Pourquoi la sécurité à Zero Knowledge est essentielle à votre entreprise ?

Le Zero Trust est un concept bien compris dans le secteur de la sécurité et est devenu un élément fondamental des stratégies de sécurité de nombreuses organisations. Cependant, le Zero Knowledge est restée largement sous le radar, alors qu’elle est d’une importance capitale pour contenir les violations de données.

Qu’est-ce que le Zero Knowledge ?

Le Zero Knowledge est un modèle de sécurité qui utilise un cadre unique de chiffrage et de séparation des données pour se protéger contre les violations de données à distance. Le modèle de Zero Knowledge adhère aux principes suivants :

• Les données sont chiffrées au niveau de l’appareil, et non sur le serveur.
• L’application ne stocke jamais de données en texte clair (lisibles par l’homme).
• Le serveur ne reçoit jamais de données en texte clair.
• Aucun employé ou intermédiaire ne peut consulter les données non chiffrées.
• Les clés de déchiffrement et de chiffrement des données sont dérivées du mot de passe principal d’un utilisateur.
• Le chiffrage multicouche permet un contrôle d’accès aux niveaux utilisateur, groupe et administrateur.
• Le partage des données utilise le chiffrement à clé publique pour une distribution sécurisée des clés.

En termes simples, si le slogan du Zero Trust est « Ne faites confiance à personne », celui du  Zero Knowledge est « Nous ne savons rien, et nous ne pouvons pas accéder à vos données. ». Le Zero Knowledge est particulièrement pertinent pour les fournisseurs de sécurité et les organisations chargées de protéger les données de leurs clients, car il garantit que les utilisateurs finaux sont les seuls à pouvoir accéder à leurs informations. Même si l’entreprise qui stocke les données est victime d’une violation, ses utilisateurs finaux ne seront pas compromis, car l’entreprise elle-même ne peut même pas accéder aux données, et encore moins un tiers.

Pourquoi le Zero Knowledge est-il si important aujourd’hui ?

Dans notre monde de plus en plus numérique, les données personnelles du consommateur type sont stockées et traitées par un éventail vertigineux d’organisations, dont beaucoup utilisent ces données à des fins de marketing et de publicité. La plupart de ces données sont constituées d’informations personnelles identifiables (IPI) très sensibles qui, en cas de violation, exposent les consommateurs au vol d’identité. Pourtant, l’écrasante majorité de ces utilisateurs finaux ne savent pas comment leurs données sont stockées ni si leurs informations numériques sont sécurisées. En plus d’être une mauvaise nouvelle pour les clients, les violations de données organisationnelles ont également des impacts négatifs, parfois catastrophiques, sur l’organisation victime de la violation, ainsi que sur ses employés et partenaires. Les violations de données érodent la confiance, dégradent l’image de marque d’une entreprise et exposent l’organisation à des coûts d’atténuation coûteux, à de lourdes amendes pour violation du RGPD et d’autres réglementations sur la confidentialité des données, ainsi qu’à des poursuites judiciaires de la part des personnes touchées.

Cependant, si l’organisation a correctement mis en œuvre une architecture Zero Knowledge, alors toutes ses données clients sont chiffrées côté client. En cas de violation, qu’elle soit le fait d’un acteur externe ou d’un initié malveillant, les seules « données » compromises sont les textes chiffrés, composés d’une série de lettres et de chiffres aléatoires qui sont illisibles pour les humains ou les machines. Le Zero Knowledge, utilisée conjointement avec une architecture de sécurité Zero Trust, est actuellement le meilleur moyen de protéger les données des utilisateurs.

Comment savoir si une entreprise est vraiment « Zero Knowledge » ?

Lorsque les grandes entreprises technologiques grand public comme Apple, Google ou Signal vantent des fonctionnalités telles que le chiffrement « de bout en bout », les avantages sont évidents : les utilisateurs finaux ne veulent pas que quelqu’un d’autre accède à leurs emails, leurs SMS, leurs photos ou toute autre communication personnelle.  Cette même garantie de confidentialité devrait s’appliquer à toute entreprise qui détient des données d’utilisateurs, qu’il s’agisse d’une plateforme de médias sociaux ou d’un lieu de travail. Or, ce n’est pas forcément le cas. Si de nombreuses organisations prennent la sécurité des données très au sérieux, elles sont tout aussi nombreuses à jouer avec les données des utilisateurs, y compris certaines entreprises qui prétendent être « Zero Knowledge ». Bien que le protocole SSL/TLS et le cadenas sur les sites web constituent une mesure de sécurité importante, les consommateurs doivent comprendre ce que le cadenas protège réellement, à savoir les données en transit entre le consommateur et le site web ou l’application. Les données sont déchiffrées une fois qu’elles atteignent leur destinataire.

Un autre problème se pose lorsque les fournisseurs affirment disposer d’un « chiffrement complet du disque » sur tous les serveurs – mais le fournisseur possède les clés de chiffrement. Il peut même les stocker dans la même base de données que celle qui contient les données des utilisateurs, ce qui revient à enfermer des objets de valeur dans un coffre-fort, puis à noter la combinaison sur un bout de papier et à la coller sur la façade. Dans un environnement Zero Knowledge, le fournisseur ne stocke pas les clés de chiffrement. Il n’y a même pas accès !

Comment savoir si une organisation qui prétend être « Zero Knowledge » l’est vraiment ? Voici quelques signaux d’alarme à surveiller :

• Si l’entreprise peut vous envoyer par mail des informations sur vos données, il est probable qu’elle ne soit pas Zero Knowledge.
• Si elle dispose d’un quelconque type de trackers in-app ou d’analyses d’utilisation, il est probable qu’elle ne soit pas Zero Knowledge.
• Si elle peut effectuer un traitement significatif sur la base des données (IA, analytique, workflow automatisé), il est probable qu’elle ne soit pas Zero Knowledge.

Une architecture Zero Knowledge, surtout lorsqu’elle est utilisée en conjonction avec le Zero Trust, peut empêcher la plupart des violations de données, ou du moins minimiser considérablement leur impact. Les mots de passe, les adresses postales, les numéros de téléphone portable et autres informations nominatives n’apparaissent pas d’eux-mêmes sur le dark web : Quelqu’un a volé ces informations à un fournisseur qui les stockait. Ce « quelqu’un » peut être une personne interne malveillante ou une menace externe. Les violations de données et leurs conséquences pourraient devenir beaucoup moins fréquentes et moins graves si davantage d’organisations utilisaient le Zero Knowledge.

Toute entreprise qui stocke des données sensibles, ce qui est le cas de presque tout le monde aujourd’hui, devrait fortement envisager de mettre en œuvre une architecture « Zero Knowledge ». Pour les fournisseurs de sécurité, comme les sociétés de gestion des mots de passe, cela devrait être une évidence.  Les utilisateurs accordent une confiance incroyable à la sécurité de leurs mots de passe. Cependant, les utilisateurs veulent que toutes leurs données soient protégées, et pas seulement leurs mots de passe. Il est tout aussi important de s’assurer que les acteurs de la menace ne peuvent pas accéder aux informations de santé, aux cartes de crédit, aux photos, aux vidéos et aux messages instantanés des clients que de sécuriser leurs mots de passe. En plus de garantir la sécurité des données des clients, le Zero Knowledge profite à l’ensemble des efforts de sécurité et de conformité d’une organisation, en particulier la conformité aux réglementations sur la confidentialité des données comme le RGPD. C’est une victoire pour les deux parties.