Les bases du chiffrement de transfert de fichiers

août 29, 2018 Sécurité et conformité, MOVEit

L'Internet cristallise toutes les peurs pour les entreprises, ce qui explique pourquoi elles sont si nombreuses à adopter des pratiques exemplaires pour sécuriser leurs transferts de fichiers. 

Le chiffrement est une des meilleures pratiques en matière de protection des données. Trois protocoles peuvent être utilisés pour chiffrer les transferts de fichiers : FTPS (File Transfer Protocol Secure), SFTP (SSH File Transfer Protocol) et HTTPS (HTTP Secure). Ces trois protocoles sont massivement utilisés pour les transferts internes/externes ou interentreprises. Mais commençons par les fondamentaux.

Qu'est-ce qu'un transfert de fichier chiffré ?

Le chiffrement de transfert de fichiers est une mesure de sécurité essentielle qui empêche les utilisateurs non autorisés de lire ou d'assimiler des données en cours de transfert. Les informations sont ainsi protégées des pirates potentiels. Les données chiffrées sont converties dans un format non identifiable pendant leur transfert et, une fois qu'elles atteignent leur destination, elles retrouvent à nouveau un format lisible. De cette manière, les données ne sont accessibles que par ceux auxquels elles sont destinées.

Options de chiffrement de bout en bout

FTPS (ou FTP via SSL) est, des trois options de chiffrement de transfert de fichier, celle qui est le plus largement répandue. FTPS est disponible en version implicite ou explicite, mais les deux utilisent le chiffrement SSL. Avec FTPS Implicit SSL, le client et le serveur établissent une session SSL avant tout transfert de données. Comparativement, dans FTPS Explicit SSL, le client et le serveur décident ensemble quelle norme de chiffrement est requise pour les données à transférer. Ce scénario est utile car les sessions FTP non chiffrées et FTPS chiffrées peuvent être associées à un seul port. Mais cela ne peut être toujours le cas et un ensemble de ports de données doit être disponible pour utilisation.

SFTP n'a besoin que d'un port, ce qui en fait l'option de chiffrement la plus simple. L'ensemble des données échangées entre un client et un serveur SFTP sont protégées par un algorithme de chiffrement, et via l'utilisation de clés publiques et privées. Ces clés permettent de renforcer la protection grâce à une autre méthode d'authentification, l'authentification de clé publique.

Alors que FTPS et SFTP sont particulièrement adaptés à une utilisation interne aux serveurs, HTTPS convient davantage aux transferts manuels et interactifs. Le protocole HTTPS est opérationnel même sur les sites Web que nous utilisons. HTTPS protège les données transmises entre les navigateurs Web et les sites Web que nous consultons. Des navigateurs tels que Chrome et Firefox représentent graphiquement cette sécurité sous forme de cadenas verrouillé dans la barre de sécurité.  HTTPS utilise les protocoles SSL ou TSL. Comme SFTP, HTTPS utilise également une infrastructure de clé publique. Dans ce système, les clés publiques et privées sont interdépendantes. Les sites Web ou données chiffrées avec la clé publique ne peuvent être déchiffrés qu'avec la clé privée, et vice versa.

Fondamentalement, ces trois options (FTPS, SFTP et HTTPS) permettent de chiffrer automatiquement et en toute transparence les données de l'entreprise et de protéger leur intégrité lors de leur parcours sur Internet. Ce qui convient à votre entreprise peut être ramené à vos besoins spécifiques en matière de transferts chiffrés.

De l'importance de chiffrer les données inactives

Non seulement il est important de chiffrer les données dans le cadre des transferts de fichiers d'un serveur à l'autre, mais il est tout aussi capital de protéger et chiffrer ces données lorsqu'elles sont stockées sur votre serveur domestique. Pourquoi ? Il y a deux raisons. Pour commencer, les fichiers d'échange de données sont particulièrement vulnérables du fait de leur format largement répandu. Le chiffrement des fichiers inactifs apporte une protection supplémentaire contre les cybercriminels potentiels. Ensuite, parce que les serveurs de transfert de fichiers sur Internet sont davantage exposés aux attaques.

Lorsque les données inactives sont chiffrées, il ne suffit pas aux pirates qui les convoitent de s'introduire sur le serveur ; il leur faut également identifier la clé de déchiffrement de ces données. Leurs tentatives demandent alors plus de temps et d'efforts, ce qui vous donne amplement le temps de prévenir les autorités et de débusquer les pirates.

Certes, votre entreprise utilise peut-être un pare-feu, une zone DMZ ou un proxy inverse ; mais en dépit de ces protections, vous restez exposé aux menaces car ces composants sont reliés au monde extérieur, alors qu'un transfert de fichier ne l'est pas. En raison de la cybercriminalité actuelle, il est important pour les entreprises d'adopter une approche stratégique et défensive en protégeant leurs données, qu'elles soient mobiles ou à l'état de stockage.

Données accessibles ou pouvant être partagées par des tiers 

Lorsqu'une entreprise partage un fichier avec une autre entreprise, elles ont généralement recours à des solutions de stockage qui proposent le chiffrement automatique. Souvent, les fournisseurs de ces solutions exigent que vos utilisateurs soient authentifiés auprès d'un domaine pour pouvoir les utiliser. Mais alors que se passe-t-il si vous devez transférer un fichier à une entreprise qui n'a pas été authentifiée ? De quelles options disposez-vous ? Ne devez-vous travailler qu'avec des fournisseurs qui sont authentifiés ? Votre entreprise doit s'assurer autrement que les fichiers, qu'ils soient stockés ou en cours de transfert, sont chiffrés.

Découvrez comment automatiser les tâches informatiques avec PowerShell. Téléchargez cet e-book. 

Dans la plupart des entreprises, chaque fichier doit être chiffré avant d'être transféré (généralement via PGP). Avec le mécanisme de sécurité fiable PGP (Pretty Good Privacy), les entreprises sont assurées que lorsqu'un utilisateur télécharge un fichier, ce dernier est chiffré sans qu'il soit nécessaire d'être un expert informatique. Toutefois, même si PGP est un outil précieux, le risque d'intrusion est toujours présent, ce qui annule le bénéfice du chiffrement PGP.

Le seul recours à PGP est-il suffisant pour gérer la sécurité des fichiers ?

Que se passe-t-il en cas de défaillance de PGP ? Ou encore, PGP est-il suffisamment puissant pour protéger les fichiers les plus stratégiques et privés d'une entreprise ? De nombreux clients utilisent PGP et louent son efficacité. Et, oui, on peut dire que PGP est incroyablement efficace lorsqu'il est dans les mains d'experts de la sécurité. Ces professionnels maîtrisent l'utilisation des algorithmes et clés de sécurité et savent comment remédier aux défaillances.

Pour les moins technophiles d'entre nous, c'est plutôt le scénario suivant qui se produit : L'utilisateur reçoit un identifiant permettant de déchiffrer un transfert de fichier. S'il ne parvient pas à l'utiliser, il demande généralement de l'aide à un collègue de bureau. Ce code n'est donc plus privé puisque l'accès au fichier transféré a été octroyé à un autre utilisateur. C'est comme si le mot de passe permettant d'accéder à l'ensemble des données avait été partagé.

En clair, c'est comme si vous disiez que mettre en œuvre un pare-feu protège l'intégralité de votre réseau. Vous prendriez plutôt les précautions nécessaires pour garantir à vos collaborateurs et à vos clients que votre système est sécurisé. C'est exactement ce qu'il faut faire avec PGP. PGP doit être mis en œuvre, mais d'autres mesures de sécurité doivent également être appliquées pour assurer la protection du réseau.

Étapes suivantes 

Pour en savoir davantage sur le chiffrement et la protection des transferts de fichiers, n'hésitez pas à lire le Guide indispensable des solutions gérées pour le transfert de fichiers (e-book) en cliquant ici.

Et vous serez toujours le ou la bienvenu(e) sur mon site (UltimateWindowsSecurity.com) pour vous tenir au courant des dernières actualités et analyses.