Si vous avez traversé l'année 2022 sans jamais recevoir de message vous avertissant que vos informations personnelles ont été compromises lors d'une violation de la sécurité, vous pouvez vous estimer heureux. Dans le meilleur des cas, les acteurs malveillants n'auront eu connaissance que de votre nom et de votre adresse e-mail, soit des informations qui ne vous causeront que peu de soucis. A contrario, toutefois, il peut arriver que la sécurité d'une application de rencontre fasse l'objet d'une violation et que des détails intimes sur votre vie personnelle (contenus dans votre profil) soient exposés publiquement et donnent lieu à des répercussions susceptibles de bouleverser votre existence. Vos données personnelles peuvent également être exploitées par d'autres moyens, plus discrets et insidieux. Pour prendre un exemple, partons du fait que la plupart d'entre nous passent par un fournisseur d'accès Internet (FAI) pour se connecter à Internet. Certains de ces FAI collectent des informations relatives à vos habitudes de navigation sur Internet, à votre historique de recherche, à votre emplacement géographique, etc. Toutes ces données sont capables d'affecter la confidentialité de vos informations personnelles et peuvent servir à mieux vous cibler à l'aide d'annonces publicitaires basées sur vos habitudes en ligne.
Il est également peu probable que vous soyez arrivés jusqu'en 2023 sans avoir au moins entendu parler à un moment des lois sur la confidentialité d'Internet à travers le monde. Dans certaines juridictions, les législateurs sont motivés par le fait de reconnaître que le droit à la confidentialité est un droit humain fondamental. Dans d'autres, ils votent des lois conçues pour répondre aux effets néfastes dont leurs citoyens s'inquiètent, comme les violations de données et le minage de données relatives à la vie personnelle dans le but de les vendre à des campagnes de publicité ciblée. Au cœur de la plupart de ces lois réside un effort visant à permettre aux utilisateurs de disposer d'un plus grand contrôle sur leurs données personnelles. Bon nombre de ces règlements nécessitent d'ailleurs que les contrôleurs de données s'assurent que les protections adéquates soient bien en place lors des transferts de données transfrontaliers. Ces dernières années, nous avons toutefois constaté qu'un nombre croissant de régulateurs interprétaient ces règlements d'une manière qui ne laissait aucune place à ce type de transferts. Ces interprétations sont problématiques, non seulement car elles se révèlent nuisibles pour le commerce mondial, mais aussi parce qu'elles vont à l'encontre de l'idée qui veut que les données pourraient être plus sécurisées si les transferts transfrontaliers étaient autorisés. Certains régulateurs affirment à la place que les données personnelles sont plus en sécurité lorsqu'elles restent sur leur territoire, car leurs lois protègent mieux la confidentialité que celles d'une autre juridiction.
À quelques jours seulement de la journée de la protection des données 2023 (qui aura lieu le 28 janvier), nous pensons donc qu'il est important de se concentrer sur l'ensemble des moyens par lesquels les mesures de sécurité et les technologies de renforcement de la confidentialité peuvent nous aider à préserver le caractère privé des données personnelles. De même, nous verrons pourquoi les mesures de sécurité s'avèrent bien plus essentielles à la protection de la confidentialité qu'à la simple mise en œuvre des exigences réglementaires des lois sur la protection des données ou au maintien de ces dernières au sein d'une juridiction donnée (car les régulateurs estiment que cette dernière dispose de lois plus protectrices qu'une autre).
Le rôle de la sécurité des données dans la protection des informations personnelles
La plupart des règlements sur la protection des données reconnaissent le rôle joué par la sécurité dans la protection de la confidentialité des informations personnelles. Ce n'est pas vraiment une surprise. Les efforts déployés par une entité afin de suivre les exigences concernant la manière dont les données personnelles doivent être collectées et utilisées ne serviront pas à grand-chose si un tiers peut accéder aux données à ses propres fins malveillantes.
Les lois elles-mêmes n'apportent que peu de précisions sur la nature de la sécurité exigée. Ainsi, le règlement général sur la protection des données (RGPD) en vigueur dans l'UE et les lois générales sur la confidentialité similaires en usage dans d'autres juridictions requièrent que les contrôleurs de données (les entités qui collectent vos données) mettent en place des mesures de sécurité « raisonnables et appropriées ». Or, il est presque impossible pour les régulateurs d'exiger des mesures spécifiques en raison de l'évolution particulièrement rapide du paysage de la sécurité. Aux États-Unis, les lois d'État sur les violations de la sécurité ne nécessitent pas de notification si les données sont chiffrées. Ce constat suggère donc que le chiffrement constitue au moins un des moyens par lesquels les régulateurs pensent que les données devraient être protégées.
Les procédures mises en œuvre par les régulateurs à l'encontre des entreprises ayant fait les frais de violations de données proposent d'autres indices quant à ce que ces derniers considèrent comme les « meilleures pratiques » à adopter pour assurer la protection des données. Ainsi, le 10 janvier de cette année, la Federal Trade Commission des États-Unis (la Commission fédérale du commerce) a prononcé une ordonnance sur consentement contre Drizly, une plateforme de vente en ligne et de distribution d'alcool. Cette ordonnance décrivait un certain nombre des manquements à la sécurité ayant conduit à la violation de données, qui a elle-même exposé les informations personnelles d'environ 2,5 millions d'utilisateurs de Drizly. La mesure exigeait également que Drizly mette en place un programme de sécurité complet, comprenant une longue liste de procédures de détection et de journalisation des intrusions. Plus spécifiquement, la FTC exigeait que Drizly mette en œuvre « … (c) des outils de prévention de perte de données [et] (d) dispose de pare-feu correctement configurés » parmi d'autres mesures.
La nécessité de mettre en place un programme de sécurité complet se retrouve dans de nombreuses procédures d'exécution des exigences réglementaires prononcées après une violation. Ces programmes doivent inclure un certain nombre de mesures techniques afin de protéger les données contre les tiers qui pourraient chercher à y accéder. Les procédures d'exécution ont toutefois tendance à se montrer agnostiques vis-à-vis de l'emplacement des données. L'endroit où les données sont stockées n'a aucune importance, tant que les mesures de sécurité appropriées sont en place. Nous ne pourrions être plus d'accord.
Le catalogue de produits et de services de Cloudflare aide nos clients à mettre ses protections en œuvre afin d'empêcher les agresseurs potentiels d'accéder à leur site web ou au réseau de leur entreprise. En diminuant la probabilité que des acteurs malveillants accèdent aux données des utilisateurs, les services de Cloudflare peuvent aider les entreprises à économiser des millions de dollars, à protéger la réputation de leur marque et à tisser une relation de confiance avec leurs utilisateurs. Nous consacrons également beaucoup de temps à développer des technologies d'amélioration de la confidentialité soutenant directement la capacité de chaque utilisateur à profiter d'une expérience Internet plus respectueuse de la confidentialité.
Cloudflare est renommée pour ses services de sécurité de la couche applicative, comme le pare-feu d'applications web (WAF), la gestion des bots, la protection contre les attaques DDoS, les protocoles SSL/TLS, la solution Page Shield et bien d'autres. Comme la FTC l'a remarqué dans son ordonnance sur consentement à l'encontre de Drizly, les pare-feu constituent une ligne de défense essentielle pour n'importe quelle application en ligne. Repensez au passage de la sécurité dans un aéroport. Vos bagages et vous-même êtes fouillés à la recherche d'articles interdits qui pourraient s'y trouver (p. ex. des armes ou des explosifs), mais le personnel de sécurité de l'aéroport ne dresse pas un inventaire complet du contenu de vos bagages. Il recherche simplement la présence d'articles dangereux afin de s'assurer que ces derniers ne se retrouvent pas à bord d'un avion. Sur le même schéma, le pare-feu WAF examine les paquets transitant par le réseau Cloudflare afin de s'assurer que l'équivalent Internet des armes et des explosifs ne puisse pas accéder à une application web. Les gouvernements du monde entier ont convenu que ces contrôles de sécurité rapides à l'aéroport étaient nécessaires pour nous protéger tous contre les acteurs malveillants. C'est la même chose pour le trafic Internet.
Nous saisissons l'importance essentielle du chiffrement en cours de transit. Pour tout dire, nous considérons que le chiffrement revêt une importance telle qu'en 2014, Cloudflare a lancé le protocole Universal SSL afin de prendre en charge les connexions SSL (et aujourd'hui TLS) pour chaque client Cloudflare. En parallèle, nous reconnaissons que la transmission aveugle de paquets chiffrés affaiblirait en partie la sécurité que nous essayons de fournir. La sécurité et la confidentialité des données constituent un équilibre. Si nous laissons du code malveillant chiffré atteindre sa destination finale, ce dernier pourrait alors être utilisé pour accéder à des informations qui resteraient protégées dans le cas contraire. Les données non chiffrées pendant le transit entraînent un risque d'interception. Toutefois, en prenant en charge le chiffrement en cours de transit et en nous assurant que le code malveillant n'atteigne pas sa destination prévue, nous pouvons protéger encore plus efficacement les informations personnelles et privées.
Prenons un autre exemple. En juin 2022, Atlassian a émis une annonce de sécurité concernant une vulnérabilité relative à l'exécution de code à distance (Remote Code Execution, RCE). Cette vulnérabilité affectait les produits pour serveurs et datacenters Confluence. Cloudflare a réagi immédiatement en déployant une nouvelle règle WAF pour l'ensemble de nos clients. Les clients démunis de cette protection WAF verraient l'ensemble des secrets professionnels et des informations personnelles résidant sur leurs instances de Confluence devenir potentiellement vulnérables. Ces types de mesures de sécurité sont essentiels à la protection des données personnelles. Peu importe que les données soient stockées en Australie, en Allemagne, aux États-Unis ou en Inde, la vulnérabilité RCE aurait exposé ces dernières. À la place, les données ont pu rester en sécurité, car un réseau mondial a été capable de déployer immédiatement une règle WAF afin de protéger ses clients à travers le monde.
Un réseau mondial pour déjouer les attaques mondiales
La puissance d'un vaste réseau mondial est souvent négligée lorsque nous pensons aux mesures de sécurité à utiliser pour protéger la confidentialité des données personnelles. Les régulateurs qui cherchent à isoler leur pays du reste du monde à titre de méthode de protection de la confidentialité des données oublient souvent à quel point ce type de disposition peut affecter les mesures de sécurité encore plus essentielles à la protection des données privées contre les acteurs malveillants.
Un corpus de connaissances mondial est nécessaire pour arrêter les attaques susceptibles de survenir de n'importe où dans le monde. Tout comme un réseau international d'unités contreterroristes contribue à prévenir les menaces physiques, une approche similaire est nécessaire pour empêcher les cybermenaces. Les outils de sécurité les plus puissants reposent sur des schémas identifiés de trafic anormal, provenant de partout dans le monde. Le réseau mondial de Cloudflare nous assure une position unique pour comprendre l'évolution des menaces mondiales et des comportements anormaux. Afin de donner à nos clients les moyens de mettre en œuvre une cybersécurité préventive et réactive, nous transformons les enseignements mondiaux en protections, tout en préservant la confidentialité des internautes de bonne foi.
Pour prendre un exemple, les outils Cloudflare visant à bloquer les menaces au niveau HTTP ou DNS, comme la protection des sites web contre les attaques DDoS et la solution Gateway pour entreprises, permettent aux utilisateurs de renforcer la sécurité de leurs entités au-delà des règles de trafic personnalisées en filtrant les schémas de trafic connus pour receler du contenu de phishing ou du contenu malveillant. Nous mettons à profit notre réseau mondial pour accroître nos possibilités d'identification des vulnérabilités et du contenu malveillant, ainsi que pour déployer en temps réel des règles protégeant chacun. Cette capacité à identifier les vulnérabilités que nos clients peuvent ne pas avoir eu le temps de prendre en compte et à protéger immédiatement nos clients contre ces dernières réduit la possibilité de compromission de leurs données ou de faire les frais d'une quelconque activité malveillante.
De la même façon, la solution de gestion des bots proposée par Cloudflare gagne sans cesse en précision lorsqu'elle est utilisée de manière continue sur le réseau mondial. Elle détecte et bloque le trafic provenant probablement de bots avant de nourrir de leurs enseignements les modèles à l'œuvre derrière le produit. Plus important encore, elle nous permet de minimiser la quantité d'information utilisées pour détecter ces menaces en relevant l'empreinte numérique des schémas de trafic et en nous permettant de nous passer des informations d'identification personnelle. Nos solutions de gestion des bots parviennent à leurs fins, du fait du nombre de clients et de la quantité de trafic circulant sur notre réseau. Avec près de 20 % de l'ensemble des sites web du monde protégés par Cloudflare, nous jouissons d'une position unique pour rassembler les signaux indiquant que le trafic provient d'un bot nuisible et les interpréter en informations exploitables. La diversité de ces signaux et l'échelle des données sur une plateforme mondiale sont essentielles au maintien de l'évolution de nos outils de détection des bots. Si le réseau Internet était fragmenté (et empêchait ainsi les données d'une juridiction donnée d'être utilisées dans une autre), nous passerions à côté de bon nombre de signaux. Nous ne serions alors pas en mesure d'appliquer les enseignements tirés des tendances en matière d'activité des bots en Asie à nos efforts d'atténuation des bots en Europe, par exemple.
Un réseau mondial se révèle tout aussi important pour assurer la résilience et bénéficier d'une protection efficace, une réalité que la guerre en Ukraine a particulièrement mise en relief. Afin de préserver la sécurité de ses données, le gouvernement ukrainien s'est vu contraint de modifier ses lois afin de supprimer ses exigences de régionalisation des données. Lorsque l'infrastructure de l'Ukraine s'est retrouvée sous le feu d'attaques au cours de l'invasion russe, le gouvernement ukrainien a procédé à la migration de ses données vers le cloud, afin d'assurer leur protection et de leur permettre d'être facilement mises à l'abri dans d'autres parties de l'Europe. De même, le réseau mondial de Cloudflare a joué un rôle important dans les efforts visant à maintenir l'accès à Internet sur le territoire de l'Ukraine. Certains sites ukrainiens se retrouvaient parfois victimes d'attaques DDoS massives, tandis que les infrastructures étaient détruites par des attaques physiques. Avec une bande passante limitée, il s'avérait important de s'assurer que le trafic circulant en Ukraine était bien utile et non lié à du trafic hostile. Plutôt que de laisser ce type de trafic entrer en Ukraine, le réseau mondial de Cloud l'a identifié et rejeté vers les pays d'où les attaques provenaient. Sans cette possibilité d'inspecter et de rejeter le trafic hors d'Ukraine, le trafic hostile aurait davantage encombré les réseaux ukrainiens et limité la capacité disponible pour les communications militaires essentielles.
Bien que la situation en Ukraine reflète la posture de guerre du pays, le réseau mondial de Cloudflare offre les mêmes avantages à tous nos clients en termes de sécurité. Nous utilisons l'intégralité de notre réseau pour assurer nos services d'atténuation des attaques DDoS. Notre capacité réseau de plus de 172 Tb/s permet ainsi à nos clients de rester en ligne, même face aux plus vastes attaques. Cette énorme capacité de protection de nos clients résulte de la nature mondiale du réseau Cloudflare, soutenue par la possibilité de limiter le trafic hostile aux pays dont il est originaire. De même, un réseau qui reste en ligne sera moins susceptible de devoir répondre aux problèmes d'intrusions sur le réseau et de pertes de données fréquemment associés aux attaques DDoS fructueuses.
Une sécurité Zero Trust pour les réseaux d'entreprise
Certaines des plus grandes violations de données survenues ces dernières années résultaient d'un schéma plutôt simple : un acteur malveillant envoie un e-mail de phishing ou s'appuie sur l'ingénierie sociale afin d'amener un collaborateur à se rendre sur un site conçu pour infecter l'ordinateur de ce dernier avec un logiciel malveillant ou à saisir ses identifiants sur un site factice. Dans ce dernier cas, le pirate s'empare alors des identifiants, qu'il utilise alors pour se faire passer pour le collaborateur en question et se connecter aux systèmes de l'entreprise. En fonction du type d'informations compromises, ces violations de données peuvent avoir un impact considérable sur la vie privée d'un utilisateur. C'est pourquoi Cloudflare a investi dans un certain nombre de technologies conçues pour protéger les réseaux d'entreprise et les données personnelles contenues sur ces réseaux.
Comme nous l'avons signalé lors de notre récente CIO Week, le dernier Internet Crime Report (rapport sur la cybercriminalité) publié par le FBI révèle que la compromission du courrier électronique professionnel (Business Email Compromise, BEC) et la compromission de comptes e-mail (un sous-ensemble des campagnes de phishing malveillantes) constituent les fraudes plus coûteuses, avec près de 2,4 milliards de dollars de pertes pour les entreprises américaines. Cloudflare a investi dans un certain nombre de solutions Zero Trust pour lutter contre ce problème précis :
- L'isolement des liens implique que si un employé clique sur un lien contenu dans un e-mail, celui-ci est automatiquement ouvert à l'aide du service d'isolement de navigateur à distance de Cloudflare, une technologie qui isole les liens et les téléchargements à risque, de même que les autres attaques zero-day, afin d'empêcher ces menaces d'affecter l'ordinateur de l'utilisateur et, plus largement, le réseau de l'entreprise.
- Grâce à nos outils de prévention des pertes de données, les entreprises peuvent identifier et empêcher l'exfiltration de données.
- Noter solution Area 1 identifie les tentatives de phishing, les e-mails contenant du code malveillant et les e-mails recelant des rançongiciels afin de les empêcher d'atteindre la boîte de réception des collaborateurs non avertis.
Associés à l'utilisation de clés physiques pour l'authentification multifacteurs, ces outils Zero Trust ont joué un rôle crucial dans la capacité de Cloudflare à prévenir une violation dans le cadre d'une attaque de phishing par SMS qui a ciblé plus de 130 entreprises entre juillet et août 2022. Bon nombre de ces entreprises ont signalé la divulgation d'informations personnelles de leurs clients lorsque certains de leurs collaborateurs se sont fait prendre au piège de cette campagne de phishing.
Vous vous souvenez de la vulnérabilité RCE de la solution Confluence d'Atlassian que nous avons mentionnée plus haut ? Cloudflare est restée protégée, non seulement en raison de notre rapide mise à jour des règles WAF, mais aussi car nous utilisons notre propre solution Cloudflare Access (un outil de notre suite Zero Trust) afin de nous assurer que seuls les utilisateurs disposant d'identifiants Cloudflare puissent accéder à nos systèmes internes. Cloudflare Access a vérifié chaque requête effectuée à une application Confluence afin de garantir qu'elle provenait bien d'un utilisateur authentifié.
Toutes ces solutions Zero Trust nécessitent une fonctionnalité sophistiquée d'apprentissage automatique pour détecter les schémas d'activité malveillante, mais aucune n'exige que les données soient stockées à un emplacement spécifique pour assurer la sécurité des données. La lutte contre ce type de menaces de sécurité ne se révèle pas seulement importante pour protéger les réseaux internes des entreprises contre les intrusions, elle est essentielle à la préservation du caractère privé de vastes ensembles de données à grande échelle, pour le plus grand bénéfice de millions d'utilisateurs.
Technologies de pointe
Les services de sécurité Cloudflare permettent à nos clients de filtrer les risques de cybersécurité sur le réseau Cloudflare avant que ces menaces ne puissent atteindre le réseau interne du client. Cette approche nous aide ainsi à protéger nos clients et leurs données contre toute une gamme de cybermenaces. Ce faisant, les services Cloudflare remplissent essentiellement une fonction de renforcement de la confidentialité par eux-mêmes. Dès le départ, nous avons conçu nos systèmes de manière à garantir le caractère privé des données, même pour nous. Nous avons ainsi défini une politique publique et annoncé des engagements contractuels liés à la préservation de la confidentialité et de la sécurité de ces données. Toutefois, au-delà de la sécurisation de notre réseau pour le plus grand bénéfice de nos clients, nous avons également fortement investi dans de nouvelles technologies visant à sécuriser les communications contre les acteurs malveillants, le regard indiscret des FAI et des autres machines d'attaques par interception du trafic (man-in-the-middle) susceptibles de trouver vos communications Internet particulièrement intéressantes (à des fins publicitaires) ou les entités gouvernementales susceptibles de s'en prendre aux individus exerçant leur droit à la liberté d'expression.
Pour prendre un exemple, Cloudflare fait fonctionner une partie du système Private Relay iCloud d'Apple, qui garantit qu'aucune partie traitant les données des utilisateurs ne dispose d'informations complètes sur l'identité de l'utilisateur ni les éléments auxquels il tente d'accéder. À la place, l'adresse IP initiale de l'utilisateur est visible du réseau d'accès (p. ex le café dans lequel vous vous trouvez ou le FAI de votre domicile) et du premier relais (exploité par Apple), mais le serveur ou le nom du site web est chiffré et donc invisible des deux parties. Le premier relais transmet les données chiffrées à un deuxième relais (p. ex. Cloudflare), mais ne peut pas regarder « à l'intérieur » du trafic à destination de Cloudflare. De même, les relais exploités par Cloudflare savent uniquement qu'ils reçoivent du trafic provenant d'un utilisateur Private Relay, mais ne connaissent pas spécifiquement l'identité ou l'adresse IP du client. Cloudflare relaie alors le trafic, qu'elle transmet au serveur de destination.
Bien entendu, tout bon article sur la manière dont les mesures de sécurité assurent une meilleure confidentialité des données serait lacunaire si elle ne mentionnait pas le résolveur public (et axé sur le respect de la vie privée) 1.1.1.1 de Cloudflare. En utilisant le résolveur 1.1.1.1, les utilisateurs peuvent effectuer des recherches sur Internet sans que leur FAI sache où ils se rendent. Contrairement à la plupart des résolveurs DNS, 1.1.1.1 ne vend pas les données de ses utilisateurs aux annonceurs.
Utilisées conjointement, ces nombreuses technologies et mesures de sécurité garantissent la confidentialité des données personnelles contre de nombreux types de menaces, comme la publicité comportementale, les attaques de l'homme du milieu (man-in-the-middle) et le code malveillant, parmi bien d'autres. À l'occasion de cette journée de la protection des données 2023, nous appelons les régulateurs à reconnaître que la priorité actuellement accordée à la régionalisation des données est peut-être allée trop loin et a laissé de côté les nombreux avantages que les transferts de données transfrontaliers peuvent présenter en termes de sécurité des données et, par extension, de confidentialité des données.