/ Qu’est-ce que le déchiffrement SSL ?
Qu’est-ce que le déchiffrement SSL ?
Pourquoi le déchiffrement SSL est-il important ?
Compte tenu de la popularité croissante du cloud et des applications SaaS, il est de plus en plus probable qu’un fichier ou une chaîne de données particulières circulent sur Internet à un moment ou à un autre. Si ces données sont confidentielles ou sensibles, elles peuvent constituer une cible. Le chiffrement est donc essentiel pour assurer la sécurité des personnes et des données. C’est pourquoi la plupart des navigateurs, des sites Web et des applications cloud chiffrent aujourd’hui les données sortantes et échangent ces données par le biais de connexions chiffrées.
Bien évidemment, cela fonctionne dans les deux sens : si les données sensibles peuvent utiliser le chiffrement pour se cacher, les menaces le peuvent aussi. Un déchiffrement SSL efficace est donc tout aussi essentiel, car il permet à une entreprise d’inspecter entièrement le contenu du trafic déchiffré avant de le bloquer ou de le rechiffrer et lui permettre de poursuivre sa route.
SSL et TLS
Clarifions les choses. Secure Sockets Layer (SSL) et Transport Layer Security (TLS) sont deux protocoles cryptographiques qui régissent le chiffrement et la transmission de données entre deux points. Alors, quelle est la différence ?
La société Netscape, aujourd’hui disparue, a développé le SSL dans les années 90, publiant SSL 3.0 fin 1996. TLS 1.0, basé sur une version améliorée de SSL 3.0, a vu le jour en 1999. TLS 1.3, publié par l’Internet Engineering Task Force (IETF) en 2018, est la version la plus récente et la plus sécurisée à ce jour. Aujourd’hui, le SSL n’est plus développé ni pris en charge. En 2015, l’IETF a déclaré obsolètes toutes les versions de SSL en raison de leurs vulnérabilités (par exemple, aux attaques MITM ou « man-in-the-middle ») et du manque de fonctionnalités de sécurité critiques.
Malgré cela et des décennies de changements, au-delà d’un sens strictement technique, la plupart des gens disent encore « SSL » comme un mot passe-partout pour les protocoles cryptographiques. En d’autres termes, lorsque vous voyez les acronymes SSL, TLS, SSL/TLS, HTTPS, etc., la plupart du temps, ils signifient tous la même chose. Pour les besoins de cet article, nous allons apporter les précisions nécessaires.
Avantages du déchiffrement SSL
La mise en œuvre du déchiffrement et de l’inspection SSL aide les entreprises modernes à assurer la sécurité de leurs utilisateurs finaux, de leurs clients et de leurs données, en leur permettant de :
- Prévenir les violations de données en repérant les programmes malveillants cachés et en empêchant les hackers de se faufiler au travers de vos mécanismes de défense
- Voir et comprendre ce que les employés transmettent à l’extérieur de l’entreprise, intentionnellement ou accidentellement
- Répondre aux exigences de conformité réglementaire, en veillant à ce que les employés ne mettent pas de données confidentielles en danger
- Soutenir une stratégie de défense multicouche qui sécurise l’ensemble de l’entreprise
Nécessité du déchiffrement SSL
Malgré l’utilisation croissante du chiffrement, de nombreuses entreprises n’inspectent encore qu’une partie de leur trafic SSL/TLS, tolérant que le trafic des réseaux de diffusion de contenu (CDN) et de certains sites « fiables » ne soit pas inspecté. Cette posture peut se révéler risquée pour différentes raisons :
- Les pages Web peuvent facilement changer. Certaines peuvent puiser dans plusieurs sources pour afficher des centaines d’objets, chacun d’entre eux devant être considéré comme non fiable, quelle que soit sa source.
- Les auteurs de malwares recourent souvent au chiffrement pour dissimuler leurs exploits. Avec actuellement plus de 100 autorités de certification dans le monde, obtenir un certificat SSL valide est aisé et peu coûteux.
- La plupart du trafic est chiffré. À tout moment, environ 70 % du trafic traité par Zscaler Cloud est chiffré, ce qui accentue l’importance de pouvoir déchiffrer le trafic SSL.
Alors, pourquoi ne s’agit-il pas d’une pratique courante ? Tout simplement parce que le déchiffrement, l’inspection et le rechiffrement du trafic SSL exigent un niveau élevé de calcul et que, sans la technologie adéquate, cela peut avoir un impact dévastateur sur les performances de votre réseau. La plupart des entreprises ne peuvent pas se permettre d’interrompre leurs activités et leurs flux de travail. Elles n’ont donc pas d’autre choix que de contourner l’inspection par des appliances qui ne peuvent hélas pas répondre aux demandes de traitement.
Comment fonctionne le déchiffrement SSL
Il existe quelques approches différentes du déchiffrement et de l’inspection SSL. Examinons les plus courantes et les considérations clés pour chacune.
Bonnes pratiques de déchiffrement SSL
La nécessité de mettre en œuvre une fonction de déchiffrement et d’inspection SSL pour protéger votre entreprise est devenue trop importante pour être ignorée. Néanmoins, certains points importants doivent être pris en compte, plus ou moins techniques, lorsque vous déployez une inspection SSL :
- Commencez par un petit site ou un laboratoire de test pour vous assurer que votre équipe comprend la fonctionnalité et qu’elle donne les résultats escomptés, avant de la déployer à plus grande échelle.
- Pour réduire le besoin de dépannage, pensez à mettre à jour vos notifications aux utilisateurs finaux pour les informer de la nouvelle politique d’inspection SSL.
- (Facultatif) Lorsque vous définissez une politique d’inspection SSL, créez une liste d’URL et de catégories d’URL ainsi que d’applications cloud et de catégories d’applications cloud pour lesquelles les transactions SSL ne seront pas déchiffrées.
- Dans un premier temps, n’activez l’inspection que pour les catégories à risque : contenu pour adultes et jeux d’argent, par exemple, ou celles qui présentent des risques en termes de confidentialité ou de responsabilité. Ensuite, lorsque vous êtes prêt, activez l’inspection pour toutes les catégories d’URL, à l’exception des finances et de la santé, afin de dissiper les inquiétudes en matière de confidentialité.
- Tenez compte des applications utilisées par votre entreprise qui reposent sur l’épinglage de certificat, où l’application n’accepte qu’un seul certificat client spécifique. Ces applications peuvent ne pas être compatibles avec l’inspection SSL, vous devrez donc les inclure dans la liste des éléments à ne pas déchiffrer.
- Activez l’authentification utilisateur pour permettre à votre service d’inspection SSL d’appliquer des politiques utilisateur.
Qu’en est-il des implications de l’inspection SSL sur la confidentialité ?
Le déchiffrement et l’inspection SSL peuvent radicalement améliorer votre hygiène de sécurité, mais ce n’est pas forcément aussi simple que de tout déchiffrer. En fonction de votre secteur d’activité, de votre pays et des lois et réglementations auxquelles vous êtes soumis, il se peut que vous deviez gérer un trafic qui ne doit pas être déchiffré, comme des données médicales ou financières. Dans ce cas, vous devrez configurer des filtres et des politiques pour préserver la confidentialité de ces types de connexions.
Outre les préoccupations légales et réglementaires, votre entreprise devrait généralement inspecter autant de trafic SSL que possible pour réduire les risques et assurer la sécurité de vos utilisateurs et de vos données.
Zscaler et déchiffrement SSL
La plateforme Zscaler Zero Trust Exchange™ permet une inspection SSL complète à grande échelle, sans latence ni contraintes de capacité. En associant l’inspection SSL à notre pile de sécurité complète en tant que service cloud, vous bénéficiez d’une protection supérieure sans les contraintes associées aux appliances.
Capacité illimitée
Inspectez tout le trafic SSL de vos utilisateurs, sur le réseau ou hors réseau, avec un service qui évolue de manière flexible pour répondre à vos demandes de trafic.
Administration plus légère
Arrêtez de gérer individuellement les certificats sur toutes les passerelles. Les certificats chargés sur Zscaler Cloud sont immédiatement disponibles dans plus de 150 data centers Zscaler dans le monde.
Politique de contrôle granulaire
Garantissez la conformité grâce à la capacité d’exclure le trafic utilisateur chiffré pour les catégories de sites Web sensibles telles que la santé ou les services bancaires.
Sûreté et sécurité
Restez protégé grâce à la prise en charge des dernières suites de chiffrement AES/GCM et DHE pour une confidentialité persistante. Les données utilisateur ne sont jamais stockées dans le cloud.
Gestion simplifiée des certificats
Utilisez nos certificats ou chargez les vôtres. Faites appel à notre API pour changer aisément vos certificats, aussi souvent que nécessaire.