Les plateformes cryptées de bout en bout sont devenues un instrument majeur pour établir la confiance en ligne des entreprises et des particuliers dans le monde entier. Les services de police et de renseignement, quant à eux, peinent à suivre le rythme.
Leur méconnaissance et leur incertitude sur le sujet se reflètent dans l’ambiguïté du discours politique. D’une part, l’Union européenne préconise un cryptage fort dans le cadre de lois sur la protection des données telles que la RGPD. D’autre part, les tentatives d’interception de communications cryptées de bout en bout entre acteurs méfiants ne cessent de se multiplier.
La résolution du Conseil sur le cryptage, adoptée par le Conseil de l’Union européenne, en est le dernier exemple. Les politiciens continuent à s’efforcer d’obtenir à la fois un cryptage solide de bout en bout et un accès ciblé aux informations alors que, du point de vue de la sécurité et de la technologie, ces deux concepts sont diamétralement opposés. La symbiose n’est possible que dans la rhétorique politique.
En tant que cofondateur d’un service de cryptage de bout en bout sur le cloud, je suis profondément préoccupé par la manière dont les demandes d’accès à des données cryptées affecteront la sécurité de milliers d’entreprises et des millions de clients qui en dépendent dans l’UE et dans le monde.
L’économie numérique est en danger
Notre économie numérique dépend de l’utilisation généralisée d’un cryptage fort. Cela inclut le cryptage de bout en bout au sein d’organisations de toutes formes et de toutes tailles.
En tant qu’entreprises, nous dépendons de ce type de cryptage pour gérer les données des citoyens européens de manière conforme et sûre. L’utilisation d’un cryptage de bout en bout est souvent un facteur essentiel qui incite les entreprises à envisager de passer au « cloud ».
L’affaiblissement de ce protocole de cryptage menacerait la sécurité (et en fin de compte l’existence) de toutes ces entreprises à l’avenir, empêchant les décideurs d’opter pour la sécurité et l’efficacité optimales offertes par les systèmes basés sur le cloud.
Les entreprises comptent sur le cryptage de bout en bout pour de multiples raisons
Selon une étude réalisée par Entrust sur les tendances en matière de cryptage en 2020, près de la moitié des organisations interrogées ont déjà adopté une stratégie de cryptage cohérente. Notre propre enquête (réalisée avec l’aide de YouGov) de 2019 démontre une augmentation de la prise de conscience autour des cas d’utilisation du cryptage, avec 50 % des répondants du Royaume-Uni, de l’Allemagne et des États-Unis qui conviennent que le cryptage de bout en bout contribue à protéger leur vie privée numérique.
Les applications de cryptage de bout en bout dans un contexte commercial sont très nombreuses. Ma société Tresorit, un service de stockage sur le cloud, a pris connaissance de nombreuses utilisations essentielles rien qu’auprès de nos clients. Parmi eux, on trouve un large éventail d’entreprises qui traitent des données sensibles. Leurs actifs, qui vont de la propriété intellectuelle aux secrets d’affaires, en passant par les informations sur les employés et les dossiers médicaux, doivent être stockés et transmis de manière confidentielle.
Voici quelques exemples des raisons pour lesquelles le cryptage de bout en bout est indispensable pour répondre à leurs besoins :
Sécurisation des données sensibles
Pour des entreprises comme PayFit, le cryptage de bout en bout joue un rôle essentiel, leur permettant de fournir un environnement sécurisé aux données de leurs clients. « Les données que nous stockons sur nos clients sont, par définition, hautement confidentielles. Pensez aux données relatives aux salaires, aux documents d’identité, aux informations sur la santé, etc. », explique Guillaume Gohin, responsable de la sécurité de l’information. « Nous voulions nous assurer que nos données sont en sécurité à chaque étape… le cryptage de bout en bout le garantit ».
Respect de la réglementation sur la protection des données
Avec l’entrée en vigueur de la RGPD dans l’UE, une nouvelle vague de lois sur la protection des données a été déclenchée au niveau mondial. Le respect des exigences locales les plus strictes est un défi majeur pour la plupart des entreprises internationales. Pour des entreprises comme DMCC Netherlands et Pelago AB, l’utilisation d’une technologie conforme à la RGPD, comme le cryptage de bout en bout, est une question de crédibilité professionnelle. « Nous veillons à ce que les processus commerciaux de nos clients soient conformes à la législation européenne en matière de protection de la vie privée et des consommateurs », déclare Jitty van Doodewaerd, directrice de DMCC Netherlands B.V. « Nous devons mettre en pratique ce que nous prêchons. Par conséquent, notre propre stockage de données doit être conforme ».
Christoffer Lindblad, partenaire fondateur de Pelago AB, déclare : « Notre réputation de partenaire fiable est l’un de nos avantages concurrentiels les plus importants. Il est donc primordial que nous traitions toutes les données de la manière la plus sûre possible et le cryptage nous offre un outil important pour y parvenir ».
Protection des identités
Le cryptage de bout en bout aide également nos ONG et nos organisations de défense des droits de l’homme à assurer la sécurité des données essentielles. Elinor Stevenson, conseillère juridique principale au sein du Public International Law & Policy Group, candidat au prix Nobel de la paix et cabinet d’avocats mondial pro bono, le réitère. « Le cryptage est fondamental pour le travail que nous faisons avec les défenseurs des droits de l’homme. Il nous permet de partager et de stocker des informations sensibles en toute sécurité, d’une manière qui protège les personnes avec lesquelles nous travaillons et les informations elles-mêmes ».
Le problème des portes dérobées
La force de la technologie de bout en bout réside dans son intégrité structurelle. Les appels lancés par les services de répression aux entreprises pour qu’elles créent des portes dérobées vers des contenus cryptés sont dangereux car ils ébranlent la sécurité de l’ensemble du système. Cela ouvre la voie à des vulnérabilités aux attaques de logiciels malveillants et à une surveillance indésirable.
L’accès obligatoire de tiers aux contenus serait désastreux pour les particuliers comme pour les entreprises. Le coût d’une violation de données s’élevant en moyenne à 3,86 millions de dollars, le risque d’une politique de libre accès est trop élevé pour le supporter.
L’accès par porte dérobée est hors de question
Personne ne peut se permettre de renoncer au cryptage. Notre économie numérique repose sur une collaboration sûre et confidentielle pour prospérer. Obliger les entreprises à créer les moyens permettant à des tiers d’accéder à des systèmes cryptés ouvrirait la voie à des pertes spectaculaires. Perte de données. Perte d’argent. Perte de réputation. Pourquoi risquer de déstabiliser le système de sécurité et de provoquer une perte totale de confiance dans l’économie de réseau ?
Les régulateurs et les législateurs doivent comprendre ces menaces, consacrer leur énergie à des questions plus urgentes et cesser définitivement de parler de coercition détournée.
Image de kate.sade via Unsplash