Zero Trust est un concept bien compris dans l’industrie de la sécurité et est devenu un élément central des stratégies de sécurité de nombreuses organisations. Cependant, Zero Knowledge est resté largement sous le radar, malgré son importance pour contenir les violations de données.
Qu’est-ce que la connaissance zéro ?
Zero Knowledge est un modèle de sécurité qui utilise un système unique de cryptage et de séparation des données pour se protéger contre les violations de données à distance. Le modèle Zero Knowledge suit les principes suivants :
- Les données sont cryptées au niveau de l’appareil, pas au niveau du serveur.
- Le logiciel ne stocke jamais de données textuelles (lisibles par l’homme).
- Le serveur ne reçoit jamais de données en clair.
- Aucun employé ou intermédiaire ne peut voir les données non cryptées.
- Les clés de chiffrement et de déchiffrement sont basées sur le mot de passe principal de l’utilisateur.
- Le cryptage multicouche permet un contrôle d’accès aux niveaux utilisateur, groupe et administrateur.
- Le partage de données utilise le cryptage à clé publique pour une distribution sécurisée des clés.
En termes simples, si la devise de Zero Trust est “Ne faites confiance à personne”, celle de Zero Knowledge est “Nous ne savons rien et nous n’avons aucun accès à vos données”. “. Zero Knowledge est particulièrement important pour les fournisseurs et les organisations de sécurité chargés de protéger les données de leurs clients, car il garantit que seuls les utilisateurs finaux ont accès à leurs informations. Même si une entreprise qui stocke des données est piratée, ses utilisateurs finaux ne seront pas affectés , car l’entreprise elle-même ne peut même pas accéder aux données, et encore moins un tiers.
Pourquoi le Zero Knowledge est-il si important aujourd’hui ?
Dans notre monde de plus en plus numérique, les données personnelles de l’utilisateur moyen sont stockées et traitées par de nombreuses organisations controversées, dont beaucoup utilisent ces données à des fins de marketing et de publicité. Une grande partie de ces données contient des informations d’identification personnelle (IPI) très sensibles qui, si elles sont violées, exposent les utilisateurs au vol d’identité. Pourtant, la grande majorité de ces utilisateurs finaux ne savent pas comment leurs données sont stockées ou si leurs informations numériques sont sécurisées. En plus d’être une mauvaise nouvelle pour les clients, une violation de données d’entreprise a également des effets négatifs, parfois mortels, sur l’organisation concernée, ainsi que sur ses employés et ses partenaires. Une violation de données détruit la confiance, dégrade la marque d’une entreprise et expose l’organisation à des coûts de réduction des coûts, à de lourdes amendes pour violation du RGPD et d’autres réglementations sur la confidentialité des données, ainsi qu’à des poursuites judiciaires par les personnes concernées.
Cependant, si une organisation a correctement mis en œuvre une architecture Zero Knowledge, toutes ses données client sont chiffrées côté client. En cas de violation, que ce soit par un acteur externe ou un méchant interne, les seules “données” affectées sont le texte chiffré, composé d’une série de lettres et de chiffres aléatoires qui ne peuvent être lus par les humains ou les machines. Zero Knowledge, utilisé conjointement avec l’architecture de sécurité Zero Trust, est actuellement le meilleur moyen de protéger les données des utilisateurs.
Comment savoir si une entreprise est vraiment « Zero Knowledge » ?
Lorsque de grandes entreprises de technologie grand public comme Apple, Google ou Signal affichent des fonctionnalités telles que le cryptage “de bout en bout”, les avantages sont évidents : les utilisateurs finaux ne veulent pas que quelqu’un d’autre accède à leurs e-mails, leurs messages texte, images ou autres informations personnelles. communications. . Cette politique de confidentialité doit s’appliquer à toute entreprise qui détient des données d’utilisateurs, qu’il s’agisse d’une plateforme de médias sociaux ou d’un lieu de travail. Cependant, cela ne doit pas être le cas. Bien que de nombreuses organisations prennent la sécurité des données très au sérieux, elles sont tout aussi nombreuses à jouer à des jeux avec les données des utilisateurs, y compris certaines entreprises qui prétendent être “Zero Knowledge”. Bien que SSL/TLS et les verrous de site soient des mesures de sécurité importantes, les utilisateurs doivent comprendre ce que le verrou protège, c’est-à-dire les données transmises entre l’utilisateur et le site ou l’application. Les données sont cryptées dès qu’elles parviennent au destinataire.
Un autre problème survient lorsque les fournisseurs prétendent avoir un “chiffrement complet du disque” sur tous les serveurs – mais le fournisseur possède les clés de chiffrement. Il peut même les stocker dans la même base de données qui stocke les données des utilisateurs, ce qui revient à verrouiller des objets de valeur dans un coffre-fort, puis à écrire la combinaison sur un morceau de papier et à le coller sur la façade. Dans un environnement Zero-Knowledge, le fournisseur ne stocke pas les clés de chiffrement. Pas d’accès du tout !
Comment savoir si une organisation prétendant être “Zero Knowledge” est réelle ? Voici quelques drapeaux rouges à surveiller :
- Si une entreprise peut vous envoyer un e-mail à propos de vos données, ce n’est probablement pas Zero Knowledge.
- S’il dispose de tout type de trackers intégrés ou d’analyses d’utilisation, il ne s’agit probablement pas de Zero Insights.
- S’il peut effectuer un traitement significatif basé sur des données (IA, analyses, flux de travail automatisés), ce n’est probablement pas Zero Insights.
L’architecture Zero Knowledge, en particulier lorsqu’elle est utilisée conjointement avec Zero Trust, peut empêcher la plupart des violations de données, ou du moins réduire considérablement leur impact. Les mots de passe, adresses e-mail, numéros de téléphone portable et autres informations personnellement identifiables ne sont pas eux-mêmes visibles sur le dark web : quelqu’un a volé ces informations au fournisseur qui les stockait. Cette “personne” peut être un initié ou une menace extérieure. Les violations de données et leurs conséquences peuvent devenir moins fréquentes et s’aggraver si davantage d’organisations adoptent Knowledge Zero.
Toute entreprise qui stocke des données sensibles, ce que presque tout le monde fait aujourd’hui, devrait sérieusement envisager de mettre en œuvre une architecture Zero Knowledge. Pour les fournisseurs de sécurité, tels que les sociétés de gestion de mots de passe, cela devrait être trivial. Les utilisateurs accordent une confiance incroyable à la sécurité de leurs mots de passe. Cependant, les utilisateurs veulent que toutes leurs données soient protégées, pas seulement leurs mots de passe. S’assurer que les pirates ne peuvent pas accéder aux informations médicales, aux cartes de crédit, aux photos, aux vidéos et aux messages instantanés des clients est tout aussi important que de protéger leurs mots de passe. En plus d’assurer la sécurité des données des clients, Zero Knowledge profite aux efforts globaux de sécurité et de conformité d’une organisation, en particulier en se conformant aux réglementations sur la confidentialité des données telles que le RGPD. C’est une victoire pour les deux camps.
