Au cours de la Seconde Guerre mondiale, les alliés ont acquis un avantage déterminant sur les forces de l’Axe en ce qui a trait à l’information tactique. Les alliés sont parvenus à décrypter le chiffrement allemand et japonais! Il s’agit là d’un avantage que vous ne pouvez pas vous permettre de céder à vos ennemis. Toutefois, il est peu plausible que ce genre d’avantage unilatéral en matière de renseignements se manifeste de nouveau, en raison des avancées en matière de chiffrement et de décryptage.
Il faut déployer des efforts constants pour assurer un chiffrement puissant. Il importe ainsi d’adopter les pratiques suivantes et de les intégrer à vos procédures standards d’opérations, afin d’assurer une protection systématique.
1) Déterminer les systèmes de renseignement et de communication à protéger par chiffrement
Il va sans dire que l’ajout de la protection par chiffrement entraîne des frais supplémentaires en matière de technologie, de formation et de surveillance. C’est pour cette raison que vous devez faire des choix judicieux quant à ce que vous souhaitez protéger. Commencez en déterminant les systèmes de communication dont vous dépendez pour réaliser la majeure partie de votre travail. Puis, recherchez des systèmes et des technologies qui démontrent plutôt une grande vulnérabilité aux attaques (p. ex., les réseaux sans fil et les systèmes à grande échelle exposés au public). Enfin, accordez la priorité aux ressources de chiffrement pour ces systèmes de grande importance.
2) Mettre en œuvre des normes en matière de chiffrement
En ce qui a trait au chiffrement, vous n’avez pas à partir de zéro. Selon les technologies et les appareils que vous aurez déterminés comme étant importants :
- Sécurité assurée par chiffrement sans fil LTE – Parcourez le guide du NIST intitulé NIST Guide to LTE Security, qui offre un aperçu détaillé de la sécurité assurée par la technologie sans fil LTE. Plus précisément, obtenez de l’information sur les algorithmes cryptographiques de la technologie LTE : algorithmes de chiffrement EPS (EEA) et algorithmes d’intégrité EPS (EIA). En outre, le guide souligne les différents enjeux en matière de sécurité fondée sur la technologie LTE auxquels vous ferez face éventuellement (p. ex., stations d’interception, écoute clandestine et attaques physiques sur les infrastructures).
- Chiffrement des communications radio – La norme que vous sélectionnerez sera en fonction de votre équipement. Comme point de départ, envisagez la norme de cryptage avancée (Advanced Encryption Standard – AES) no 256, puisque le département de la sécurité intérieure des États-Unis (Department of Homeland Security – DHS) l’a recommandée aux premiers intervenants en 2017.
- Exigences relatives au chiffrement des partenaires ou de la coalition – Vous devez être en mesure d’assurer la fiabilité des communications avec vos partenaires principaux; ainsi, approchez ces derniers pour bien connaître leurs exigences en ce sens.
Conseil : envisagez de contribuer à un organisme de normalisation comme le NIST, si vous avez des connaissances pertinentes ou des pratiques exemplaires en matière de chiffrement à partager.
3) Éviter la dépendance à un unique canal de communication
Vous vous exposez à de plus grands risques si vous dépendez trop d’une seule capacité de chiffrement. Si ce système était compromis, comme la technologie allemande l’Énigme l’a été durant la guerre, vous pourriez ne jamais vous en remettre. Pour vérifier si vous démontrez cette vulnérabilité, commencez à l’aide d’une simple auto-évaluation. Passez en revue les trois ou cinq dernières opérations importantes réalisées par votre organisation. Déterminez le moyen avec lequel les commandements, les rapports et les autres renseignements critiques ont été transmis et stockés. Vous découvrirez probablement que la plupart des personnes utilisent un ou deux canaux.
On peut réagir de deux façons à l’emploi excessif d’un unique canal de communication. Premièrement, vous pourriez réduire le risque en encourageant votre personnel à utiliser plusieurs canaux (p. ex., la communication sans fil LTE et la radio conventionnelle). Deuxièmement, vous pourriez ajouter des protections cryptographiques au canal utilisé plutôt intensément.
Ressource : rappelez-vous de scruter le ciel! Votre point faible pourrait se trouver au-delà des nuées. Pour vérifier si les satellites sont votre point faible, lisez notre article intitulé : « Vos communications militaires sont-elles trop tributaires des satellites? ».
4) Utiliser la segmentation en unités lexicales pour réduire les incidents de perte de données
Les données n’ont pas toutes la même importance quand il s’agit de chiffrement. Par exemple, les communications terrain durant une opération tactique nécessitent généralement davantage de protection qu’un document officiel. Cependant, qu’en est-il des renseignements permettant d’identifier une personne? Si elle était exposée, votre organisation pourrait perdre de la crédibilité auprès des parties prenantes et des alliés. Mais le risque ne se limite pas à cette exposition. Vous devrez également investir des ressources afin d’améliorer les dispositifs d’urgence, les relations publiques et davantage, afin d’en gérer les répercussions.
La segmentation en unités lexicales constitue une solution à ce problème. Au lieu de transmettre des points de données relatives à des renseignements permettant d’identifier une personne comme le nom au complet, le numéro de téléphone ou la date de naissance, envoyez une unité lexicale. Si l’ennemi intercepte l’unité lexicale durant sa transmission ou lorsqu’elle est en mode veille, elle ne lui sera d’aucune utilité. Les banques utilisent déjà ce processus afin de protéger les données relatives aux renseignements personnels de leurs clients. D’autres secteurs d’activité devraient d’ailleurs emboîter le pas en adoptant cette pratique.
5) Pratiquer la protection par chiffrement de bout en bout
En matière de sécurité, un seul lien faible vous suffit pour éprouver un problème important. Il est possible que certains systèmes dans d’autres secteurs de l’organisation soient plus vulnérables sur le plan de la protection, même si vous disposez d’appareils de communication sans fil fiables sur le terrain. Afin d’atténuer ce risque à la sécurité, évaluez régulièrement votre entière infrastructure d’information et de communication. Si vous utilisez des tiers ou des fournisseurs de services d’hébergement dans les nuages, prenez le temps de les évaluer attentivement.
6) Renforcer le chiffrement grâce à des mesures de contrôle relatives à la gestion des accès et des identités
Comment assurez-vous la sécurité de vos systèmes de chiffrement? Les bases de données qui comprennent les clés, les identifiants utilisateurs et d’autres données doivent faire l’objet d’une protection accrue. Afin de suppléer à la sécurité assurée par chiffrement, utilisez des mesures de contrôle relatives à la gestion des identités et des accès. Plus précisément, nous recommandons l’application du principe du « moindre privilège » à ces systèmes. Essentiellement, il s’agit de réduire au minimum le nombre de personnes qui ont accès à vos systèmes de sécurité.
7) Faire preuve de scepticisme en matière de chiffrement
Si un ennemi en venait à décrypter votre chiffrement, ce dernier détiendrait instantanément un avantage sur vous. Il pourrait s’agir d’un coup fatal pour vous! Voilà pourquoi vous ne pouvez pas vous permettre de demeurer dans la zone de confort que vous offre votre niveau actuel de chiffrement. Afin de rester sur vos gardes, nous recommandons de faire appel à des tiers pour vous aider à améliorer votre système de chiffrement.
Quelques possibilités s’offrent à vous pour sélectionner un tiers qui évaluera votre chiffrement. Si votre organisation est de grande envergure, vous pourriez faire appel à des spécialistes d’un autre groupe ou secteur pour mener des essais (p. ex., des essais des systèmes de renseignement de l’armée ou de la marine). Sinon, approchez des partenaires de la coalition pour leur demander de réaliser le même exercice pour vous. Si vous ne pouvez tirer parti de ces possibilités, faire appel à un consultant en matière de cybersécurité pour réaliser l’évaluation pourrait être votre prochain choix.
Boucler la boucle : deux conseils pour démarrer
En la parcourant, cette liste d’habitudes à prendre en matière de chiffrement pourrait vous sembler accablante à réaliser. Or, peu d’organisations appliquent systématiquement l’ensemble de ces habitudes. Mais pour vous rendre la vie plus facile, voici deux façons de commencer à prendre de bonnes habitudes.
Premièrement, comparez vos pratiques actuelles relatives au chiffrement aux meilleures pratiques et normes (p. ex., la norme NIST mentionnée plus haut). Cet effort vous aidera à déceler les enjeux les plus importants sur lesquels vous devez vous pencher. Deuxièmement, obtenez de l’assistance externe. Si vos systèmes de communication mobiles sont défaillants, vous pourriez avoir à vous procurer du nouvel équipement. À défaut de quoi, fournir davantage de formation à votre personnel pourrait s’avérer la meilleure solution.