Chiffrement des sauvegardes 101 : lignes directrices et meilleures pratiques

La définition d’une sauvegarde cryptée

Le cryptage protège les données en les transformant de leur format texte brut (texte lisible) en texte chiffré (format illisible) à l’aide d’algorithmes mathématiques sophistiqués et de clés de cryptage. L’objectif est que le décryptage des données ne soit accessible qu’aux utilisateurs qui sont censés y avoir accès en premier lieu.

Il existe de nombreux exemples où le cryptage des données a été mis en œuvre à grande échelle. Certains de ces exemples n’ont utilisé le cryptage qu’après une violation massive de données. Le détaillant Target a vu les informations personnelles de plus de 70 millions de ses utilisateurs compromises à la suite d’une attaque de pirates informatiques en 2013. Il a dû payer une somme colossale dans le cadre d’un règlement relatif à une violation de la sécurité. Le renforcement de la sécurité des données (avec l’ajout du cryptage) faisait également partie de ce règlement. La Bank of America, quant à elle, a mis en place un cadre de cryptage clair il y a quelque temps en raison des exigences de conformité financière (dans ce cas, la conformité PCI DSS, qui est abordée plus loin dans l’article).

L’algorithme de chiffrement le plus répandu à l’heure actuelle est le AES – Advanced Encryption Standard. Il a été développé à l’origine pour remplacer le DES, ou Data Encryption Standard (devenu beaucoup trop vulnérable au fil du temps). L’AES peut fonctionner avec trois longueurs de clé principales : 256 bits, 192 bits et 128 bits. L’AES-256 est largement considéré comme la méthode de cryptage la plus sûre qui soit, combinant à la fois la résistance aux cyberattaques et la vitesse de cryptage/décryptage.

Le chiffrement n’est pas toujours bénéfique pour les utilisateurs ordinaires – en fait, il peut être utilisé pour des actions nuisibles et illégales. L’un des types de cyberattaques les plus courants de nos jours est le ransomware (68,42 % de toutes les cyberattaques en 2022), qui utilise les mêmes techniques de chiffrement pour modifier des fichiers non protégés et demander une rançon à leurs propriétaires en échange du déchiffrement des données.

En outre, il convient d’établir une distinction claire entre le chiffrement et le hachage, car les chefs d’entreprise ont tendance à les confondre régulièrement. Le hachage en tant que processus peut sembler similaire au cryptage dans sa nature, car il décrit également un processus de transformation d’un élément de données en une combinaison illisible de symboles. La principale différence entre le hachage et le cryptage réside dans le fait que le hachage est un processus unilatéral, qu’il n’est pas possible d’inverser.

Le hachage et le cryptage ont également des cas d’utilisation quelque peu différents. Le chiffrement est un terme beaucoup plus large qui couvre une variété de cas d’utilisation, de la protection des données à la cybercriminalité. Le hachage, quant à lui, est beaucoup plus nuancé et principalement utilisé pour les contrôles d’intégrité des données, la validation des mots de passe et la blockchain.

Avantages de la sauvegarde chiffrée

L’utilisation du chiffrement sur les informations sauvegardées offre de multiples avantages, notamment :

• Même si votre ordinateur portable, votre disque dur ou votre smartphone est volé, perdu ou autrement compromis, le chiffrement empêche l’utilisation abusive de vos informations. Il garantit la fiabilité, l’exactitude et la validité de vos sauvegardes, en s’assurant que les données restent inchangées.
• Le cryptage protège vos informations en les rendant illisibles pour les personnes non autorisées ou les acteurs malveillants, ce qui vous garantit, ainsi qu’à vos clients, la tranquillité d’esprit en sachant que les données sensibles restent sécurisées et confidentielles.
• Le chiffrement limite l’accès aux personnes autorisées, garantissant que seules les personnes prévues peuvent déchiffrer et utiliser les informations.
• Le chiffrement constitue un puissant bouclier contre l’usurpation d’identité et les tentatives de chantage, car les pirates ne peuvent accéder aux informations sans la clé de déchiffrement. En outre, il protège les sauvegardes contre la falsification et la corruption, ce qui renforce encore la sécurité des données.
• Le chiffrement aide les entreprises à respecter les réglementations et les normes telles que le GDPR ou PCI DSS (voir ci-dessous). Ces exigences obligent les entreprises à chiffrer les informations personnelles des clients lorsqu’elles sont stockées ou transmises sur des réseaux publics.

Types de cryptage

Compte tenu de l’importance croissante de la sécurité des données, il n’est plus acceptable, dans le cadre des meilleures pratiques, de laisser vos sauvegardes de données non cryptées, ce qui risque d’entraîner de graves problèmes pour toute organisation. Cependant, il peut être difficile de s’y retrouver parmi les différentes méthodes de cryptage disponibles. Voici quelques exemples de facteurs qu’il peut être important de prendre en compte lors du choix d’une méthode de cryptage spécifique pour votre entreprise :

• Compétences techniques
• Obligations en matière de sécurité
• Exigences en matière de cadre de travail
• Types de données
• Contraintes budgétaires
• Étendue, et plus encore.

Les sauvegardes cryptées peuvent être générées à l’aide de plusieurs méthodes différentes. Par exemple, deux types de cryptage sont considérés comme communément utilisables.

Cryptage asymétrique

Le cryptage asymétrique utilise une approche unique de la sécurité des données, en employant deux clés mathématiquement liées : une clé publique et une clé privée. La clé publique, facilement accessible à tous, sert uniquement à crypter les données. Cela signifie que n’importe qui peut utiliser la clé publique pour sécuriser des informations, garantissant ainsi leur confidentialité.

En revanche, seule la clé privée a le pouvoir de décrypter les données (si elles ont été cryptées à l’aide de la clé de la même paire). Cet accès contrôlé à la clé de déchiffrement garantit que seules les personnes autorisées peuvent déchiffrer les informations sécurisées.

Par conséquent, le duo de clés privée et publique constitue la base du chiffrement asymétrique, jouant des rôles distincts mais cruciaux dans la sécurisation et la sauvegarde des données sensibles.

Cryptage symétrique

Les algorithmes à clé symétrique représentent une classe d’algorithmes cryptographiques qui utilisent la même clé pour déchiffrer le texte chiffré (données chiffrées illisibles) et pour chiffrer le texte en clair (données lisibles). En termes plus simples, ils s’appuient sur une clé secrète partagée qui sert à la fois de serrure et de clé, permettant à la fois le cryptage et le décryptage des informations.

Les méthodes de mise en œuvre du cryptage changent également de manière assez radicale en fonction de l’état des données en question. En suivant une idée similaire à la précédente, nous pouvons présenter deux catégories de cryptage – au repos et en transit.

Cryptage au repos

Les données d’une entreprise sont un trésor d’informations précieuses. Le chiffrement au repos sert de système de sécurité sophistiqué pour garder ces données, garantissant la confidentialité et l’intégrité de vos données même lorsqu’elles sont « au repos », c’est-à-dire qu’elles résident sur un support de stockage – disque dur, stockage dans le nuage, etc.

Pensez à la façon dont vos sauvegardes, après leur voyage à travers le réseau, trouvent leur place finale dans le stockage en nuage, S3, ou dans vos propres systèmes de stockage. Le chiffrement au repos agit comme le bouclier impénétrable du coffre-fort, en chiffrant vos données à l’aide d’une clé unique. Cette clé est la seule option possible pour accéder à ces données, en accordant l’accès aux seuls utilisateurs autorisés et en interdisant l’entrée à toute personne qui tenterait un décryptage non autorisé.

Même si un pirate informatique accède physiquement à l’appareil qui stocke vos données, le chiffrement au repos reste un adversaire redoutable, rendant les données en question inutilisables pour quiconque ne dispose pas de la clé de déchiffrement.

Le chiffrement au repos est également ce que Google Cloud Platform appelle sa propre itération du SSE (Server-Side Encryption). Ces deux termes sont souvent utilisés de manière interchangeable, car le SSE est exactement la même technologie conçue pour protéger les données d’un client « au repos », même si Microsoft et Amazon ont des conventions de dénomination différentes pour leurs itérations du SSE (Server-Side Encryption et Storage Service Encryption, respectivement). En même temps, l’ESS est principalement considéré comme une fonction du fournisseur de stockage en nuage, et le « chiffrement au repos » peut également être appliqué aux données stockées en dehors du stockage en nuage.

Cryptage à mi-parcours

Le chiffrement en transit agit comme un véhicule blindé protégeant ces données, garantissant leur confidentialité et leur intégrité pendant qu’elles voyagent entre les appareils, les réseaux et le nuage.

Les sauvegardes sont généralement transférées depuis leur origine, qu’il s’agisse d’une machine locale ou distante, d’un serveur ou d’une plateforme basée sur le cloud (qui pourrait être quelque chose comme Salesforce, Microsoft 365, Google Workspace ou tout autre service cloud) jusqu’à leur destination finale (vers n’importe quel stockage, y compris les systèmes de stockage sur site, à distance ou cloud). Au cours de ce voyage, le cryptage en transit enferme vos données dans une couche impénétrable, les protégeant de tout accès non autorisé et de toute interception potentielle.

E2EE, ou chiffrement de bout en bout

Le chiffrement de bout en bout (E2EE) est un outil puissant pour protéger vos communications dans le monde numérique d’aujourd’hui. Il agit comme un bouclier impénétrable, en chiffrant vos données sur le dispositif d’envoi et en veillant à ce qu’elles restent illisibles pour quiconque, à l’exception du destinataire prévu, même si elles sont interceptées pendant la transmission.

L’appareil de l’expéditeur crypte le message à l’aide d’une clé unique connue uniquement du destinataire. Cette clé est utilisée pour verrouiller et déverrouiller le message, garantissant ainsi sa confidentialité tout au long de son parcours.

Les tiers, tels que les fournisseurs de services internet, les fournisseurs d’applications, les pirates ou même la plateforme elle-même, n’ont pas accès au contenu de votre communication. Ils ne peuvent voir que le message crypté, qui apparaît comme un fouillis sans la clé de décryptage appropriée.

L’E2EE a gagné en popularité dans divers services de messagerie tels que Facebook Messenger, WhatsApp et Zoom. Cependant, sa mise en œuvre a également suscité la controverse. S’il renforce la protection de la vie privée des utilisateurs, il peut également entraver les enquêtes des autorités et servir de refuge à des activités illicites.

De nombreux fournisseurs de services de stockage en nuage proposent des fonctionnalités de sauvegarde chiffrée de bout en bout, et même certaines des plateformes de sauvegarde les plus connues peuvent offrir la même fonction. Cette fonctionnalité est relativement nouvelle sur le marché, mais son niveau de protection constitue un avantage considérable qu’aucune entreprise ne peut se permettre de négliger à l’heure actuelle.

Clés de chiffrement et services de gestion des clés

Les clés de chiffrement ont déjà été mentionnées dans cet article, leur définition exacte ne devrait donc pas être difficile à comprendre. Il s’agit d’un élément de données utilisé en cryptographie pour effectuer une opération de décryptage, une opération de cryptage, ou les deux. Les capacités d’une clé de chiffrement dépendent entièrement du type de chiffrement choisi – il n’y a qu’une seule clé de chiffrement pour un type de chiffrement symétrique, tandis que le type asymétrique a toujours une paire de clés (clé publique et clé privée).

Une clé de cryptage est aussi forte que longue – les clés plus longues sont plus difficiles à décrypter, mais nécessitent également une plus grande puissance de traitement pour effectuer l’opération de décryptage/chiffrement. En raison de leur nature extrêmement sensible, il est tout à fait naturel qu’un système dédié soit créé spécifiquement pour le stockage des clés de chiffrement – et il existe de nombreux services de ce type.

Ces services de gestion des clés (tels que Google Cloud Key Management, Azure Key Vault, AWS Key Management Service, etc.) offrent un moyen simple de gérer et de protéger les clés de chiffrement/déchiffrement. Il n’est pas rare que ces services de gestion de clés valident les clés de chiffrement à l’aide du FIPS 140-2 Cryptographic Module Validation Program et utilisent des modules de sécurité matériels (HSM) pour une meilleure gestion des clés pour leurs clients.

Les services de gestion des clés peuvent offrir une variété d’avantages, notamment :

• Assurance de la conformité : </Les enregistrements inviolables permettent de passer facilement les audits de conformité.
• Défense infranchissable : Rend l’accès non autorisé aux données extrêmement difficile, exigeant des intrus qu’ils compromettent à la fois la clé et l’emplacement des données.
• Rotation des clés : </La rotation régulière des clés garantit que les attaquants disposent d’un temps limité pour exploiter les vulnérabilités.
• Sécurité multicouche : Pour voler des informations, il faudrait compromettre le fournisseur de la solution, le fournisseur de services en nuage et le client, ce qui augmente considérablement le niveau de difficulté.

Exigences et cadres juridiques exigeant le chiffrement

Le nombre total d’exigences et/ou de cadres juridiques divers qui exigent le chiffrement des données d’une manière ou d’une autre est extrêmement élevé, c’est pourquoi nous n’allons présenter qu’une petite sélection des réglementations les plus connues :

• GDPR, ou Règlement général sur la protection des données.

L’article 32, paragraphe 1, point a), souligne l’importance d’utiliser des mesures spécifiques pour protéger les informations sensibles. Cela inclut le cryptage comme outil potentiel, en fonction de la nature et de la portée du traitement, des risques encourus et de l’état de la technique. La pseudonymisation, une autre technique de protection des données, peut également être envisagée.

• HIPAA, ou Health Insurance Portability and Accountability Act.

Le paragraphe 164.312(a)(2)(iv) du 45 CFR décrit les exigences applicables aux entités et à leurs associés qui entrent dans le champ d’application de la loi. Il précise que les informations électroniques protégées sur la santé (ePHI) doivent pouvoir être cryptées et décryptées à l’aide d’un mécanisme transparent. Bien que l’exigence elle-même soit sujette à interprétation, des détails supplémentaires peuvent être trouvés dans les garanties techniques de la règle de sécurité de l’HIPAA (HIPAA Security Rule).

• PCI DSS, ou Payment Card Industry Data Security Standard.

L’exigence 3.4 stipule que les organisations doivent rendre les numéros de compte primaire (PAN) illisibles, quel que soit l’endroit où ils sont stockés. Cela inclut les supports numériques portables, les supports de sauvegarde et les journaux. Plusieurs méthodes peuvent être utilisées pour y parvenir, notamment le hachage à sens unique avec une cryptographie forte, la troncature combinée au hachage, ou l’utilisation de jetons et de tampons d’indexation (avec un stockage sécurisé pour les tampons) avec une cryptographie forte et des pratiques robustes de gestion des clés.

Type de chiffrement BYOK

Bring Your Own Key (BYOK) offre une méthode rigoureuse et hautement sécurisée pour protéger les informations sensibles dans l’environnement cloud. Cette approche s’écarte de la dépendance aux solutions de chiffrement standard des fournisseurs de cloud et permet aux utilisateurs d’exploiter leurs propres logiciels et clés de chiffrement de confiance.

BYOK permet aux utilisateurs de posséder et de contrôler entièrement leurs clés de chiffrement, ce qui garantit la souveraineté des données et la conformité aux réglementations et exigences spécifiques. L’utilisation de votre propre logiciel et de vos propres clés de chiffrement de confiance ajoute une couche de protection supplémentaire, augmentant de manière significative la difficulté d’un accès non autorisé.

BYOK permet aux utilisateurs de choisir le logiciel de chiffrement qui s’intègre le mieux à leur infrastructure existante, ce qui élimine les problèmes de compatibilité et favorise une plus grande flexibilité. Il offre également aux utilisateurs une visibilité totale sur toutes les activités de cryptage et de décryptage, ce qui permet de réaliser des audits et des enregistrements complets pour des processus de conformité et de gouvernance solides.

BYOK est une option intéressante pour les entreprises qui ne souhaitent pas s’appuyer sur des services en nuage pour stocker leurs clés de chiffrement, mais elle n’est pas sans poser de problèmes, et il est donc fortement recommandé de faire des recherches sur le sujet avant de s’engager à mettre en œuvre un tel système.

Bacula Enterprise et le cryptage des données

Dans le paysage concurrentiel des solutions de sauvegarde et de restauration, Bacula Enterprise s’impose comme un champion inégalé de la sécurité des données. Cette prouesse de sécurité inégalée découle d’une approche à multiples facettes englobant son architecture, son ensemble de fonctionnalités, ses options de déploiement adaptables et son vaste potentiel de personnalisation. Le fait que les principaux composants de Bacula fonctionnent sur le système d’exploitation Linux, intrinsèquement sûr, renforce encore sa position en matière de sécurité.

La sécurité est particulièrement importante pour Bacula Systems, une valeur fondamentale qui se reflète clairement dans son produit Bacula Enterprise – avec son approche à multiples facettes de la protection des données. Bacula transcende la notion de sécurité « suffisante ». Des fonctionnalités telles que l’authentification à deux facteurs, l’accès basé sur les rôles et les mots de passe uniques basés sur le temps (TOTP) ne sont pas seulement des ajouts optionnels – ce sont des éléments fondamentaux de l’architecture de sécurité de Bacula, représentant juste quelques-unes des bases minimales qu’une organisation devrait attendre d’une solution de sauvegarde.

Parmi les autres fonctionnalités de sécurité de Bacula Enterprise, on trouve un logiciel antivirus intégré, plusieurs politiques personnalisables pour le cryptage des données de sauvegarde, le contrôle granulaire des utilisateurs, la restriction granulaire des données, le support MFA, les contrôles d’accès LDAP, le cryptage au niveau des fichiers, le cryptage des communications, la détection de l’empoisonnement des données, les rapports avancés sur l’état de la sécurité, la surveillance de l’altération des données, et bien d’autres.

Cryptage des sauvegardes

En ce qui concerne les capacités centrées sur le chiffrement, Bacula peut offrir de nombreuses options avec lesquelles travailler, notamment :

• Prise en charge du cryptage des bandes.
• Cryptage TLS automatique.
• Support de quatre variantes de chiffrement différentes – AES256, AES192, AES128 et blowfish.
• Deux algorithmes de résumé différents – SHA256 et SHA1.

Bacula permet de chiffrer et de signer numériquement les données avant de les envoyer à son démon de stockage. Ces signatures sont validées lors de la restauration et chaque erreur est signalée à l’administrateur. Il est essentiel que ni le Storage Daemon ni le Director n’aient accès au contenu des fichiers non chiffrés au cours de ce processus.

La PKI (Public Key Infrastructure) de Bacula Enterprise est composée de certificats publics x509 et de clés privées RSA. Elle permet de générer des clés privées pour chaque File Daemon – ainsi qu’un certain nombre de clés principales qui peuvent déchiffrer n’importe quelle sauvegarde chiffrée dans le système (elles sont également générées en tant que paire – une clé publique et une clé privée).

Il est fortement recommandé de stocker les clés du File Daemon et les clés principales hors site, aussi loin que possible de l’emplacement de stockage d’origine. Tous les algorithmes de chiffrement/déchiffrement mentionnés ci-dessus sont également exposés à l’aide d’une API agnostique d’OpenSSL qui est entièrement réutilisable. Son format de volume est ASN.1 encodé en DER, la syntaxe des messages cryptographiques de la RFC 3852 étant utilisée comme base de référence.

Bacula peut également stocker des clés de chiffrement/déchiffrement à l’aide de deux formats de fichiers différents : .CERT et .PEM. Le premier ne peut stocker qu’une seule clé publique avec le certificat x509, il est principalement utilisé pour stocker une seule clé de chiffrement spécifique. Le second est beaucoup plus complexe – c’est le format de stockage OpenSSL par défaut pour les clés publiques, les clés privées et les certificats, et il peut stocker plusieurs clés en même temps – une excellente option pour la génération de clés asymétriques lorsqu’il y a une paire de clés à générer en premier lieu (public + privé).

L’avenir du chiffrement de sauvegarde

L’avenir du cryptage de sauvegarde est un paysage dynamique débordant d’innovation et motivé par le besoin permanent de protéger des données précieuses contre des cybermenaces de plus en plus sophistiquées. Comme le cryptage lui-même subit une évolution constante, les moyens de protéger les sauvegardes continueront à s’étendre et à s’adapter pour répondre aux défis croissants de la sécurité de demain.

Voici quelques-unes des avancées potentielles qui façonneront l’avenir du cryptage des sauvegardes :

• L’intelligence artificielle et l’apprentissage automatique joueront un rôle essentiel dans l’automatisation et l’amélioration des processus de cryptage des sauvegardes. Les algorithmes alimentés par l’IA peuvent détecter les anomalies et les menaces potentielles, tandis que l’apprentissage automatique peut être utilisé pour optimiser la gestion des clés de chiffrement et automatiser les tâches de routine.
• Les individus auront de plus en plus de contrôle sur leurs données grâce à des solutions de chiffrement centrées sur l’utilisateur. Ces solutions permettront aux utilisateurs de gérer leurs clés de chiffrement, de définir les autorisations d’accès et de contrôler les activités de chiffrement, garantissant ainsi une plus grande transparence et une plus grande responsabilité.
• Algorithmes résistants aux quanta, conçus pour résister à la puissance de calcul des ordinateurs quantiques, pourraient devenir la nouvelle norme pour le cryptage de sauvegarde (certains des premiers exemples de ces algorithmes sont FALCON et CRYSTALS-KYBER).
• Les solutions de stockage complexes décentralisées s’imposeront comme une alternative plus sûre et plus résistante aux méthodes de stockage traditionnelles. Ces solutions répartiront les données entre plusieurs nœuds, ce qui rendra plus difficile le ciblage et la compromission par les pirates informatiques. Cela inclut également l’adoption plus large d’une approche de sécurité zéro confiance dans son ensemble, en utilisant le principe du « moindre privilège » pour une meilleure sécurité et un risque plus faible de violation des données.
• Le chiffrement des sauvegardes s’intégrera de manière transparente dans tous les processus de stockage et de transfert de données, éliminant ainsi le besoin d’intervention manuelle et d’erreur humaine. Cela permettra non seulement de renforcer la sécurité, mais aussi de rationaliser les flux de travail de gestion des données.

Ces avancées sont capables d’offrir aux utilisateurs un meilleur contrôle et une plus grande transparence sur leurs informations, tout en ayant de grandes chances de protéger les données contre les nouvelles menaces. En combinant des solutions centrées sur l’utilisateur et une technologie de pointe, l’avenir du cryptage des sauvegardes promet un environnement plus sûr et plus fiable pour le stockage sécurisé des données.

Conclusion

Les cybercriminels ciblent de plus en plus les sauvegardes dans le but de paralyser la capacité des organisations à se remettre des attaques et à maximiser leur contrôle sur les systèmes compromis. Cela souligne l’importance cruciale du chiffrement des sauvegardes, non seulement pour la continuité des activités et la reprise après sinistre, mais aussi pour l’amélioration significative de la posture de sécurité globale de votre organisation.

Le chiffrement des sauvegardes est une pratique exemplaire en matière de sécurité, qui protège les informations confidentielles de votre entreprise et contrecarre les accès non autorisés. Le chiffrement des sauvegardes transforme les informations sensibles en un format illisible, créant ainsi une couche de protection des données relativement solide. Il rend les données inutilisables même si des pirates les interceptent pendant la transmission, car ils ne disposent pas de la clé de décryptage nécessaire pour y accéder ou les déchiffrer.

La grande fiabilité et le rôle clé du cryptage dans la sécurité des données en font une pierre angulaire des mesures de sécurité pour les applications commerciales, militaires, gouvernementales et autres applications critiques. Cependant, une mise en œuvre correcte est nécessaire pour tirer un haut niveau de sécurité du chiffrement – ce que Bacula Enterprise peut offrir. La qualité des types de chiffrement de Bacula et la façon dont ils sont architecturés dans le système Bacula en font un véritable leader. Il s’agit d’une plateforme de sauvegarde exceptionnellement flexible avec une gamme exceptionnellement large de fonctionnalités différentes, y compris des méthodes efficaces de protection des données et un support étendu du chiffrement.