Analyse de flux https : bonnes pratiques et questions
RSS CNIL - , 31/03/2015
Le chiffrement des canaux de communication à l’aide du protocole https protège la confidentialité des échanges pour les services en ligne. Quelles sont les règles à respecter pour pouvoir déchiffrer et analyser ces flux ?
Protéger les canaux de communication à l'aide d'https devient courant ...
En effet, le chiffrement des canaux de communication à l'aide du protocole https est de plus en plus préconisé et mis en œuvre (par exemple sur les sites de banque en ligne, sur les webmails, pour les téléservices, etc.). La CNIL recommande d'ailleurs son utilisation pour protéger les flux de données circulant via Internet entre le poste d'un internaute et le site web, car il réduit considérablement les risques liés à l'interception de communications, que ce soit pour les écouter ou pour les modifier.... mais la protection apportée peut également poser un problème de sécurité au sein des organismes
Cette mesure peut également constituer une vulnérabilité pour la sécurité des systèmes d'information d'un organisme, puisqu'elle rend impossible la surveillance des données entrantes et sortantes. Ainsi, volontairement ou non, des salariés peuvent faire sortir des informations du réseau interne, ou faire entrer des codes malveillants, à leur insu comme à celui de leur employeur.Certains employeurs souhaitent donc déchiffrer les flux https pour les analyser
De nombreux responsables de la sécurité des systèmes d'information (RSSI) souhaiteraient pouvoir déchiffrer le flux de données, pour analyser automatiquement son contenu avec des outils de sécurité ad-hoc, avant de re-chiffrer le flux et de le renvoyer vers sa destination. Techniquement, les bonnes pratiques pour réaliser cette action sont décrites par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans ses " Recommandations de sécurité concernant l'analyse des flux https ".Du point de vue " informatique et libertés " : une mesure légitime, mais qui doit être encadrée
Du point de vue " informatique et libertés ", ce déchiffrement est légitime du fait que l'employeur doit assurer la sécurité de son système d'information. Pour ce faire, il peut fixer les conditions et limites de l'utilisation des outils informatiques. Toutefois, le recours au déchiffrement doit être encadré et peut faire l'objet des mesures suivantes :- une information précise des salariés (sur les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux), par exemple dans la charte d'utilisation des moyens informatiques. L'information doit aussi préciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ;
- une gestion stricte des droits d'accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s'ils sont identifiés comme étant personnels ;
- une minimisation des traces conservées (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;
- une protection des données d'alertes extraite de l'analyse (ex : chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum).