[Interview] Une introduction à la cybersécurité
Timothée Rebours, Seald : "il est désormais presque impossible de protéger ou même de définir le périmètre, car tout est étroitement imbriqué".
Le nombre d'appareils connectés et d'utilisateurs augmentant à chaque instant, la sécurisation de grandes quantités de données sensibles devient de plus en plus difficile.
Alors que de plus en plus d'aspects de notre vie se numérisent, de nombreuses entreprises et institutions fournissant des services en ligne peinent à garantir la sécurité des données de leurs utilisateurs. Bien sûr, la mise en place de mesures d'authentification de qualité ou le cryptage du réseau de l'organisation sont un bon début, mais qu'en est-il de l'utilisation du cryptage pour sécuriser les données sensibles des clients ?
Pour parler de l'importance du chiffrement en matière de sécurité des données, nous nous sommes entretenus avec Timothée Rebours, PDG de Seald, une société qui rend le chiffrement de bout en bout plus facile et plus accessible aux développeurs.
Comment est née l'entreprise Seald ? Quel a été votre parcours depuis votre lancement en 2016 ?
Le projet derrière Seald a été créé à Berkeley en 2015, suite à la rencontre de passionnés de cybersécurité et de hackers. La société a été constituée en France en 2016.
Seald a une mission : améliorer la sécurité et la vie privée de millions de personnes. Nous avons grandement évolué depuis le début du projet, et nous avons créé toute une série de produits au fil des ans, dont la plupart ont fini par être mis au rebut pour trouver notre positionnement actuel pour lequel notre product-market fit est là.
Chaque parcours est incroyable. L'équipe de Seald est passionnée et brillante ! Nous avons la chance de rencontrer des clients et prospects aux projets passionnants qui nous aident à construire Seald. Nous sommes extrêmement fiers de ce que nous avons construit grâce à eux.
Pouvez-vous nous présenter ce que vous faites ? Qu'est-ce que le chiffrement de bout en bout ?
Nous voulons aider les développeurs d'applications à protéger les données de leurs utilisateurs sans avoir besoin de compétences en cryptographie. L'intégration de Seald permet à l'entreprise de renforcer la confiance des clients, d'être en conformité et de minimiser les conséquences d'une fuite de données.
Le chiffrement de bout en bout est considéré comme la technologie qui offre le plus haut niveau de sécurité sur vos données, c'est pourquoi il est utilisé dans les applications de messagerie instantanée populaires.
En fait, il protège les données de telle sorte que personne, à l'exception des utilisateurs autorisés, ne puisse les lire, pas même les serveurs qui les hébergent ou le développeur de l'application (et pas même Seald, bien sûr).
À votre avis, quels sont les secteurs qui devraient être particulièrement préoccupés par le chiffrement de leurs données ?
Nous avons créé Seald pour les entreprises qui font de la sécurité des données une priorité stratégique.
Chaque secteur d'activité a ses propres défis en matière de sécurité des données : renforcer la confiance des clients, assurer la conformité, minimiser les conséquences d'une violation des données, etc.
Mais le secteur qui présente le plus d'enjeux en matière de sécurité des données est celui de la e-santé. Les données médicales sont parmi les plus sensibles (numéros de sécurité sociale, résultats de tests, rapports, ordonnances, etc.) car une violation de données dans ce domaine détruit la confiance de la marque et peut même conduire à une peine de prison.
Les entreprises de e-santé sont très attentives à répondre aux exigences réglementaires strictes en matière de données médicales et à assurer une confidentialité absolue des données sensibles qui leur sont confiées, notamment pour respecter le secret médical. Mais avec le passage aux applications SaaS pour les patients et les professionnels de la santé (que la crise du COVID a amplifié), une question se pose : comment assurer la sécurité des données dans le cloud ?
Il y a aussi la question de l'hégémonie des hébergeurs américains qui provoque des inquiétudes politiques et de conformité sur la souveraineté des données (au regard du GDPR notamment). Avec le chiffrement de bout en bout, vous pouvez vous assurer qu'aucun serveur n'a accès aux données, y compris un hébergeur basé aux États-Unis.
Avez-vous remarqué l'apparition de nouvelles menaces pendant la pandémie ?
Les ransomwares sont connus pour crypto-locker les données des victimes et de ne les déverrouiller que contre paiement d’une rançon. Une nouveauté est apparue ces dernières années : les criminels volent désormais les données et menacent de les divulguer si la rançon n'est pas payée.
Cela met encore plus en évidence la question du chiffrement de bout en bout : si les serveurs ne peuvent pas lire les données, aucune données de peut être divulguée.
Une autre chose que nous avons observée (comme tout le monde) est un passage massif aux solutions numériques en Cloud, dont certaines sont vraiment bancales parce qu'elles ont été développées rapidement pour répondre à la demande croissante.
Quelles mesures chacun doit-il mettre en œuvre pour se protéger de ces menaces émergentes ?
Pendant des années, le moyen privilégié de protéger une infrastructure informatique consistait à établir une protection périmétrique, en construisant de grands murs autour des systèmes d'information, afin qu'un attaquant ne puisse pas y pénétrer. L'idée était de placer tout ce qui était sensible à l'intérieur de ce périmètre. Sauf qu'il est désormais presque impossible de protéger (ou même de définir) le périmètre, car tout est étroitement imbriqué.
Une autre façon de voir la sécurité est la sécurité dès la conception ou le zero-trust. L'objectif est de rendre les conséquences d'une attaque sur n'importe quelle partie des systèmes informatiques aussi insignifiante que possible.
Concernant la protection des données, l'idée principale est de mettre en œuvre le principe du moindre privilège. Grossièrement, cela signifie qu'il faut ajouter un chiffrement à chaque donnée et ne donner les clés de déchiffrement qu'aux utilisateurs ou entités autorisés à lire les données. Dans la plupart des cas d'utilisation, il s'agit d'un chiffrement de bout en bout associé à un chiffrement au repos à granularité fine.
Quelles sont, selon vous, les menaces les plus graves qui pèsent aujourd'hui sur les applications web ?
Si l'on regarde le top 10 de l'OWASP, les deux premiers points en 2021 sont la rupture du contrôle d'accès et l'absence de mise en œuvre correcte de la cryptographie.
Chez Seald, le contrôle d'accès est renforcé par des mesures cryptographiques afin de garantir que, même si une ressource peut être lue par un attaquant, celui-ci devra la décrypter.
Notre code a fait l'objet d'un examen approfondi et indépendant afin de nous assurer que nous n'avons commis aucune erreur et que nos utilisateurs n'ont pas à se soucier des subtilités de la mise en œuvre de la cryptographie.
Pourriez-vous nous faire part des bonnes pratiques que les organisations devraient adopter pour protéger les données de leurs employés et de leurs clients ?
La première meilleure pratique consiste à prendre en compte la sécurité des données dès la conception de tout flux de traitement des données. Lorsqu'il est conçu, il est trop tard.
Le deuxième conseil est de faire preuve d'humilité et d'organiser des formations à la sécurité à la fois pour les développeurs afin qu'ils apprennent les meilleures pratiques de développement et pour tous les employés afin qu'ils détectent le phishing, etc.
Le troisième conseil à donner lors du développement d'un logiciel est le suivant :
- Ne laissez pas quelque chose dont on sait qu'il n'est pas sûr être déployé en production (gestion des mots de passe, génération aléatoire, etc.),
- Testez tout de manière unitaire et E2E (vérifiez la couverture du code),
- Faire des revues systématiques et approfondies de code avant de merger dans la branche principale,
- Tester avant de mettre en production.
En parlant de l'avenir, quelles sont vos prédictions concernant le paysage de la sécurité des données pour les années à venir ?
Tout finira par être déplacé vers le cloud plutôt que sur site, et la question de la sécurité dans le Cloud, qui est déjà dans tous les esprits, deviendra encore plus stratégique, car les violations de données seront de plus en plus fréquentes.
En outre, les petites entreprises seront soumises à une pression accrue pour sécuriser les données (tant en termes de confidentialité que de disponibilité), même à un stade très précoce.
Et enfin, que réserve l'avenir à Seald ?
Nous nous attachons à aider les développeurs à protéger les données de leurs utilisateurs par un chiffrement de bout en bout, mais cela peut être limitatif car tout ne peut pas être chiffré de cette manière. Nous allons très certainement diversifier nos produits pour nous attaquer à d'autres cas d'utilisation.