyway, I’m really grateful to have received it, so thanks.

All right. So speaking quickly about the DPO role and expectations from a DPO, so what you have to do is really look at the risks. It’s all based on the risks. What it means is you need to use an impact analysis such as DPIA. You need to to do some sort of privacy by design reviews. You need to have records of your processing activities and you need to look at all the risks that are raising from that. You need to apply that to the scope of that you need to manage, that your company needs to manage in a way. So, for example, you do have some very sensitive information, some non sensitive information, but you need to link them compared to what you are doing with them. Like give you a concrete example. If you do have a list of emails from people participating into your marketing campaign, that’s not the same as dealing a list of email addresses of people participating into conferences around LGBT topics. Because the sensitivity is different about using the addresses for. So this is one part of the scope. The other part of the scope is really where your data is ? Is it internally in the company? In the cloud? Is it in the scope of your process or is it something that you do with an additional controller, for example? So you need to mind the scope and look at all the data and look at all the risks arising from those data in order to make sure that this is mitigated properly. You have different kind of tools that you could use. And this is really how the DPOs, most of us are doing it.

They consider encryption as being one of the tools that can be supplied to mitigate the risk arising from what I said before. So you do have, for example, the pseudonymization and you have the anonymization, but all of that are part of a complete set of tools that you can use. And again, depending on the risk, you may choose one or the other. I think encryption is really good because it is one, I would not say easy way, because I don’t know if it’s really easy for everyone and even more, as we said before, for DPOs coming from a legal background, it’s very technical, so it’s very difficult to understand. But as a tool in itself, it’s really good to think about it and say, OK, I do have a lot of risks to transfer that to a cloud platform and the only way for me is to use a very good tool. Again, cloud is quite good and it’s accessible everywhere, it’s very easy to use, but your data is in danger when it’s on the cloud. So then you need to think about, hey, what can I do to do it better? And maybe encryption is maybe the best way to mitigate that kind of risk using a cloud platform.

However, there are some discussions as well when you talk with the IT systems and the teams that yeah, OK, but if I am too much is going to be difficult to manage or my data is going to be difficult to manage, like it’s going to be difficult to back up some time. It’s going to be difficult to restore as well. It could be difficult to share with all the people that needs to get the view on the data so there are some some downside to it. So, again, I will just refer back to what I said at the beginning. You need to think about risk. What is the residual risk and how can you mitigated using the right tool? And encryption may be one of those tools. So that means you cannot or you don’t want to use it everywhere, but at the same time, you want to use it where it needs to be used and you really want to consider it.

Jean-Christophe Le Toquin – Encryption Europe

Thank you again. I would like a follow up question on this, which is the key message from from Arnaud, is that actually, the real issue is maybe not encryption versus not encryption, but rather do well the management of the keys. And and one thing we we also see are the benefits of the encryption and rather maybe from the encryption key management is the traceability of how people access or can access encrypted information. Is this something that plays a role in when you when you assess new solutions and you look at the integration of encryption into these solutions? I mean, how do you really I mean, put a focus or value the possibility to trace access of people to the data.

Eric Bedell – Franklin Templeton

So maybe to your first question, I mean, it’s really crucial when you and again, when you are a DPO, usually you are not looking at all the technical aspects that are related to encryption, like usually you have a CISO, or you have an I.T. team that knows about how to deal with it. But what is really important to say is the easiest it is to use, the better the tool will be used. You know, so if as a DPO you are advising the company to use an encryption, it needs to be easy to do. And again, if it’s on the cloud platform, if it’s software as a service or service as a cloud platform and so on, you want to make sure that this one is maybe already foreseeing encryption capabilities like it’s the privacy by design. So if you select a vendor or if you select a specific system, you want to make sure that this system is able to accommodate everything that is required by GDPR, including encryption or pseudonymization. So I think this is key to have a system that is working pretty well and easy to implement.

To the second question, the traceability is very important. So who is having access to my data is really central kind of discussions. Because of course that’s another part of the mitigation I was talking before. If the risk says, hey, this data cannot leave Europe, you need to make sure that data is not leaving Europe. And if you are a global company, it’s really difficult to understand who is having access to your data. Should there be someone, for example, maintaining the systems based in India or a system administrator that is based in India? Does he have access to your database or just to the system that is holding the database? And this is where encryption can be very useful for as well, because you are just sure by managing the keys properly that just the right people are having access. At least everything that has been declared or every people that has been declared are having access are really getting access to it and no more people are getting access to it. So that’s another way to use it.

Jean-Christophe Le Toquin – Encryption Europe

And that indeed, if people encrypt the data, but then you just have one sysadmin guy who has the one key that has access to everything and encrypt everything, then it’s not really super secure.

And that paves the way to Christophe, who is the commissioner, as I said, of the Luxembourg regulator. And again, a very interesting career with Christophe because you are coming from the technical background and you have been working for a global consulting company for many years. And then you actually switched to the other side. I mean, you spent a good deal of your career to help your clients navigate the fields. Now, you are now the commissioner that everybody now is terrified because you know everything from the inside. So how would you see the growing interest for encryption and do you see that I mean, we encrypt today differently from I mean, 10 years ago that one of the questions we have. And so when you see solutions I mean encryption. So how do you see it, especially in terms of compliance with the GDPR?

Christophe Buschmann – CNPD

Yeah, well, first of all, I don’t think it’s a question of two sides, so for all those who might be scared, I don’t think that there’s a justified reason because I don’t see this as a conflict between two sides, which needs to fight one another. And to get back to your question in regards of encryption. I would say, I take maybe a bit a broader view on the topic, because if I look at GDPR, which is my main topic, what is GDPR about ? GDPR It’s about governance. It’s about delivering on the promise, on giving people back control over their data on this promise. Obviously you can only deliver if on the other side, you know that the one who is in charge of this data has himself the control over the data. So GDPR, it’s about governance. It’s about risk management and how to handle data.

Now, this being said, if I look at encryption, I do see more advantages, and they have already been described, than just protecting confidentiality. I see it also and in a very important way also as a means as a preventive control on who has access to what and how can we make sure that this control is working effectively.

If you have a look at large organizations that are working on the day to day basis with huge amounts of data, with hundreds of processes and hundreds of services that they deliver every day. Now, one key challenge when it comes to managing governance at such an organization, it’s to be to control who is doing what with what and to be sure that they told you everything. Now, obviously, if you have, put encryption in place, not only as a measure to avoid a loss in confidentiality in case of a disaster, but also to be sure that only those who have a legitimate right to access data get the key to access this data. Then you have a huge advantage because your control is preventive. So you don’t have to chase people to find out what they are doing. But you can have this proactive role and make sure that that nothing happens, which should not happen. This is one one very important thing.

Now, if you look at a GDPR, I think Article 32 has been mentioned at the very beginning and encryption and also some other techniques have indeed been explicitly mentioned in GDPR. And GDPR is accountability based. So we should reason from the other side. So everybody should be in a position to be comfortable to explain why he did not consider those explicitly mentioned security measures in Article 32. I think that’s the more prudent approach. Now, you could say, well, I did not think of any reason why I should use it, but accountability is someone points you out specific techniques, at least think about why you could not do it. So that’s that’s one one key point I would like to make. And the other one is that GDPR, I mean, it’s a legal text. So it would not change, will not change every year, but it’s dynamic in its application, meaning that Article 32 explicitly states also that the level of measures that you put in place needs to take into account the state of art and the cost of implementation. And those two elements, they do change quite a lot. And as those two elements change, I think your assessment on what is appropriate needs to be adapted as well.

It has been mentioned, that the pure cost of implementing encryption, it’s not a valid excuse not to do it. I tend to agree now there has been an evolution on this as well over time. I would say ten years ago cost of encryption was different than today. So please don’t forget to take this dynamic into account when you do your assessment, because we as a regulator, obviously, we take them into account when we fix our level of expectation, when we do our investigation. So this being said, I think there’s not so much negative things you could say about encryption. However, I mean, in particular, if you have to deal with many problems and the technical ones are just some part of the problems you have to deal with on your daily daily basis. And I think Eric mentioned it, DPOs do have many, many other topics which are not technical of nature to deal with. Please keep in mind that encryption, it’s one part of the solution, but it’s not the ultimate solution which comes for free. And you say, well, today I encrypted everything in my organization and for the next five years, nothing bad can happen in my organization. No, I think it’s a good tool, as Eric mentioned, which can help you address some risks.

It comes with other risks, which is very often the case in risk management, that one mitigating measure creates other risks. In this case key management. It’s obviously the next step that you need to deal with to make sure that, first of all, the solution is effective. And secondly, it doesn’t create risks which you hadn’t in the first place. I would add at the third element, please don’t forget to make a surveillance of the security of the algorithms, of the technologies that you use. Because we know that by definition encryption, it’s working on a permanent strife on one against the other and who can break what at what point in time. So don’t miss the point in time where maybe you need to adapt. But that this being said, I think it’s definitely a technology which which adds a lot of value now.

And in the last sentence and I say this now in general terms, I mean, I was consulted before you mentioned it. And please be aware of the fact that new technology, it’s also always marketed and sometimes marketed, maybe a bit excessively aggressively in particular when it comes to passwords. And unfortunately, it’s very often the case for very technical topics that people would like to leverage on the fact that the one who could buy it, that doesn’t understand what the technology is below. If someone just tells you I sell you encryption, please sign here. And I would apply professional judgment because probably he did not do the due diligence to be able to claim that he effectively managed to encrypt the data.

Jean-Christophe Le Toquin – Encryption Europe

Thank you Christophe. That’s a very good point and actually, just for the people who don’t know exactly how we work out in Encryption Europe. In Encryption Europe, so in order to become a member, while you have to be a SME and provide service in this field. But there is a peer review and we ask to have also participation of the technical leaders of the companies. So I can tell you that it is difficult to assess even for ourselves, I mean, how much the solution is encrypted. But this peer review has a kind of a chilling effect on the applications. And I’ve seen a few companies that were wanting to apply and say, OK, good. I mean, we are going to just have to join. And then you will be assessed by your peers, and I tell you that sometimes I’ve never heard of people again. So it seems that the system works and also keeps us acting as a community.

One thing I would like you to hear from Arnaud and then from Eric, which is the point just before the one you mentioned on the buzzwords, which is indeed a reality. And people I have been talking about encryption is not enough. It is the the fact that on the positive side, we are in a dynamic situation, meaning the cost of implementing encryption gets down. Of course, you have to be careful of the way you manage keys, which is not really an issue in our case today with Fair&Smart, because this is just between Fair&Smart and Lybero. So that makes it very easy for the end users. But nevertheless, there is this issue of security, of algorithms and risk associated with algorithm being compromised. Arnaud how do you really deal with this ongoing threat and how do you mitigate it?

Arnaud Laprévote – Lybero.net

Well, that’s a hard question, but there are a few elements and first of all, well, you have different strategies concerning that. The base strategy is basically encryption algorithms were normalized. So you can rely on the normalization process. It was a competition. So if you consider symmetric encryption, for example, AES is a Belgian algorithm, but it was adopted as the standard for I think, US companies and especially banks and insurance after normalization by NIST. It’s also the case for RSA, ECDSA or ElGamal encryption algorithm was also normalized. So that’s a first strategy you can use. The second one is you can rely on efficient, high value research centers and researchers. So today, researchers are starting to use what is called formal techniques to evaluate the value of algorithms, especially the transmission of information on this kind of thing. So we benefited from that in our escrow system because it is based on formal research that were made on digital voting. So by Inria and CNRS. So that’s the second strategy, and after that, there is, I would say the standard monitoring of what is going on, peer review also test, external pen testing these kind of things that we do to ensure the quality of what we do.

Jean-Christophe Le Toquin – Encryption Europe

Thank you. I know there is a question on the chat and I’ll let you read it and ask for some clarification. I would like you to ask a question to Eric while others may also ask question, which is this dynamic evolution of encryption? And so you have a long I career in security. How do you see the importance of encryption growing for the work in cybersecurity? I mean, do you see that indeed much easier today than 15 years ago? You see, there is some kind of political momentum, so people really now are more interested. We had this massive adoption of end to end encrypted instant messaging applications in the past two years. So how do you see the evolution and the perception on encryption and how it is today implemented so compared to 20 years ago?

Eric Bedell – Franklin Templeton

Yeah, so maybe what I can say is that I’ve seen a huge shift into the solution offered by vendors and suppliers. So before you had to manage a solution yourself, like, say you had to take this solution and just decide if you want to encrypt it or not, like you had, for example, an Oracle database where your product was running on and you had to decide yourself if you wanted to encrypt this database or not, and what part of the database should be encrypted or not. This shifted a bit now to more packaged services if I can say. For example, you are taking a new human resources management tool, which is on the cloud, Saas platform. And then this one is offering encryption. I mean, that’s an additional price, of course, but it’s just like by default encrypted. Of course, it’s it is raising the questions of keys that we mentioned before. And I would not go back to that again and see who is having access to it and not. But I think you see more bundling up from the vendor side of the business. So I would say we see a greater adoption, even if I believe people are not fully aware that they are using encrypted methodologies.

I know, for example, that a lot of companies using WhatsApp and WhatsApp is by default encrypted, but they don’t know it. So I think if you think about it, companies are adopting encryption, but in a kind of manner at the end.

Jean-Christophe Le Toquin – Encryption Europe

And that makes me think about the question to Xavier, because Xavier you and your company, you are the one really engaging with the CISOs and DPOs. So you have to tell them, look, this is what I’m doing. This is how I’m helping to secure your data of your company. And this is why we use encryption. And you made the decision very early to implement encryption into your service. So did you and you have been I mean, providing your service company four years ago or even five years now. Did you see a change in the way people respond to the fact that you have implemented encryption into your service versus all the companies who did not? I mean, do you see this as a game changer now or more today than five years ago? What has been your your journey with the encryption?

Xavier Lefevre – Fair&Smart

Well, clearly, things are evolving. But there is, as far as I’ve seen, really a market trend, towards, more security, more privacy, and more encryption, at the end, because, again, encryption now is far more affordable than it used to be some years ago. So, of course, encryption is not the only security measure or the only security tool that has to be implemented. But, it is one of them and it is very efficient. So, as a data processor, we run processing activities on behalf of our customers. But, our customers need to demonstrate their compliance. They need to demonstrate that they take the appropriate security measures, et cetera. And we are here to help, and we have to make them feel confident, with the processing activities that we run for them. And this is the reason why, in my humble opinion, the highest level of security is better than the medium or lowest one, as long as you remain competitive on a financial point of view, this is it. And we’ve seen it. If you can choose between two equivalent services, one is secured and one is not, and they are both at the same price. You will definitely opt for the secured one.

Jean-Christophe Le Toquin – Encryption Europe

Thank you Xavier. We are getting close to the end. We’ll have an announcement for the next session next month. But before I do this, to conclude I think the question from wisdom would be a good fit for Eric. Why don’t we actually always choose for the most secure type of solution which has everything included. And that maybe a question you ask yourself every day. So what’s your take on this?

Eric Bedell – Franklin Templeton

So I would say first you need to think about the risk. And again, I am referring to that again, because it depends what you want to secure. If you want to secure the list of coffee vendor or coffee machine vendor, as you know, I don’t really know if it needs to be encrypted at the time because it’s just a loss of time and efforts and money at the end.

So if you do your risk assessment properly, you should put everything that is required to mitigate the risk to the places where it’s really meaningful to put the effort and money and value in. You want to protect what is really risky in your company and not protect the whole company.

And also, I must say that the perimeter of the company has really drastically changed in the recent years. You know, we have talked about cloud already, we have talked about outsourcing, controler, controler processing agreement, controler processor agreements. You know, this change a lot of things because the data that you want to secure is not just on your bases, it’s not just in your data storage. You also need to rely on some other people. We need to transfer data to some other people. So the perimeter has really changed. So it’s pretty important to think about it in a way : Hey, what is the most risky? Is it to have the data stored in a file cabinet or in a safe printed in the safe, or is it something that you want to transfer, like to the other side of the globe through five or six different processors? Well, maybe this is where you need to select exactly the state of the art security measures that you can. And GDPR’s like that. But there are many other regulations and laws that are saying the same. It’s based on the risk assessment. It’s all risk based. So as a DPO, you need to decide where to put the priorities. Of course, in the ideal world, we will be all protected for everything. But again, consider exactly what Christophe said before, when you put something to mitigate the risk, it comes with other risks very often. So that’s not as easy as that.

Jean-Christophe Le Toquin – Encryption Europe

Christophe, I would like to give you the last word, so because we are very lucky to have you and the regulator in this discussion. So I would like your conclusion on this. I mean, do you support echo what Eric says? And then I will. I will.

Christophe Buschmann – CNPD

I mean, it’s absolutely true. I mean, it’s at the end of the day about risk management and it’s about managing risks in the right way. Maybe just one element that I would like to add is that we should, I think, be conscious that there’s a huge difference between adding encryption on an existing process or infrastructure or organization or thinking about encryption since the start when setting up new processes. I think today, it is not acceptable that you don’t think about encryption for everything new that you set up that I honestly, I could not think about one single excuse. Why not to have a serious thought about this at that point in time now. When it comes obviously to making evolution of the existing landscape, the question is a bit more tricky. But and and I think the excuse not to encrypt it’s always present because to some extent it’s easier to find reasons why not to do something than to do it. And now I would like to stress out that if you stay for too long in such a position, you miss the moment where the benchmark over passed the level that you need to encrypt and you need to act in a hurry and you will have higher costs. Then if you take the opportunity now that maybe for some elements where it would not be strictly considered obligatory, you take the time that you still have to move. And I think that would be my recommendation if I could call it like this at this point in time for new things, please. It’s an obligation to have thought about it, but for existing things, don’t wait for too long. It will not necessarily be easy, but it would not be accepted in a couple of years and not to have a plan to move towards something equivalent.

Jean-Christophe Le Toquin – Encryption Europe

And thank you, thank you for this very strong and clear words, and it’s a perfect introduction to the next session, which will be on the 29th of April, same time also online. You can see the text on the Encryption Europe website. We will talk about legal interceptions of communications and the inextricable issue of back doors in encryption. And I think some people actually argue that, well, maybe it’s not such a great idea to implement encryption on existing and new services. And we will discuss this with Thimothée Rebours, who is the founder of SEALD, a member of our alliance. We have participants from EUROFIN and from the head of CIRCLE, the CERT of Security Made in Lu and its session will be moderated by Gregory from Encryption Europe, so my colleague. That’s will be in a month from now. And so we’ll discuss the other side. And that’s going to be quite an interesting session as well.
Thank you very much for this very rich session and thank you Arnaud and Xavier to introduce us to what you are doing. Big thank you to Eric and Christophe to having accepted to give your broader perspective as a CPO and the regulator. And I think this helps us really giving a very transparent and honest picture on the need of encryption in our solutions. So thank you for this and see you next month.

L’article Encryption, cloud and GDPR – Encryption Europe webinar of march 31, 2021. est apparu en premier sur Lybero.

]]>
https://www.lybero.net/encryption-cloud-and-gdpr-encryption-europe-webinar-of-march-31-2021/feed/ 0
Utilisateurs de CryptNDrive et fishing https://www.lybero.net/utilisateurs-de-cryptndrive-et-fishing/ https://www.lybero.net/utilisateurs-de-cryptndrive-et-fishing/#respond Tue, 02 Feb 2021 16:01:37 +0000 https://www.lybero.net/?p=3558 L’article Utilisateurs de CryptNDrive et fishing est apparu en premier sur Lybero.

]]>

Lybero.net commence à voir des tentatives de fishing à destination des utilisateurs de CryptnDrive. Nous en sommes si ce n’est heureux, du moins fier : cela signifie que notre service a du succès.

Typiquement, vous pouvez recevoir un message de ce type :

Dear arnaud.laprevote,
You have pending incoming emails that you are yet to receive.
Access to ([your.name@your.company]your.name@your.company) will be restricted until you confirm ownership.
Confirm account now
Note: Access to [arnaud.laprevote@lybero.net]arnaud.laprevote@lybero.net will be restricted within 48 (forty eight) working hours.
Regards
lybero.net support Team

Avec un lien sur « Confirm account now ». Ce message est professionnel, bien fait et trompeur. Lybero.net pourrait envoyer un message de ce type là.

La version courte

Vous avez un moyen simple de savoir que ce message est du fishing : mettez votre souris sur le lien sans cliquer, et regarder le lien, le lien ne peut-être que vers un site « Lybero.net » (typiquement drive.lybero.net, www.lybero.net, votredrive.lybero.net), ce ne sera jamais un site du genre : https://microsoft1245.s3.us-east.cloud-object-storage.appdomain.cloud/ ou https://lyb-app.google.cloud ou ….

Un peu de détail

Tous les lecteurs de mails qu’ils soient en ligne ou en application de bureau permettent de visualiser des messages rédigés en html. Tous les lecteurs permettent de savoir l’adresse vers laquelle un lien vous dirige. Prenons 2 exemples : Thunderbird et Outlook web.

Thunderbird


Quand vous mettez votre curseur sur un lien, dans la barre d’état de thunderbird en bas à gauche vous voyez l’url de la cible du lien.

Outlook web


Là encore, le simple fait de placer le curseur sur le lien conduit à l’affichage de la cible du lien en bas à gauche de la fenêtre.

A quoi être attentif

Ce qui est important est le début du lien, ce que l’on appelle le FQDN « fully qualified domain name », donc le nom de domaine, ici r.news.metztoday.fr ou microsoft1245.s3.us-east.cloud-object-storage.appdomain.cloud .

Tout mail provenant de Lybero.net aura un lien pointant vers quelque.chose.lybero.net .

Malheureusement, je me suis fait avoir, que dois-je faire maintenant ?

« Errare humanum est, sed persevare diabolicum est ». L’erreur est humaine, mais persévérer dans l’erreur est diabolique.

  • Informez-nous immédiatement. Envoyez un mail à support@lybero.net. Nous pouvons bloquer un compte et le rétablir ensuite quand les choses se sont éclaircies.
  • Si vous avez pris l’habitude d’utiliser des mots de passe différents entre différents sites, alors vous pouvez passer à la suite. Sinon, malheureusement, il vous faut changer immédiatement tous les mots de passe sur les sites utilisant ce mot de passe ou des dérivés de ce mot de passe. En effet, les attaquants ont des bases de mot de passe et ne se privent pas d’essayer les mots de passe sur les sites les plus communs ainsi que les variations les plus communes.
  • Dans les cas les plus graves, un dépôt de plainte peut être fait ou une main courante. Aujourd’hui, vous pouvez faire une pré-plainte en ligne, vous aurez ensuite un rendez-vous pour confirmer votre plainte

Comme toujours vous trouverez d’excellents conseils et de précieuses explications sur les sites de référence que sont ceux de la CNIL (par exemple cette page sur le sujet) et de Cybermalveillance.gouv.fr (par exemple ici).

L’article Utilisateurs de CryptNDrive et fishing est apparu en premier sur Lybero.

]]>
https://www.lybero.net/utilisateurs-de-cryptndrive-et-fishing/feed/ 0
Le chiffrement de données expliqué simplement https://www.lybero.net/chiffrement-donnees-pour-debutants/ https://www.lybero.net/chiffrement-donnees-pour-debutants/#respond Tue, 29 Sep 2020 09:01:15 +0000 https://www.lybero.net/?p=3406 Cet automne nous nous sommes lancés un défi . Démystifier le chiffrement des données et vous prouver que tout le monde peut comprendre ce que c’est et surtout à quoi ça sert ! Aujourd’hui, Alexandre, développeur chez Lybero.net, explique le niveau 1 du chiffrement. Le chiffrement expliqué à mamie Ma grand-mère, même si elle est cool […]

L’article Le chiffrement de données expliqué simplement est apparu en premier sur Lybero.

]]>
Le chiffrement des données expliqué simplement

Cet automne nous nous sommes lancés un défi . Démystifier le chiffrement des données et vous prouver que tout le monde peut comprendre ce que c’est et surtout à quoi ça sert !

Aujourd’hui, Alexandre, développeur chez Lybero.net, explique le niveau 1 du chiffrement.

Le chiffrement expliqué à mamie

Ma grand-mère, même si elle est cool et branchée (pour une grand-mère évidemment, PNL et League Of Legends, c’est loin pour elle), n’a jamais rien compris à mon travail, développer des applications, pour elle, c’est sombre, un sombre très opaque. Déjà l’informatique ce n’est pas son truc à mamie, elle envoie bien un mail de temps à autres (oui, celui avec un Powerpoint de chats) et elle se connecte à Facebook pour son club de scrabble. Elle utilise l’outil mais ne cherche pas du tout à comprendre. Et c’est bien normal, elle utilise sa voiture tous les jours ou presque sans savoir comment fonctionne un moteur ou un arbre à cames, pourquoi n’en irait-il pas de même avec son ordinateur ?

Quelle ne fût pas ma surprise quand un jour elle m’écrit ce message : « Dis-moi, tonton Jean-René m’a dit qu’il fallait que je chiffre mes données, que c’était important, mais je ne comprends pas ».

Et là, c’est le drame, la galère… comment vais-je faire comprendre à mamie comment fonctionne le chiffrement et pourquoi ça devient de plus en plus indispensable… Je vous mets donc un extrait de la conversation.

Chiffrer ses données  pour protéger des informations

«  Alors, le chiffrement mamie, c’est rendre illisible quelque chose et le rendre lisible seulement à toi, ou à celui à qui tu donnes ce droit. Prends ta maison, tu ne veux pas que n’importe qui rentre chez toi et sache tout ce qu’il y a dedans ? Imagine si tout le monde avait une vue de ta collection de posters de Claude François ? »
«  Ha non, on ne touche pas à ma collection de posters de Claude !»
«  Et qu’est-ce que tu as fait pour empêcher les gens de rentrer ? »
«  J’ai fermé la porte »
«  Oui, mais si tu ne fais que fermer la porte, tous les gens qui connaissent les portes (et ils sont plutôt nombreux), pourront rentrer quand même, qu’est-ce qui empêche les gens de rentrer, mais qui fait que toi et papy peuvent rentrer ? »
«  Mais bien sûr ! Le verrou ?! »
«  Oui c’est ça, c’est le verrou. Toi et papy avez la clef, ça vous permet de rentrer chez vous, mais tous ceux qui n’ont pas la clef ne peuvent pas rentrer. Hé bien figure toi, que chiffrer des données c’est pareil, on « verrouille » les fichiers, on fait une sorte de gros mélange pour que personne ne puisse voir ton powerpoint de chats, mais si tu as la clef, tu peux voir ce qu’il y a à l’intérieur.  Mais en vrai c’est un petit peu plus compliqué que ça.
Imagine qu’en fait, tes photos de chats, c’est une succession ininterrompue de chiffres ou de lettres et quand l’ordinateur voit cette suite, il est capable de dire OK, c’est une image, et je peux traduire ça par cette image. Et bien le chiffrement, ça va consister à mélanger toutes les lettres et les chiffres, les changer, pour qu’aucun ordinateur ne puisse se dire que c’est une image et l’afficher ».

Le chiffrement, une histoire aussi vieille que l’antiquité…

«  Mais comment c’est possible ça ? »
« Et bien prends les armées romaines, pour se faire passer des messages entre généraux sans que les espions ennemis puissent connaître le contenu de leurs échanges, ils utilisaient le chiffrement de César. Ça consiste à intervertir des lettres avec un décalage de l’alphabet décidé que seuls les généraux connaissaient. C’est la première méthode de chiffrement utilisée à grande échelle.»
«  Houla ! C’est bien compliqué tout ça »
«  Mais non, prends l’exemple du mot BONJOUR. Ensuite prends l’alphabet ABCDEFGHIJKLMNOPQRSTUVWXYZ. Maintenant, pour rendre le message illisible au premier coup d’œil, on va dire que pour chaque lettre que tu veux utiliser, tu vas en fait utiliser la suivante dans l’alphabet. Le B va devenir quelle lettre ? »
«  Le B va devenir un C ? »
«  Bravo mamie, le B devient un C, le O un P, etc… vas y, fait tout le mot. »
«  CPOKPVS »
«  Bravo encore mamie, tu vas bientôt devenir une experte du chiffrement ! »
« Ne te moque pas ! »
«  Je ne me moque pas, ou juste un peu, mais tu as compris le principe du chiffrement, si tu utilises CPOKPVS dans un email et que tu m’a dit avant : «  on dit qu’on décale d’ une lettre vers la droite » je saurais déchiffrer ton message par ce que tu m’as donné la « clef ». Parce que chiffrer un message c’est bien, mais il faut le déchiffrer ensuite, on ne veut pas rendre illisible à tout le monde, juste à ceux qui n’ont pas le « droit » de voir. »
«  Ha oui, c’est tout de suite plus compréhensible.»
«  T’as vu comme il est fort ton petit fils ! Pour être précis, je reprends l’image de ta maison. Aujourd’hui tu verrouilles et déverrouilles ta maison avec la même clef, papy et toi avez en quelque sorte la même clef, en tous cas, la même forme de clef. Cette même forme de clef vous permet de verrouiller ou déverrouiller la maison. Et ça en informatique, on appelle ça le chiffrement symétrique. Il y a symétrie de clef qui permet de chiffrer et déchiffrer. Par exemple, tu peux verrouiller un document Excel, Word, un Zip avec un clef unique qui sert dans les deux sens. »
« Mais pourquoi il faut faire tout ça ? C’est très compliqué pour rien ! »

Le chiffrement des données, encore et toujours d’actualité

« Ne pense pas ça mamie, aujourd’hui, la plupart des services important sont dématérialisés, c’est à dire que pour demander une carte d’électeur, pour voir tes comptes, pour faire des virements, pour payer tes impôts, pour souscrire à une assurance, tout se fait par internet. Donc sur ton ordinateur, tu as tous tes contrats, tes relevés de banque, je suis certain que tu as même une copie de ta carte d’identité. Avec tout ça, quelqu’un qui sait ce qu’il fait, il peut souscrire un prêt à ta place par exemple. Et tu ne le sauras que quand il sera trop tard. Et imagine tonton Jean-René avec son entreprise comptable, imagine si quelqu’un volait toutes les informations sur ses clients ? »
« Tu vois, je pense souvent à papy quand il avait son troupeau de vaches, petit, il devait faire attention aux loups, et il avait toujours des chiens avec lui pour protéger son troupeau. Il protégeait le matériel de son travail qui lui permettait de manger. Aujourd’hui, dans notre monde moderne, on travaille beaucoup avec des données, avec de l’information, c’est ça qui fait manger les gens, le travail sur l’information. Pourquoi on ne protègerait pas notre outil de travail ? Surtout que les loups à l’époque de papy ils étaient rares, mais ce qu’on appelle les pirates, ceux qui volent l’information, ils sont nombreux et ils n’ont pas besoin de bouger de chez eux, c’est beaucoup plus facile. »
« Mais ça fait peur ton histoire »
« Non, ça ne fait pas peur quand tu utilises les bons outils et notamment le chiffrement »
« Ha je comprends ce que m’a dit tonton Jean-René maintenant ! Mais il m’a parlé de pas symétrique ou quelque chose comme ça. »
« Alors, il a dû te parler de chiffrement asymétrique, mais je pense qu’on a déjà notre compte pour la journée, on parlera de la suite un peu plus tard. »
« D’accord, merci mon petit-fils ! »
« De rien mamie. »

 RDV dans un mois pour connaitre la suite de notre discussion avec notre mamie et passez au niveau 2 !

L’article Le chiffrement de données expliqué simplement est apparu en premier sur Lybero.

]]>
https://www.lybero.net/chiffrement-donnees-pour-debutants/feed/ 0
Partage de fichiers en ligne sécurisé: les nouveautés CryptnDrive https://www.lybero.net/partage-fichiers-en-ligne-securise/ https://www.lybero.net/partage-fichiers-en-ligne-securise/#respond Fri, 18 Sep 2020 13:26:14 +0000 https://www.lybero.net/?p=3390 Partage de fichiers en ligne sécurisé: Lybero.net lance la nouvelle version de sa solution CryptnDrive ! La nouveauté de cette rentrée ? La toute dernière version de CryptnDrive notre solution de partage de fichiers en ligne sécurisé. Toute notre équipe technique a travaillé pendant le confinement pour mettre en ligne cette nouvelle version avec de […]

L’article Partage de fichiers en ligne sécurisé: les nouveautés CryptnDrive est apparu en premier sur Lybero.

]]>
nouvelles fonctionnalités de partage sécurisé CryptnDrive

nouvelles fonctionnalités de partage sécurisé CryptnDrive

Partage de fichiers en ligne sécurisé: Lybero.net lance la nouvelle version de sa solution CryptnDrive !

La nouveauté de cette rentrée ? La toute dernière version de CryptnDrive notre solution de partage de fichiers en ligne sécurisé.

Toute notre équipe technique a travaillé pendant le confinement pour mettre en ligne cette nouvelle version avec de nombreuses nouvelles fonctionnalités. Les points forts de cette mise à jour concernent essentiellement la sécurité et l’ergonomie de la solution afin d’offrir la meilleure expérience utilisateur possible .

Les nouvelles fonctionnalités de Cryptndrive :

Afin de faciliter l’utilisation de CryptnDrive par le plus grand nombre, nous avons travaillé sur l’ergonomie et la vitesse de chargement de la solution.

  • Amélioration de l’interface: l’interface a été repensée et simplifiée au maximum . Il est maintenant possible d’accéder à toutes les fonctionnalités d’un seul clic , de changer la vue et le type d’affichage .

 

  • La vitesse de chargement a aussi été optimisée favorisant ainsi la productivité . Le chargement des coffres, des fichiers  est maintenant  plus rapide et privilégie la productivité et la continuité d’activité des entreprises. Plus de temps perdu à attendre !

 

  • Mise en place de la multi sélection permettant de gagner du temps pour l’utilisateur. Toujours dans une optique de productivité, les utilisateurs peuvent maintenant déplacer, supprimer télécharger plusieurs fichiers  ou coffres rapidement et simplement !

 

Et toujours le plus haut niveau de sécurité  grâce à la cryptographie web  :

  • Chiffrement de bout en bout
  • 3 niveaux de chiffrement
  • Contrôle de recouvrement d’accès via le séquestre numérique à quorum ( brevet INRIA/CNRS)

Les fonctionnalités premium dédiées aux entreprises:

De nouvelles fonctionnalités premium ont aussi été spécifiquement développées pour les entreprises dans un souci de productivité, d’efficacité et de sécurité!

  • Mise en place de la double authentification : il est maintenant possible d’ajouter un téléphone à votre compte Cryptndrive et ainsi renforcer la sécurité et l’accès à vos données

 

  • Outil de provisioning de coffres: un outil spécialement conçu pour faciliter la vie des entreprises :  créer tous vos coffres à partir d’un simple fichier: simplicité, efficacité et rapidité ! 

Profitez de notre offre de lancement: testez le partage de fichiers en ligne gratuitement!

A l’occasion de ce lancement ,il est possible de tester gratuitement la nouvelle version de Cryptndrive !

Je profite de l’offre gratuite !

Aucun enregistrement de carte de crédit n’est nécessaire; Il suffit simplement de rentrer une adresse email et un mot de passe !

 

Si vous souhaitez mettre en place une instance dédiée à votre entreprise , n’hésitez pas à nous contacter, nous la mettons en place dans les 24h ! *

Installation d'une instance entreprise Crypndrive gratuitement

* Sous réserve de la communication de l’ensemble des informations nécessaires à Lybero.net pour créer une instance  au nom de l’entreprise demandée

L’article Partage de fichiers en ligne sécurisé: les nouveautés CryptnDrive est apparu en premier sur Lybero.

]]>
https://www.lybero.net/partage-fichiers-en-ligne-securise/feed/ 0
Chiffrement de bout en bout, qu’en est-il vraiment? https://www.lybero.net/chiffrement-de-bout-en-bout-quen-est-il-vraiment/ https://www.lybero.net/chiffrement-de-bout-en-bout-quen-est-il-vraiment/#respond Fri, 24 Jul 2020 10:09:45 +0000 https://www.lybero.net/?p=3351 Le chiffrement de bout en bout, tout le monde en parle et tout le monde en fait … Nombreuses sont les solutions de partage vous garantissant la sécurité des données et se targuant d’utiliser le chiffrement de bout en bout , ce qui n’est pas tout à fait vrai … Chez Lybero.net, le chiffrement de […]

L’article Chiffrement de bout en bout, qu’en est-il vraiment? est apparu en premier sur Lybero.

]]>
Le chiffrement de bout en bout, tout le monde en parle et tout le monde en fait … Nombreuses sont les solutions de partage vous garantissant la sécurité des données et se targuant d’utiliser le chiffrement de bout en bout , ce qui n’est pas tout à fait vrai … Chez Lybero.net, le chiffrement de bout en bout ça nous connait et nous avons décidé de clarifier un peu cette notion afin de vous aider à démêler le vrai du faux !

Le monde de l’informatique (l’IT) est une jungle. Que vous soyez un utilisateur pur et dur ou bien un vieux de la vieille, c’est la même chose. Vous pouvez avoir des offres mirifiques qui apparaissent telles des comètes, certaines de ces comètes se transforment en soleil, d’autres ne font que passer. Et il est très difficile de s’y retrouver et d’anticiper. En particulier, les investissements que vous faites sont-ils ou non pérennes ? Les décideurs n’ont pas un boulot facile.

Un des inconvénients du monde informatique est aussi que dans ce monde, il n’y a pas que des techniciens. Et donc, il arrive que l’on ait des discours sur des produits qui soient très déconnectés des réalités techniques.

 Chiffrement de bout en bout : si tout le monde le propose: tout est bien qui finit bien ?

Si vous lisez les offres sur les services ou les logiciels de partage de fichiers, vous pouvez être certains (sûrs ?) que l’adjectif SÛR va apparaître. « Notre service est sûr ! Il respecte le RGPD ! … ». D’abord tous les services sont chiffrés. Tous ! Il n’y a pas d’exception. Truc Drive ? chiffré. XXXXbox ? Chiffré…. CryptnDrive (notre logiciel) est lui aussi chiffré. Tout le monde est chiffré, c’est génial.

En fait, non, ce n’est pas génial. Dans certain cas, le chiffrement est là pour vous protéger, dans d’autres il est là pour protéger celui qui offre le service des utilisateurs et aussi en partie son propre personnel. Ce n’est pas le même chiffrement !

Si vous regardez l’architecture d’un système de partage de fichiers, vous allez avoir quelque chose qui ressemble à cela:

Chiffrement de bout en bout : schema architecture de solution de partage de fichiers

Schéma représentant l’architecture d’une solution de partage de fichiers via le web

Pour tout ce qui est partage de fichiers, le web s’est imposé comme la solution universelle. Donc au minimum, les utilisateurs peuvent déposer / récupérer les fichiers via un navigateur web.

Dans les applications modernes, vous avez une partie de l’application qui est déportée dans le navigateur (ce que j’ai représenté par les 2 briques Angular ou React dans le navigateur) et même une partie de stockage tampon. Le navigateur va alors communiquer avec le site web via internet.

La première raison pour laquelle tout le monde est chiffré, est que cette liaison (notée internet sur le schéma) est aujourd’hui chiffrée de manière systématique. Les navigateurs sont proches du moment où ils refuseront de se connecter à un site sans chiffrement. C’est un premier niveau de chiffrement : le chiffrement de canal.

Ensuite, dans de nombreux systèmes, une fois le fichier arrivé sur le serveur, il est traité par un serveur d’applications et stocké. D’une manière ou d’une autre, le fichier stocké est chiffré. Ce peut être un mécanisme natif d’une base de données, ce peut être applicatif et donc c’est une clé de chiffrement au niveau de l’application qui est utilisée. Ces mécanismes ont plusieurs utilités :

  • ils permettent de garantir qu’un accès physique au support ne conduira pas à une compromission des données,
  • dans l’organisation, cela permet d’avoir des rôles séparés. Typiquement, on peut trouver des mécanismes où l’administrateur système n’a pas accès aux contenus directement, mais doit passer par un administrateur de contenus. Ce type de mécanisme de séparation de responsabilité est très pratique et permet de réduire l’exposition à des attaques internes,
  • si des clés différentes sont utilisées pour les différents contenus ou les différents utilisateurs, cela permet d’isoler les utilisateurs les uns des autres.

Il m’est arrivé de lire que certaines organisations appelaient cela du chiffrement de bout en bout. Vous chiffrez le canal et après vous chiffrez le contenu ! Non, ce sont des étapes successives de chiffrement avec des moments où le fichier est disponible sur un ou plusieurs serveurs de l’organisation sans aucun chiffrement.

 Ce n’est pas du chiffrement bout en bout.

La pierre de touche fonctionnelle pour savoir s’il y a chiffrement de bout en bout c’est : y a-t-il un administrateur dans l’organisation qui a potentiellement accès aux fichiers ? Si la réponse est oui, ce n’est pas du chiffrement de bout en bout.

La définition simple et facile de Lybero.net

Maintenant, parlons de ce qu’est le chiffrement de bout en bout. Si votre fichier est chiffré au moment où il est téléchargé et que seules les personnes à qui un accès explicite a été donné peuvent y accéder, alors c’est un chiffrement de bout en bout. Cela peut être fait ou avec un programme intégrant ces fonctions (pgp, gpg, whatsapp sur mobile, …) ou bien en javascript à l’intérieur d’une page web. C’est ce que nous faisons dans CryptnDrive. De cet manière l’administrateur système n’a à aucun moment la possibilité accèder aux contenus. Le chiffrement de bout en bout joue donc un rôle important dans la protection contre les menaces internes et la fuite de données.

La question de l’accès des administrateurs aux contenus gérés est en train de devenir une question importante. Il y a toute une catégorie de logiciels dédiés à la gestion des comptes à privilèges qui est apparue. Ces logiciels permettent la gestion des accès et l’enregistrement des opérations pour pouvoir faire des vérifications ultérieures. Cependant aussi intéressant que soient ces logiciels, si une information importante a fuité à cause d’un administrateur système, elle a fuité. Être capable d’identifier la source de la fuite est intéressant et rassurant, mais malheureusement c’est trop tard. Donc la meilleure manière de faire cela est que l’administrateur système n’est pas accès du tout aux contenus. D’où l’intérêt du chiffrement de bout en bout.

L’article Chiffrement de bout en bout, qu’en est-il vraiment? est apparu en premier sur Lybero.

]]>
https://www.lybero.net/chiffrement-de-bout-en-bout-quen-est-il-vraiment/feed/ 0
French IoT du Groupe La Poste: une récompense pour Lybero.net https://www.lybero.net/french-iot-du-groupe-la-poste-une-recompense-pour-lybero-net/ https://www.lybero.net/french-iot-du-groupe-la-poste-une-recompense-pour-lybero-net/#respond Tue, 21 Jul 2020 13:40:46 +0000 https://www.lybero.net/?p=3327 Concours French IoT: C’est avec grand plaisir que toute l’équipe de Lybero.net communique sur sa sélection en tant que lauréat du concours La Poste French IoT – communauté Start Up ! Après avoir candidaté pour la première fois au concours du Groupe La poste French Iot , Lybero.net fait partie des lauréats du concours catégorie […]

L’article French IoT du Groupe La Poste: une récompense pour Lybero.net est apparu en premier sur Lybero.

]]>
Concours French IoT: C’est avec grand plaisir que toute l’équipe de Lybero.net communique sur sa sélection en tant que lauréat du concours La Poste French IoT – communauté Start Up !

Après avoir candidaté pour la première fois au concours du Groupe La poste French Iot , Lybero.net fait partie des lauréats du concours catégorie Communauté Start Up de la section Deep Tech !

Cette année, le programme d’Open Innovation French IoT, du groupe La Poste, récompense les services connectés ET engagés. En 2020,  La Poste intègre dans son concours les 4 grands défis de nos sociétés tels que: l’impact environnemental, la confiance dans le numérique, l’entrepreneuriat au féminin et l’enjeu des territoires à l’ère du numérique. Enfin un concours pour une innovation connectée et engagée !

Chez  Lybero.net, la protection de vos données et leur confidentialité est notre priorité !  Nous nous engageons à les protéger et à vous garantir le plus haut niveau de sécurité dans vos échanges.

Afin de rendre nos outils accessibles à tous, nous misons sur une simplicité d’utilisation et un chiffrement accessible à tous . Nous travaillons tous les jours à renforcer la sécurisation de vos données de manière éthique en prenons en compte le respect de votre vie privée .  C’est donc tout naturellement que nous  avons participé à ce challenge correspondant en tout point à nos valeurs !

Notre sélection au sein de ce concours de services connectés et engagés , nous renforce dans notre volonté de continuer à protéger vos données, les garder privées et faciliter l’accès aux technologies de chiffrement au plus grand nombre !

La protection des données est devenue un enjeu majeur et doit être accessible à tous que l’on soit un particulier, une TPE , une start up ou un grand groupe. Lybero.net a l’ambition de continuer à développer des solutions de partage de données par la cryptographie web en renforçant la sécurité des échanges de manière simple à utiliser et à déployer pour les entreprises !

L’article French IoT du Groupe La Poste: une récompense pour Lybero.net est apparu en premier sur Lybero.

]]>
https://www.lybero.net/french-iot-du-groupe-la-poste-une-recompense-pour-lybero-net/feed/ 0
Chiffrement des données : les bonnes pratiques https://www.lybero.net/chiffrement-des-donnees-les-bonnes-pratiques/ https://www.lybero.net/chiffrement-des-donnees-les-bonnes-pratiques/#respond Thu, 25 Jun 2020 09:46:16 +0000 https://www.lybero.net/?p=3290 Le chiffrement des données est aujourd’hui un élément essentiel pour les entreprises  afin de protéger ses données et se prémunir contre les fuites et vol de données . Le chiffrement reste toutefois un terme obscur pour les non-initiés et il parait  nécessaire d’arriver à le démocratiser  tout en expliquant en quoi il permet de protéger […]

L’article Chiffrement des données : les bonnes pratiques est apparu en premier sur Lybero.

]]>
Le chiffrement des données est aujourd’hui un élément essentiel pour les entreprises  afin de protéger ses données et se prémunir contre les fuites et vol de données . Le chiffrement reste toutefois un terme obscur pour les non-initiés et il parait  nécessaire d’arriver à le démocratiser  tout en expliquant en quoi il permet de protéger les entreprises .

Retrouvez dans la suite de cet article les bonnes pratiques pour mettre en place sereinement le chiffrement dans votre organisation .

Faut-il tout chiffrer ?

Commençons par le début. La première question à se poser est : qu’est-ce que l’on chiffre ? plus précisément quelles informations voulez-vous chiffrer ? Toutes les données utilisées par vos collaborateurs et vous doivent-elles nécessairement être chiffrées ?

Bien sûr ,vous pouvez décider de chiffrer toutes vos données , de partout . Cependant cela peut rendre la mise en place et la gestion du chiffrement au sein de votre entreprise difficile.

Le deuxième problème à vouloir tout chiffrer se trouvera du côté des utilisateurs. Si les outils de chiffrement mis en place deviennent trop compliqués et trop contraignant à utiliser, le risque qu’ils s’en détournent et commencent à utiliser d’autres outils dont la sécurité est moindre devient de plus en plus élevé .

La sécurité de votre entreprise sera alors mise à rude épreuve et tous vos efforts pour sécuriser vos données tomberont à l’eau . La vertu est un pic comme dit André Comte-Sponville, pas assez de sécurité, est dangereux pour l’entreprise, trop de sécurité peut rendre la vie des utilisateurs complexe, ce qui les conduit à rejeter les pratiques qui reposent d’abord sur eux. Il faut donc trouver un équilibre entre ergonomie et sécurité.

  Notre conseil : chiffrons bien, chiffrons ciblé !

Vous l’aurez compris, avant de mettre en place un outil de chiffrement au sein de votre organisation, il vous faudra donc  déterminer quelles informations doivent être chiffrées.

Pour ce faire, il est nécessaire de distinguer les données à caractère personnelle dites sensibles, pour lesquelles la réglementation impose une protection avec le plus haut niveau de sécurité, des données propres à votre organisation qui peuvent être confidentielles.

Concernant les données à caractères  personnelles et sensibles, la CNIL définissait de manière claire et précise les données personnelles sensibles au sens de la loi Informatique et Libertés. Cette classification peut être utilement reprise vis à vis du Réglement Général de Protection des Données (RGPD). Nous vous invitons à consulter le site la CNIL afin d’obtenir plus d’informations sur celles-ci.

Ce tableau de  la CNIL ,dans une de ses publication en 2015 , peut déjà vous aiguiller sur les données à protéger:

Source: CNIL – PIA l’outillage: étude d’impact sur la vie privée, modèles et base de connaissances, juin 2015 – pdf

Concernant les données produites et traitées par votre entreprise , leur caractère confidentiel doit être déterminé. Chaque secteur d’activité et chaque organisation étant différente , il n’existe pas de règle préétablie afin de déterminer le caractère sensible d’une donnée.

En fonction de votre activité cela peut être : des données RH, des données relatives à votre recherche et développement ,des données stratégiques , des données d’ordre financier ….

Une technique serait d’identifier quelles données a de valeur ? En d’autres termes, quelles données un hacker vous volerait-il dans le but de les revendre?

Notre conseil: catégoriser vos données d’une part par rapport à leur sensibilité et d’autre part par rapport à leur valeur . Identifiez bien les données dites sensibles conformément à la réglementation que vous traitées.

Le chiffrement pour protéger de la menace interne

Il est important de noter que la menace ne vient pas forcément de l’extérieur , elle peut venir aussi de l’intérieur que ce soit des employés de l’organisation ,qui ont accès à des informations auxquelles ils ne devraient pas ,ou des prestataires externes,  lorsque vous sous-traiter notamment l’administration de votre système d’informations.

Des utilisateurs peuvent avoir accès à des informations confidentielles et donc les divulguer de manière non intentionnelle, au détour d’une simple discussion anodine par exemple.

L’administrateur système peut lui aussi être considéré comme une menace interne . En effet, de part son poste il a généralement accès à toutes les données de l’entreprise. Une divulgation peut là aussi avoir lieu de manière toujours non intentionnelle . A fortiori, le risque est d’autant plus important lorsque vous passer par un prestataire pour gérer  toute la partie SI de votre organisation.

Recourir au chiffrement, et en particulier au chiffrement de bout en bout, prend dés lors tout son sens dans une stratégie de protection contre les cyber risques.

Le chiffrement apparaît donc comme un outil indispensable afin de gérer les accès aux données et ainsi éviter la fuite de données et garantir la sécurité de celles-ci

Notre conseil : utiliser le chiffrement de bout en bout afin de protéger au maximum vos données des menaces internes et externes

Le chiffrement est-il incompatible avec le télétravail ?

Avec le recours au télétravail massif, la sécurité des données des entreprises à été mise à rude épreuve .Que ce soit avec les employés se connectant depuis chez eux aux serveurs de l’entreprise  via leur poste de travail ; tout comme ceux qui ont utilisé leur ordinateur personnel pour télétravailler.- En témoigne l’explosion des cybers attaques  pendant la crise sanitaire liée au COVID-19.

Protéger les données des organisations est donc d’autant plus nécessaire avec ce télétravail massif. La mise en place du télétravail dans une majorité d’entreprise a obligé celles -ci à s’atteler à la sécurité des  données échangées et donc  à trouver une solution. Et le chiffrement est un des moyens d’y arriver.

A cet effet, Il n’est pas nécessaire de rendre le chiffrement  complexe . De nombreux outils payants, gratuits ou libres existent. Dans les outils libres, Veracrypt et gnugpg sont particulièrement intéressants et simples à utiliser et mettre en oeuvre.

Notre conseil : dans le cadre du télétravail, vous pouvez commencer par mettre en place des  mesures de chiffrement simple  afin de protéger les données d’éventuelles cyber attaques

Trouver une solution de chiffrement facile à utiliser et facile à gérer

Si le recours au chiffrement est un bon moyen de se protéger pour une organisation, il n’en est pas moins un moyen qui peut parfois être difficile à mettre en œuvre et gérer pour votre service informatique, mais aussi compliqué à utiliser pour les utilisateurs.

Pour l’utilisateur ,l’outil doit être simple voir même automatique, dans le cas contraire il risque de s’en détourner; voire même d’utiliser des outils qui ne seront pas d’un niveau de sécurité suffisant.

Du côté de l’administrateur, le recours au chiffrement lui permettra de lui enlever  la pression liée  par exemple au SPOF dont il peut être victime ; tout cela en lui permettant de continuer à effectuer son travail dans de bonnes conditions.

Il est donc important de trouver un juste milieu entre la sécurité informatique et les utilisateurs qui ne souhaitent pas avoir trop de contraintes ou qui ne sont pas toujours très à l’aise avec l’informatique.

Par ailleurs, l’aspect web du chiffrement est un facteur à prendre en compte. Aujourd’hui, et cela est d’autant plus vrai avec la crise actuelle, l’entreprise est de plus en plus ouverte vers l’extérieur. Il faut donc pouvoir échanger des données vers l’extérieur tout en respectant les contraintes de sécurité de l’organisation et en offrant un outil facile à prendre en main et rapide.

L’utilisation de cryptographie web associée au chiffrement de bout en bout comme proposé dans l’offre CryptnDrive peut d’ailleurs tout à fait répondre à ce besoin.

 Notre conseil :  en choisissant votre solution de chiffrement prêtez autant attention à la facilité de gestion de l’outil qu’à la facilité d’utilisation

Distinguer la protection des données au repos de la protection des échanges

Lorsque vous déciderez de mettre en place une stratégie de chiffrement au sein de votre organisation, il sera alors important de bien identifier deux problématiques :

  • Une problématique liée à la protection des données sur les postes et les serveurs
  • Une problématique liée à la protection des informations échangées

Pour les données stockées sur les serveurs, vous n’utiliserez pas le même outil de chiffrement que pour celles qui sont partagées dans et hors de l’organisation.

Dans le cas de la protection des échanges une solution telle que CryptnDrive pourra parfaitement convenir.

Il vous faudra  vous assurer que la solution choisie intègre :

  • Le chiffrement de bout en bout
  • La facilité d’utilisation pour vos collaborateurs
  • La facilité de gestion de clés pour vos administrateurs
  • Les dernières technologies en matière de sécurité comme la cryptographie à seuil par exemple

Notre conseil: après avoir identifié les données à chiffrer , distinguez celles qui sont en local ou sur les serveurs de celles qui sont échangées et partagées en interne et externe.

 

Le récap utile et pratique:

L’article Chiffrement des données : les bonnes pratiques est apparu en premier sur Lybero.

]]>
https://www.lybero.net/chiffrement-des-donnees-les-bonnes-pratiques/feed/ 0
Health data hub: défiance envers les acteurs du numérique français https://www.lybero.net/health-data-hub-defiance-envers-les-acteurs-du-numerique-francais/ https://www.lybero.net/health-data-hub-defiance-envers-les-acteurs-du-numerique-francais/#respond Tue, 09 Jun 2020 09:12:09 +0000 https://www.lybero.net/?p=3275 Aujourd’hui nous,L’équipe de Lybero.net ,n’écrivons pas un article informatif ou instructif  sur le chiffrement ou la cybersécurité ; aujourd’hui nous écrivons un article plus politique. Nous dénonçons le choix de Microsoft pour le projet Health Data Hub. Comme l’ensemble des acteurs du numériques français, nous ne comprenons pas le choix fait par le gouvernement. Pourquoi […]

L’article Health data hub: défiance envers les acteurs du numérique français est apparu en premier sur Lybero.

]]>
Aujourd’hui nous,L’équipe de Lybero.net ,n’écrivons pas un article informatif ou instructif  sur le chiffrement ou la cybersécurité ; aujourd’hui nous écrivons un article plus politique. Nous dénonçons le choix de Microsoft pour le projet Health Data Hub. Comme l’ensemble des acteurs du numériques français, nous ne comprenons pas le choix fait par le gouvernement. Pourquoi ne pas faire confiance aux entreprises françaises comme OVH qui ont tous les moyens techniques pour mener à bien ce projet ?

Le projet Health Data Hub est un projet intéressant à plus d’un titre. Il y a aujourd’hui en France et dans le monde une vague d’innovation numérique autour de la santé. Lorsque j’étais CPPI (on va dire chargé d’affaires) chez Inria après mes expériences dans le logiciel libre, les projets que je trouvais parmi les plus intéressants étaient ceux liés à la santé. Et cela a une traduction directe : un tiers des projets de startups d’Inria sont dans le domaine de la santé.

Bref IA, données, santé tout cela fait un projet avec un potentiel très intéressant. Bravo pour le projet et l’initiative.

Microsoft n’est pas le problème

Cependant, le choix de Microsoft me met dans une rage froide. Attention, ne nous trompons pas : Microsoft est une entreprise respectable et qui a même perdu l’habitude d’écraser la compétition. On est clairement passé d’une entreprise agressivement monopolistique à une entreprise avec une stratégie d’adaptation (une stratégie « eau ») fluide au marché. Défendant son business, mais comprenant que l’innovation cela passe par la coopération tous azimuts.

Donc Microsoft n’est pas le problème. Le problème est que quand vous voulez créer une industrie, cette industrie est une chaîne avec un ensemble d’éléments. Aujourd’hui dans cette chaîne de valeur dans le numérique, les services cloud quels qu’ils soient ont une place importante. Nous avons en France quelques acteurs importants. Ces acteurs importants ne sont pas dans le top 5 mondial. L’acteur qui, à ma connaissance, se rapproche le plus d’une part de marché importante, c’est OVH (oui, j’ai travaillé pour OVH, je les aime bien), et certainement, après on ne peut pas rayer d’un trait de plumes les acteurs comme Orange, Atos, Bundestelecom, 1&1, …

Je ne vais pas m’étendre sur les arguments techniques qui font qu’OVH est parfaitement capable de répondre à la demande, ni sur l’aspect hébergeur de données de santé (OVH est maintenant hébergeur de données de santé). Imaginer qu’OVH n’a pas les serveurs, le stockage, la bande-passante, la capacité technique pour fournir le service est risible – l’incompréhension  des entreprises françaises certifiées hébergeur de données de santé, dont OVH, est plus que compréhensible !

De l’importance de soutenir l’industrie numérique française et européenne

Le marché du Health Data Hub est un marché important parce qu’il est un marché de préfiguration des services futurs. C’est un intermédiaire entre de l’opérationnel pur et la recherche. C’est un excellent moyen d’apprendre à naviguer entre les contraintes légales spécifiques de la santé et les contraintes techniques du cloud associé. Le marché Health Data Hub sert à cela, à préparer la suite. Parce que si dans les projets retenus certains fonctionnent bien, ils vont donner lieu à un déploiement potentiellement important. Donc si vous avez construit vos solutions en vous appuyant sur la solution « tirebouschtroumpf » (Microsoft dans notre cas), quand vous allez passer sur de l’opérationnel, vous allez rester dessus pour des raisons de coût, de fiabilité et de facilité technique.

Donc tous les acteurs européens vont être dans une situation de rattrapage vis à vis de l’offre Microsoft qui elle aura démontré sa fiabilité, son efficacité, … Donc autant dire que bye, bye OVH & co sur ces marchés.

Dans une situation de déséquilibre évident entre les acteurs du marché, si vous laissez faire la main invisible du marché, c’est vite vu, jamais vous n’aurez d’acteurs locaux émergeants. La seule solution est une politique volontaire. Au cas où vous ne seriez pas convaincu, le premier éditeur de logiciel européen est SAP. Son CA 2019 est de 27,5 milliard d’euros; sa dernière valorisation est 144 milliard d’euros. Considérons Microsoft, son CA 2019 était de 112,4 milliard d’euros; sa dernière valorisation est 1420 milliard d’euros (son résultat opérationnel était de 38,4 milliard d’euros supérieur au CA de SAP).

Au passage, les américains ne s’embarrassent pas de ce genre de considération : la défense américaine avait choisi Airbus pour les avions ravitailleurs, le congrès américain a cassé le marché, et finalement Boeing l’a eu. Imagine-t-on la Maison Blanche mettant ses serveurs web chez OVH US ? Non. Imagine-t-on Emmanuel Macron descendant les Champs Elysées en BMW ? Non. L’industrie du numérique européenne existe, se bat, alors par pitié, que l’état fasse ce qui en son pouvoir pour l’aider.

L’article Health data hub: défiance envers les acteurs du numérique français est apparu en premier sur Lybero.

]]>
https://www.lybero.net/health-data-hub-defiance-envers-les-acteurs-du-numerique-francais/feed/ 0
Failles de sécurité et négligences ou les symptômes du SI malade https://www.lybero.net/failles-de-securite-et-negligences/ https://www.lybero.net/failles-de-securite-et-negligences/#respond Tue, 19 May 2020 08:15:05 +0000 https://www.lybero.net/?p=3246 S’il est bien deux éléments que chaque RSSI tente d’étouffer à grand coups de mises à jour et notes de services, ce sont bien les failles de sécurité et les négligences humaines qui ont mis à mal bien des Systèmes d’Information depuis que l’informatique existe. Vaudou ? Magie noire ? Incompatibilité homme / machine ? […]

L’article Failles de sécurité et négligences ou les symptômes du SI malade est apparu en premier sur Lybero.

]]>

S’il est bien deux éléments que chaque RSSI tente d’étouffer à grand coups de mises à jour et notes de services, ce sont bien les failles de sécurité et les négligences humaines qui ont mis à mal bien des Systèmes d’Information depuis que l’informatique existe. Vaudou ? Magie noire ? Incompatibilité homme / machine ? Problème de couche 8 ou d’ICC ? Tentons de comprendre.

Prenons notre premier danger : Martine ou la faille de San Andreas.

Martine sous ses airs de cinquantenaire toute de bonhomie vêtue, 25 ans de carrière, états de services impeccables, CSP+ de rêve, plus d’un publicitaire et d’un DRH rêverait de capter son attention.

Mais vous, RSSI ou technicien, vous connaissez sa vraie nature. Vous savez que derrière ces apparences se cache votre pire cauchemar. Une sirène qui, loin de faire chavirer le coeur des marins et leur navire, sait comme personne, sans rien faire paraître, sans même donner l’impression d’y porter une quelconque attention, mettre à genou toute ou partie de votre système.

Vous la connaissez, cette petite voix qui vous hérisse le poil, que vous entendez trop souvent et qui commence systématiquement par le même enchaînement de mots à peine audibles : « Dis, je pense que j’ai encore fait une bêtise ». Cette étrange sensation quand vous raccrochez votre téléphone que votre temps va être comme aspiré. Vous commencez d’ailleurs à croire qu’après l’étude des travaux des meilleurs scientifiques, Martine a réussi là où beaucoup ont échoué. Martine est capable de courber l’espace et le temps.

A peine avez-vous résolu son problème que vous vous apercevez que le temps a défilé, débobiné comme un chat tire sur le fil d’une pelote de laine. Votre famille est-elle encore vivante ? Le monde a-t-’il sombré ? Etes-vous le dernier être sur terre ? Le temps n’est plus qu’une donnée irrationnelle. Qu’elle est incroyable cette Martine, capable de faire les meilleurs gâteaux du monde pour les anniversaires et faire s’écrouler votre monde en deux clics de souris inconscients.

D’où Martine tire-t’elle son incommensurable pouvoir ? Souvent de son absence d’intérêt pour l’outil. Peut-on seulement lui en vouloir ?

Bien souvent, on utilise des outils assez complexes pour tenter de contrecarrer les plans ou errances des Martines, car oui, il existe bien des Martines dans de nombreuses sociétés.Je pense d’ailleurs personnellement que la présence de deux Martines dans un espace trop restreint déclencherait l’apparition d’un gigantesque trou noir qui aspirerait la Terre. J’espère ne j’amais avoir à vous confirmer ce point mais mon premier conseil : isolez les Martines.

Revenons-en à nos moutons en vous posant quelques questions :

  • Votre outil n’est-il pas un peu trop complexe pour une Martine ou pour d’autres ?
  • Doit-on vraiment avoir fait un doctorat en informatique pour utiliser une application interne ?
  • Ne peut-on pas se préserver de la destruction de la terre en utilisant un outil simple mais néanmoins sécurisé ?

Oui, parce que les Martines, outre leur pouvoir immense de destruction, ça échange aussi de la donnée. Et la donnée, c’est une grande partie de votre activité, vous la manipulez, vous l’exploitez, vous la vendez et vous la conservez.

Mais Martine, elle aime bien la partager sa donnée avec ses collègues, avec vos clients. Et avec son envie irrépressible de mettre le monde à feu et à sang, Martine elle utilise le mail. Lourd, fastidieux, dangereux et ingérable, un cocktail parfait. Martine elle aime bien le mail, c’est simple. En deux clics, elle peut envoyer des choses partout dans le monde. Elle entend une petite voix dans sa tête qui lui assure que son mail va arriver à son destinataire puisqu’elle a saisi l’adresse et personne ne viendra lire le contenu hormis le destinataire- puisqu’elle a saisi cette adresse. Mais Martine, ce n’est pas une experte en informatique, elle a juste envie de transmettre des éléments simplement.

Et vous de votre côté, vous avez envie que cette donnée soit en sécurité.

Une petite erreur d’inattention et hop, comme par magie, le contrat arrive chez un concurrent de votre client ou un de vos concurrents directs. Ou mieux, le mail de Martine arrive bien là où il devrait, mais entre temps, il a été lu, parce que les rois de l’interception, ce ne sont pas les joueurs du superball, ce sont les «  hackers » de tout poil. Après, comme Martine ne manque pas d’imagination, quand les pièces jointes sont trop lourdes pour être envoyées par mail, elle utilise sa botte secrète : le service d’hébergement de fichiers. On ne peut plus sécurisé : Il y a un mot de passe ! Ha ! Vous ne vous y attendiez pas à celle-ci hein ? Martine vous a damé le pion ! Vous lui interdisez des pièces trop lourdes ? Que nenni ! Son neveu lui a donné la solution il y a peu. Martine peut repartir pour la grande aventure de l’anéantissement. Une série de documents confidentiels sur le prochain projet important de l’entreprise ? Hop, un Google drive ! Le récapitulatif des comptes de l’année ? Vlan, un petit coup de Dropbox ! Et comme Martine est fière, elle en parle à ses collègues qui au fur et à mesure utilisent aussi ces outils. Pas de cohérence, pas de centralisation, pas de sécurité, Martine est sur la route toute tracée de son plan machiavélique pour le grand effondrement !

Vous n’êtes pas idiot, vous y avez pensé, même tardivement, alors vous avez déployé un système ultra sécurisé pour contrecarrer Martine. Vous avez mis en place une partie du système et pour vous épauler, vous avez fait appel à …

Kevin ou la négligence ingénue.

Kevin, il est né avec l’informatique, c’est ce qu’on appelle un millenial, une espèce d’un nouveau genre, peu compréhensible de ceux qu’il appelle amicalement, ou pas, les boomers. Il est en charge de la maintenance de vos applications. C’est lui qui a la lourde tâche de s’assurer que tous les systèmes sont à jour.

Les Kevins, ils aiment leur temps libre et les tâches peu rébarbatives; alors ils mettent souvent une ardeur incroyable à automatiser tout ce qu’il peuvent (vous aurez beau lui dire que les trois jours qu’il a passé ne seront compensés que par 20 ans d’utilisation de ce qu’il vient de réaliser, lui au contraire, ne réalise pas). Donc Kevin, il automatise, il n’a pas le temps de tester, il aime aller vite, alors il met à jour automatiquement et systématiquement. Et parfois, quand l’automatisation n’est pas aussi bien pensé que ce qu’il croyait, certaines mises à jour passent à la trappe. Et quand il essaye de vous expliquer pourquoi le système a pu être pénétré par un ransomware, il est aussi clair dans ses explications qu’une chanson d’Aya Nakamura. Il essaye pourtant de bien faire Kevin, mais il n’a pas encore votre expérience.

Pourquoi alors ne pas faciliter votre vie et celle de Kevin en vous épargnant cette fastidieuse étape de mises à jour ? En plus Kévin, c’est lui qui est aussi en charge des installations. L’ennui ? Kevin vient d’expérimenter sa signification en installant trois logiciels sur chaque machine de votre organisation. Il s’est récemment remis au papier pour, tel un prisonnier volontaire, il coche le nombre d’installations vérifiées avant de retrouver sa liberté tant chérie. Aller Kevin, plus que 200 vérifications et tu pourras enfin revoir ton écran 65 pouces pour te délecter des bretons à Mexico.

Avant cette extrémité, il lui reste pas mal de loupés à accomplir. Les utilisateurs appelleront (peut-être des Martines) par ce qu’ils ne voient pas l’icône en forme de tatou carré orange sur un fond jaune et qu’ils ne peuvent pas travailler. Et la pression Kevin, il ne gère pas encore bien. Alors il tente de calmer les foules, les faire patienter.

En attendant, Martine a repris ses habitudes, mais en mieux. Cette fois ci elle utilise We Transfer ! On ne l’empêche pas de travailler comme ça notre Martine !


Evidemment, chez Lybero, on a des Martines et des Kevins, des Martines homme, des Kevin femmes. Je suis moi-même un ancien Kevin repenti, même si mes collègues auraient sûrement le bon goût de vous préciser que je n’ai pas encore tout à fait terminé ma transition 😉

Et c’est bien pour ça que nous les connaissons si bien et que nous avons une affections toute particulière pour eux. Et nous savons que les Martine et les Kevins, ça aime la simplicité et l’efficacité. Et vous, vous aimez les applications qui améliorent votre sécurité.

SI vous souhaitez échanger simplement et efficacement des données chiffrées, sans installation sur les postes client, sans matériel supplémentaire, avec un simple navigateur web alors je vous conseille vivement de vous rendre sur le lien suivant, attention, ce que vous allez y découvrir va vous étonner !

L’article Failles de sécurité et négligences ou les symptômes du SI malade est apparu en premier sur Lybero.

]]>
https://www.lybero.net/failles-de-securite-et-negligences/feed/ 0
Sécurité des données et séquestre numérique de recouvrement à quorum https://www.lybero.net/securite-des-donnees-et-sequestre-numerique-de-recouvrement-a-quorum/ https://www.lybero.net/securite-des-donnees-et-sequestre-numerique-de-recouvrement-a-quorum/#respond Tue, 05 May 2020 13:05:45 +0000 https://www.lybero.net/?p=3140 Le séquestre de recouvrement à quorum ou comment gérer simplement la cryptographie pour sécuriser vos données ? Si vous connaissez Lybero.net vous avez sûrement entendu parler de notre séquestre numérique à quorum intégré à notre drive chiffré CryptnDrive pour assurer les recouvrements. Cette technologie de quorum utilisée dans nos solutions est une technologie brevetée par […]

L’article Sécurité des données et séquestre numérique de recouvrement à quorum est apparu en premier sur Lybero.

]]>
Le séquestre de recouvrement à quorum ou comment gérer simplement la cryptographie pour sécuriser vos données ?

Si vous connaissez Lybero.net vous avez sûrement entendu parler de notre séquestre numérique à quorum intégré à notre drive chiffré CryptnDrive pour assurer les recouvrements. Cette technologie de quorum utilisée dans nos solutions est une technologie brevetée par l’INRIA et le CNRS et permet d’administrer CryptnDrive de manière simple et sûre grâce à une gestion originale des clés cryptographiques de contenus en garantissant ainsi la sécurité des données et leur confidentialité

Qu’est-ce qu’un séquestre numérique à quorum ?

Un séquestre numérique à quorum est un service dans lequel tout un chacun peut séquestrer une information. L’information n’est alors plus accessible. Pour qu’elle redevienne accessible, un membre de l’équipe d’administration du séquestre numérique, que nous appelons les administrateurs de secrets, doit partager avec le tiers qui veut accéder à l’information (recouvrer).

Ensuite, il faut que cet accès soit confirmé par un nombre donné (le quorum) de membres du groupe des administrateurs de secrets.

Chez Lybero.net, nous exploitons le séquestre numérique à quorum pour offrir un service de recouvrement des informations dans un service web de partage chiffré d’informations.

Qu’est-ce que le recouvrement ?

Pas de panique, ici nous ne parlerons pas de recouvrement de créances.Mais nous parlerons de recouvrement dans le sens de retrouver quelque chose que l’on a perdu.  Cela s’illustre par le fait de retrouver l’accès à des coffres et donc des fichiers auxquels on n’a plus accès.

Le groupe d’administrateurs de secrets a en quelque sorte une fonction de vérification et contrôle d’accès. Dans CryptnDrive, ce groupe permet à une personne de recouvrer l’accès à des fichiers chiffrés dans le drive. Le groupe peut de lui-même être à l’origine de l’autorisation d’accès ou cela peut être une personne qui en fait la demande.

Mais comment le groupe à quorum donne l’accès à un tiers ?

Tout simplement en faisant appel à cette notion de quorum. Au niveau juridique un quorum est un nombre minimal de personnes qui doit être présent lors d’une assemblée afin de pouvoir valider une prise de décision. Ce nombre minimum de personne est définit en amont.  Dans notre cas, il s’agit d’un nombre minimum de personne qui doivent donner leur accord pour pouvoir libérer l’accès à un coffre. Nous appelons donc plutôt le groupe d’administrateurs de secrets, groupe à quorum.

Prenons un exemple : La société Corpa a mis en place un groupe à quorum afin de pouvoir gérer les problématiques d’accès aux coffres.

Dans ce groupe, nous trouvons Alice, Bob Charly. A la création de ce groupe à quorum, il a été défini que le quorum serait de 2 personnes. Il faut donc que deux membres du groupe, au minimum, donnent leur accord pour accepter les demandes d’accès qui leurs sont faites.

Paul a perdu son mot de passe et ne peut plus accéder à ses fichiers chiffrés.  Elle demande à Bob s’il peut lui redonner ses accès à ses coffres.  Bob connait Paul et sait qu’il est bien le propriétaire des coffres. Il valide sa demande.

Puis Paul demande à Alice d’accepter sa demande. Alice connait aussi Paul et peut confirmer son identité. Elle valide aussi sa demande.

2 personnes sur 3 ont accepté la demande de Paul.  Le quorum est atteint. Paul peut accéder à ses données.

Retrouvez une courte vidéo explicative sur notre séquestre numérique à quorum ici

 

Mais concrètement comment fonctionne la technologie de recouvrement par quorum chez Lybero.net?

Notre technologie de quorum de recouvrement est unique dans le sens où il permet aux organisations, petites et grandes, de mettre en place et gérer la cryptographie pour chiffrer les données facilement ! Tout simplement parce que l’organisation n’a pas à gérer les clés, tout est géré par notre solution CryptnDrive : d’un point de vue chiffrement et d’un point de vue cryptographique.

Quand vous créez un coffre dans le drive:

les chiffrements successifs avec le séquestre numérique

  • Une clé AES256 est générée: tout contenu du coffre sera automatiquement chiffré dans votre navigateur avec cette la clé.
    • Puis cette clé AES256 est chiffrée en utilisant votre clé publique
    • Cette clé AES256 est chiffrée à nouveau avec la clé publique du groupe d’administrateurs de secrets.

NB : L’ordre de chiffrement ou de déchiffrement n’a pas d’importance

Voici ce qui se passe à l’intérieur du groupe à quorum :

Le groupe à quorum a une seule clé publique qui lui est propre.   Cette clé identifie le groupe en tant qu’entité. À la création du groupe à quorum, chaque membre du groupe à quorum a reçu une clé privée spécifique.

Pour procéder au déchiffrement, il faut faire appel au quorum. Il faut donc que les membres du quorum déchiffrent chacun, avec leur clé privée spécifique, partiellement la clé publique qui chiffre l’information. Une fois que le quorum est atteint le déchiffrement par le groupe à quorum est effectif, l’information est libérée ! Tout cela est possible grâce à la cryptographie.

Mettons maintenant que vous perdiez vos accès, il vous faut donc pouvoir accéder à vos contenus.

  1. Vous allez donc demander au groupe à quorum de recouvrement de retrouver vos accès. Au moment où vous faites votre demande, votre nouvelle clé publique vient surchiffrer la clé AES256 chiffrée avec la clé publique du groupe à quorum. On a donc 2 chiffrements fait successivement.
  2. Les membres du groupe à quorum déchiffrent successivement la clé publique du groupe.
  3. Le quorum de déchiffrement est atteint
  4. Résultat : la clé AES 256 chiffrée par votre clé publique

Vous n’avez plus qu’à déchiffrer votre clé publique avec votre clé privée pour obtenir la clé AES256 protégeant le coffre.

Bien sûr vous n’avez pas à retenir des mots de passe pour effectuer ces procédures de déchiffrement. Quand vous réinitialisé le mot de passe, tout comme à l’inscription, les clés publique et privée sont automatiquement générées. De ce fait, lorsque vous vous connectez comme sur n’importe quelle application, la procédure cryptographique se met en place toute seule.

Les caractéristiques clés sont les suivantes :

  • Le groupe à quorum autorise l’accès au contenu sans jamais avoir accès au contenu,
  • Une personne du groupe à quorum ne pourra jamais accéder seule à l’information,
  • Un seul refus dans le groupe à quorum annule toutes les autres autorisations d’accès,
  • Sans les « autorisations » (en fait des déchiffrements) des membres du groupe à quorum, il est impossible pour l’utilisateur d’accéder à l’information lors des recouvrements,
  • Toutes ses opérations sont « opaques » pour les administrateurs informatiques du système. Ils peuvent savoir qu’il se passe quelque chose, ou que l’opération est en cours. Mais en aucun cas, ils ne peuvent accéder à l’information à quelque endroit ou quelque moment que ce soit.

 

Prenons notre exemple précédent : avec notre groupe de recouvrement à quorum : Alice, Bob Charly. Paul a perdu son mot de passe.

  • Il a besoin d’accéder à des fichiers sur le drive. Il s’agit de données RH sur les salariés donc des données confidentielles qui ne doivent pas être accessibles.
  • Il réalise la procédure de réinitialisation de mot de passe et fait une demande de recouvrement d’accès au groupe de recouvrement à quorum.
  • Lorsqu’il fait sa demande, sa nouvelle clé publique est utilisée pour surchiffrer la clé de contenu AES256 chiffrée par la clé publique du groupe à quorum.
  • Les membres du quorum reçoivent une notification leur indiquant que Paul souhaite recouvrer ses accès à ses coffres.
  • Chaque membre du groupe à quorum reçoit cette notification. Ici le quorum est de 2, il faut donc que deux membres du groupe à quorum valide la notification reçue. De cette manière, chacun des membres déchiffre partiellement.
  • Une fois les deux validations actées, la clé de contenu AES256 chiffrée avec la clé publique de Paul est obtenue.
  • Paul peut avec sa nouvelle clé privée déchiffrer la clé de contenu chiffrée avec sa nouvelle clé publique et accéder au coffre avec ses dossiers.

processus complet du séquestre à quorum

 

Voilà donc pour ce qui se passe derrière la caméra. Face caméra, cela est beaucoup plus simple.

Paul a juste eu à faire une demande au groupe à quorum et rentrer son mot de passe. Les membres du groupe à quorum ont juste eu à valider l’identité de Paul pour valider son accès. D’un point de vue cryptographique, les opérations sont complexes, mais pour les utilisateurs elles se présentent très simplement. Se logger, cliquer sur un bouton d’acceptation, …

Il y a une séparation cryptographique stricte entre

  • La demande d’accès que Paul fait au groupe
  • L’autorisation, quand l’autorisation est donnée par le groupe
  • L’accès quand Paul a effectivement accès aux données

Le contenu étant surchiffré avec la clé publique de Paul, les membres du quorum n’ont jamais eu accès aux fichiers confidentiels. L’intégrité, la confidentialité et la sécurité des données sont donc garanties.

Et dans quel cas l’utiliser ?

Il existe aujourd’hui plusieurs cas (non exhaustif) nécessitant la mise en place d’un quorum de recouvrement.

  • Le plus commun des cas d’utilisation est bien sûr la gestion des pertes de mot de passe et des recouvrements d’accès aux dossiers chiffrés. Il permet d’augmenter la sécurité des accès aux données et garantir leur confidentialité grâce à l’isolation cryptographique.
  • Lorsqu’ une personne quitte l’entreprise un peu précipitamment ou que celle-ci est absente et non joignable. Par le biais du recouvrement par quorum, il est possible de récupérer l’accès aux fichiers sans compromettre l’intégrité des données. Cela peut être le cas par exemple lorsqu’une personne quitte l’entreprise en mauvais termes, lors d’un décès d’un salarié ou d’une hospitalisation …

Le quorum peut jouer un rôle de contrôle d’accès afin de protéger les secrets de votre organisation et empêcher la fuite vers la concurrence.  En effet il n’est pas rare que des employés quittent une entreprise pour la concurrence. Un quorum de recouvrement pourra aider l’entreprise à protéger ses données dans ces cas de figures.

  • La technologie de quorum permet aussi de répondre à des contraintes spécifiques en termes d’accès aux données. Comme cela peut être le cas dans le secteur de la propriété intellectuelle où le conseil national de la propriété industrielle impose qu’un confrère puisse accéder aux données d’un indépendant justement dans le cas où ce dernier ne serait plus dans la capacité d’accéder à ses données.
  • L’utilisation de la technologie de quorum de recouvrement permet à toute organisation de respecter la réglementation en matière de protection des données. En effet, elle garantit leur confidentialité et leur intégrité.

Quels en sont les avantages pour un organisation ?

  • Tout comme l’utilisation de notre solution CryptnDrive starter, elle facilite la mise en place du chiffrement par la cryptographie web et de la protection de vos données au sein de votre organisation.
  • Elle simplifie aussi la gestion des clés de chiffrement qui est souvent difficile à mettre en place dans les entreprises. Les clés de chiffrement sont générées et gérées par l’application.
  • La séparation cryptographique entre la demande d’accès, l’autorisation et l’accès au coffre permet de garantir la confidentialité et la sécurité des données.
  • La possibilité de pouvoir contrôler l’accès aux données, sans avoir accès à celles-ci, est une fonctionnalité fortement différenciante vis-à-vis de la concurrence et elle garantit la confidentialité des données.
  • Le risque SPOF, qu’il soit humain ou matériel, est fortement diminué. Les clés d’accès aux données ne sont pas entre les mains d’une seule personne, cible privilégiée d’une attaque potentielle. Mais entre les mains de plusieurs personnes. La sécurité est basée sur le nombre de personnes du quorum et non plus sur une seule personne ou le matériel ; rendant ainsi les attaques plus compliquées.

Vous l’aurez compris, la technologie de recouvrement par quorum vous permettra de gérer facilement la sécurité de vos données et d’en contrôler l’accès de manière hautement sécurisée mais aussi facilement.

 

L’article Sécurité des données et séquestre numérique de recouvrement à quorum est apparu en premier sur Lybero.

]]>
https://www.lybero.net/securite-des-donnees-et-sequestre-numerique-de-recouvrement-a-quorum/feed/ 0