Vous vous êtes déjà engagé à utiliser le chiffrement afin de protéger vos communications tactiques et d’urgence. Toutefois, une ombre est au tableau : savez-vous si vos systèmes et pratiques de chiffrement sauront résister à l’attaque? N’attendez pas la prochaine bataille pour connaître la réponse. Utilisez plutôt ces trois techniques pour vérifier si vos processus de chiffrement sont à la hauteur.
L’importance de la préparation
Il importe d’éprouver vos capacités en matière de chiffrement, trois raisons essentielles à l’appui. Les systèmes de chiffrement offrent un soutien critique aux opérations; s’ils sont défaillants, les opérations seront ralenties et vous pourriez perdre votre avantage tactique. Un chiffrement robuste est également essentiel à la crédibilité professionnelle de votre organisation auprès des alliés et des partenaires de la coalition. Si votre système de chiffrement éprouve des défaillances, vos alliés risquent d’être moins disposés à échanger des renseignements avec vous et à collaborer. Enfin, le chiffrement est rarement éprouvé directement durant les exercices et les missions d’entraînement. Pour l’ensemble de ces raisons, vous devez faire de la mise à l’essai de votre chiffrement une priorité.
En outre, il importe de vous tenir à l’affût des nouvelles menaces. Selon le Centre canadien pour la cybersécurité, « Un auteur de menace pourrait soutirer de l’information sensible aujourd’hui, puis la conserver de manière à la déchiffrer dans 10 à 20 ans, une fois que l’informatique quantique parviendra à maturité. » Voilà pourquoi il ne suffit pas de connaître les pratiques de chiffrement de base. Vous devez faire des démarches supplémentaires, afin de protéger vos données et déceler vos vulnérabilités de façon proactive.
1) Mettre votre technologie de chiffrement à l’essai
Choisissez une journée ou vous pourrez tenir le rôle d’un pirate informatique « éthique », afin de trouver des moyens de vous introduire dans le système de chiffrement de votre propre organisation. Les détails exacts de cette mise à l’essai technologique varieront selon vos infrastructures. Mais comme point de départ, utilisez les techniques suivantes pour protéger vos systèmes de chiffrement et leurs technologies de soutien.
Vérifier les paramètres par défaut
Il est bien plus aisé de compromettre les protections d’un système lorsque ses paramètres par défaut sont laissés en place. L’utilisation de mots de passe par défaut comme « admin. » est l’une des pires choses à faire. Cependant, il ne s’agit là que d’un exemple. Vous devriez aussi vérifier si le chiffrement est en fonction sur chacun de vos systèmes. Par exemple, la moitié des consommateurs ne savent pas comment changer les paramètres de sécurité de leur routeur pour rehausser la sécurité de leur système. Il est d’ailleurs probable que les organismes militaires et de sécurité publique feront preuve d’un niveau de base plus élevé en matière de discipline quant à la sécurité; mais il demeure important de vérifier cet aspect.
Vérifier la présence de comptes d’utilisateurs inactifs
Un compte d’utilisateur inactif augmente la probabilité d’un incident relatif à la sécurité. Si les identifiants de ce compte se retrouvaient en de mauvaises mains, une atteinte à la sécurité pourrait survenir à même vos défenses. Pour atténuer ce risque, passez en revue vos comptes d’utilisateurs existants et réduisez-en le nombre. À tout le moins, concevez un processus pour retirer rapidement leur accès lorsque des membres de votre personnel quittent un service ou l’organisation.
S’assurer de la protection des consignes relatives au chiffrement et de la documentation de soutien
Afin d’évaluer la qualité de la protection du système de chiffrement en place, il importe de comparer le système de votre organisation à un banc d’essai comme celui du NIST : la FIPS 140. Cette norme prévoit quatre niveaux de sécurité, selon l’information en question. Or, une embûche demeure : les renseignements complémentaires pourraient également ne pas être protégés. Par exemple, si votre organisation dispose d’une procédure technique ou de documentation de formation expliquant comment fonctionne votre chiffrement, cette information doit également être protégée.
Réviser les évaluations et les rapports des tiers
Si vous avez fait appel à des consultants indépendants pour réaliser des analyses, des audits, des tests d’intrusions ou tout autre examen, analysez leurs recommandations. Malheureusement, de nombreuses organisations ne font rien des recommandations que des spécialistes leur proposent après avoir réalisé des analyses que ces dernières paient. Pourtant, il s’agit là d’une erreur facile à éviter.
2) Explorer la dimension humaine
La recherche dans l’industrie de la sécurité révèle que les humains continuent à représenter l’aspect le plus vulnérable dans le domaine de la sécurité. Un rapport d’IBM de 2014 montre que 95 % des atteintes à la sécurité mettaient en cause l’erreur humaine. Ce constat souligne l’importance de renforcer vos processus de chiffrement à l’égard de votre personnel. Pour ce faire, vérifiez si vos équipes déploient de bonnes habitudes et compétences en matière de chiffrement à l’aide des recommandations suivantes.
Déceler la présence de vulnérabilités relatives au chiffrement du genre « SPOK »
Dans le domaine des technologies de l’information (TI), l’acronyme « SPOK » signifie Single Point of Knowledge, c’est-à-dire une source unique de connaissances. Lorsque l’un des membres de vos équipes est une « SPOK », cela signifie que vous risqueriez de perdre un ensemble de connaissances critiques si cette personne était malade ou si elle quittait le service. Dans un contexte tactique, vous pourriez avoir un ou une spécialiste en communication qui connaît votre système de chiffrement dans ses moindres détails. Qu’arriverait-il si cette personne se retrouvait dans l’incapacité de faire son travail? Vous pourriez alors perdre votre capacité à communiquer en toute sécurité.
Évaluer le chiffrement et la gestion de la performance
Durant des opérations tactiques, il est tout naturel de se concentrer sur les résultats. Avez-vous sauvé les otages? Ou encore avez-vous atteint l’objectif de la mission en temps opportun? Ces mesures de la réussite d’une mission comptent pour beaucoup et méritent à juste titre votre attention. Cependant, la voie que vous empruntez pour réussir la mission importe également. Si vos équipes commencent à lésiner quant à la sécurité des communications, vous vous exposez éventuellement à de plus grands risques d’échec. Ainsi, nous vous suggérons de vérifier si vous évaluez convenablement si vos équipes utilisent de bonnes pratiques de chiffrement en tout temps et de les récompenser, le cas échéant.
Revoir votre formation en matière de chiffrement
Dans un monde idéal, vous devrez fournir deux différents types de formation. En premier lieu, offrez une formation approfondie à des spécialistes de la communication et de la sécurité en leur proposant des accréditations (p. ex., la certification de pirate informatique éthique ou la certification ISACA). En second lieu, fournissez régulièrement à l’ensemble de votre personnel une formation destinée aux utilisateurs finaux. Au fur et à mesure que vous découvrez de nouvelles vulnérabilités ou de mauvaises pratiques (p. ex., l’utilisation de téléphones cellulaires personnels pour discuter de tactiques), vous pourrez atténuer ces lacunes grâce à de la formation adaptée.
3) Éprouver vos communications mobiles en lien avec le chiffrement
Certains systèmes de communication sont plus faciles à protéger que d’autres. Au quartier général, vous disposez de lignes terrestres qui sont relativement faciles à défendre. Vous pouvez aussi utiliser des mesures physiques de sécurité pour accentuer vos mesures de sécurité du chiffrement. Or, la sécurité de vos communications sur le terrain fait face à des menaces bien plus importantes. C’est pour cette raison que nous vous recommandons d’éprouver en profondeur les communications mobiles.
Utilisez ces techniques pour mettre à l’essai votre chiffrement mobile :
Chiffrement automatisé par opposition au chiffrement manuel
L’utilisation de mots code et de livre-code a toujours son utilité en communication. Cependant, ces mesures sont au mieux considérées comme mesures secondaires. Si vous comptez exclusivement sur les codes manuels plutôt que sur des systèmes sécurisés, vos communications mobiles sont menacées.
Évaluez vos systèmes contre les brèches de sécurité connues
En 2018, des chercheurs ont publié une méthode efficace pour déjouer la sécurité au sein d’un réseau LTE. Plus précisément, ces derniers ont découvert qu’on pouvait parvenir à infiltrer la sécurité des réseaux mobiles plus vulnérables à l’aide d’attaque « ciphertext-only », avec lesquels un adversaire / tiers parti peut décrypter des algorithmes standards comme A5/1 et A5/2 en à peine quelques minutes. » Si ces réseaux venaient à être utilisés, même à titre de réseaux de secours, la sécurité de votre organisation pourrait en souffrir considérablement.
Comment traiter les problèmes relatifs au chiffrement
Puisque les menaces à la sécurité évoluent constamment, vous serez à même de déceler des faiblesses dans votre système de chiffrement à l’aide de ces essais. Muni de ces connaissances, vous pourrez réaliser des améliorations tant à court qu’à long terme. À court terme, offrir à votre personnel une meilleure formation en matière de chiffrement est une formule gagnante. À long terme, leur fournir de meilleurs outils pourra en outre vous assurer une longueur d’avance.
