Sécurité des échanges : focus sur le chiffrement des données.

Si la transition numérique facilite les échanges et le traitement des informations, il est certain que cela ne doit pas se faire au détriment de la sécurité. Face à la montée en puissance du risque cyber, il est indispensable aujourd’hui de protéger ses données notamment professionnelles.
Après vous avoir parlé signature électronique et lettre recommandée électronique ici, voici un focus sur le chiffrement des données : de quoi parle-t-on ? Que dit la loi ? Comment ça marche ?
Faisons le point, pour faire en sorte que sécurité rime avec productivité et qu’espace numérique se conjugue avec le respect des obligations déontologiques !

Pour assurer la sécurité des échanges, il est indispensable de pouvoir s’assurer de l’authenticité, de la confidentialité et de l’intégrité des documents et de garantir l’exactitude de leur origine et l’identité des personnes concernées. Ces techniques reposent, directement ou indirectement, sur ce que l’on appelle les certificats électroniques. Les certificats sont des outils de confiance. Ils fonctionnent sur la base du chiffrement et du « hachage ».

La confidentialité d’un support numérique est assurée par le chiffrement, qui va rendre le contenu illisible pour les tiers non autorisés, qui, par définition, ne disposent pas de la « convention secrète » ou clé de déchiffrement. L’intégrité d’un document va elle, être assurée par la création de son empreinte électronique, générée par des algorithmes dit de « hachage », qui va doter le document numérique d’un identifiant unique.

Les certificats sont, le plus souvent, délivrés par des prestataires de service de confiance, reconnus en tant que tel par une autorité de certification [1].

Chiffrement des données : de quoi parle-t-on ?

Le chiffrement est une technique de cryptographie (l’écriture secrète), sous-domaine de la cryptologie (la science du secret). Comme l’indique la CNIL, le chiffrement est une sorte d’ « enveloppe scellée numérique ». Plus précisément, c’est une « méthode qui consiste à protéger ses documents en les rendant illisibles par toute personne n’ayant pas accès à une clé dite de déchiffrement » [2].

Comme l’indique la CNIL, le chiffrement est une sorte d’ « enveloppe scellée numérique ».

Le chiffrement permet d’assurer la confidentialité des échanges et des données (courriels, fichiers, disques durs, communications, etc.) et de s’assurer de l’authenticité de l’expéditeur. Seuls l’émetteur et le destinataire « légitime » peuvent accéder au contenu : une fois chiffrées, les données sont inaccessibles et illisibles, à moins de disposer d’une clé spécifique et secrète, dite « de déchiffrement » qui permet de les...déchiffrer !

Que dit la loi ?

La cryptologie fait l’objet d’une réglementation spécifique : son usage est libre, mais les moyens employés sont réglementés. La cryptologie a commencé à être légalement appréhendée dans les années 80-90, notamment avec la loi du 29 décembre 1990 sur la réglementation des télécommunications [3] , puis par le biais de la réglementation sur les tiers de confiance [4] et la définition des catégories de moyens et de prestations de cryptologie [5].

Il faut aujourd’hui se référer notamment aux dispositions de la loi pour la confiance dans l’économie numérique (LCEN) [6]. On entend par moyen de cryptologie, « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie » [7].

Comment ça marche ?

Bien sûr, un fichier, un dossier, une clé USB ou un disque dur du système d’information peuvent être protégés grâce à un mot de passe. Mais le chiffrement va plus loin. Il consiste à traiter des données grâce à un algorithme de chiffrement, qui va les convertir dans un format « codé ». Pour qu’elles soient à nouveau intelligibles, il faudra effectuer l’opération inverse : le déchiffrement, qui ne peut être fait que par les personnes possédant la clé appropriée. La clé de déchiffrement peut être la même que celle utilisée pour le chiffrement.

Si la même clé est utilisée pour chiffrer et déchiffrer, on parle de chiffrement « symétrique » (une serrure, une clé et un double de la clé). En cas chiffrement dit « asymétrique », deux clés indissociables sont utilisées. À partir de sa clé dite « privée », générée grâce à un logiciel ou une fonctionnalité de chiffrement, une personne crée une clé dite « publique ». Le destinataire (d’un document, d’un courriel, etc.) dispose des deux clés : une clé publique, qui sera connue par l’émetteur et qui est utilisée pour chiffrer les données et une clé privée, connue du seul destinataire, qui est utilisée par lui pour déchiffrer les données qui lui sont transmises.

Les systèmes de chiffrement sont variés. Sous Windows (PC) par exemple, il suffit d’accéder aux propriétés avancées du document ou du fichier (en faisant un clic droit sur l’icône du fichier ou du dossier), de cliquer sur chiffrer le contenu et d’appliquer le chiffrement [8]. Un certificat de chiffrement sera généré automatiquement ; il conviendra de le sauvegarder, pour pouvoir continuer à accéder aux fichiers chiffrés si la clé était perdue notamment. Un cadenas sera matérialisé sur le dossier ou le fichier ; l’accès et toute autre action (déplacer, copier, supprimer, renommer) sont refusés aux tiers. Le document chiffré peut être joint à un e-mail.
Tous les contenus numériques peuvent être chiffrés (documents, courriels, photographies, fichiers audio, etc.), mais tous n’en ont pas besoin. Pour faire le tri, pensez à faire la cartographie de vos données critiques !

Article extrait du dossier paru initialement dans le Journal du Village de la Justice n°92 Spécial Cybersécurité des cabinets d’avocats (2nde partie) à retrouver ici.

Par A. Dorange
Responsable éditoriale du Journal du Village de la Justice

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

5 votes

Notes de l'article:

[1En France, ce rôle est dévolu à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).


[2CNIL, mars 2017, « Comment chiffrer ses documents et ses répertoires ? », www.cnil.fr.

[3L. n° 90-1170, 29 déc. 1990, JO 30 déc.


[4D. n° 98-101, 24 févr. 1998, JO 25 févr ; D. n° 98-102, 24 févr. 1998, JO 25 févr.

[5D. n° 99-199, 17 mars 1999, JO 19 mars ; D. n° 99-200, 17 mars 1999, JO 19 mars.

[6L. n° 2004-575, 21 juin 2004, JO 22 juin ; D. n° 2007-663, 2 mai 2007, JO 4 mai.


[7Art. 29, L. n° 2004-575, 21 juin 2004, précitée.


[8Sur Mac, il faudra d’abord créer une image du dossier (Spotlight), puis le protéger avec un mot de passe.


Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 110 membres, 23048 articles, 126 575 messages sur les forums, 4 300 annonces d'emploi et stage... et 2 000 000 visites du site par mois en moyenne. *


FOCUS SUR >

Suite du Legal Design Sprint 2022-2023 ! (Angers, Bruxelles, Rennes, Lyon et Paris...)

A LIRE AUSSI >

Suivez le Village sur les Réseaux sociaux... Et pourquoi pas avec une Alerte mail sur nouveaux articles ?




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs