Les entreprises consacrent énormément de temps et d’argent à la réduction des points de défaillance uniques et à la diversification des menaces, que ce soit au sein de leurs propres portefeuilles ou à travers les chaînes d’approvisionnement. Sans variété de pensée et de processus, nous produisons des points de défaillance uniques, du relativement bénin au dévastateur.
Des exemples de points de défaillance uniques peuvent être observés dans notre vie quotidienne. Le marché américain des préparations pour nourrissons est tellement concentré que la fermeture d’une seule usine a plongé le pays tout entier dans la crise. Les Allemands ont utilisé un dispositif de codage « Enigma » tout au long de la Seconde Guerre mondiale qui avait en fait été cassé par les alliés en 1939, merci, Alan Turing. Cela a laissé tous les messages prétendument cryptés lisibles. Incontestablement, cependant, ce point de défaillance unique avait des externalités vraiment positives.
En cybersécurité, nous avons dans le sang de réduire les points de défaillance uniques, à l’exception du chiffrement des fichiers. Les mauvaises applications des suites cryptographiques qui sont impliquées pour protéger nos réseaux sont les principaux moyens de casser le chiffrement du trafic intercepté. Il en va de même pour les certificats enregistrés via des mots de passe forcés et la cryptographie en raison d’une entropie insuffisante utilisée pour générer des nombres aléatoires.
Nous sommes liés d’une manière que l’on croyait inconcevable au millénaire, et encore moins dans les années 1970, lorsque le chiffrement des fichiers cruciaux publics a été introduit pour la première fois par Diffie-Hellman. Et maintenant, nous traversons la plus grande migration cryptographique de l’histoire de l’informatique.
Lutter contre les futures menaces au chiffrement
Cette année, le National Institute of Standards and Innovation (NIST) devrait compléter sa liste restreinte d’algorithmes de cryptage quantiques et d’exigences créées pour résister à la menace des ordinateurs quantiques. La procédure de sélection finale du NIST n’est que le début de ce changement cryptographique d’une décennie, qui sera certainement chargé d’obstacles et de dangers imprévus.
Alors que nous commençons cette entreprise de grande envergure, nous devrions nous tourner vers les leçons tirées de la diversification pour réduire la menace. En investissement, nous examinons la menace selon 2 méthodes : la menace méthodique, associée au marché dans son ensemble, et la menace idiosyncratique, spécifique à une entreprise, par exemple.
Nous utilisons la diversité pour éliminer ou éliminer un danger particulier en minimisant les dangers pour tirer le meilleur parti des rendements. En mélangeant des possessions qui ne bougent pas en parallèle, nous pouvons réduire le risque sans sacrifier les rendements. Nous recherchons constamment cette frontière efficace insaisissable, le dépassement du rendement que vous pouvez obtenir pour n’importe quel niveau de danger. En combinant innovations et techniques de chiffrement de fichiers, nous pouvons faire la même chose.
Le marché de la sécurité croit généralement en termes de crypto-agilité, mais l’agilité nous oblige à comprendre quand nous avons été piratés ou qu’un algorithme a effectivement été vaincu. Je me risquerais à penser qu’une star d’État-nation ne lèvera pas la main quand cela aura été fait. Alors, on reste souvent sur la réflexion.
La dextérité implique la diversité
Considérons la dextérité d’une autre manière. J’ai acheté l’équipement Peloton juste au moment où M. Big, un personnage de « Sex in the City », a eu un arrêt cardiaque après son exercice. Depuis lors, le titre a perdu 75 % de sa valeur. Super. Je peux être agile, donc je vais échanger mon stock de Peloton tanké contre Splunk, mais le mal a déjà été fait. Au contraire, j’ai dû chercher à diversifier mes investissements à travers les classes d’actifs, les entreprises, les marchés et les lieux. Si j’avais fait cela plutôt que d’acheter des actions Peloton, je n’aurais baissé que de 30 % au lieu de 75 %. La même chose choisit le cryptage des fichiers. Rainbow, finaliste de l’algorithme post-quantique du NIST, et parmi les plus évalués par les pairs, était à la hauteur d’un chercheur d’IBM qui « l’a cassé pendant un week-end avec un ordinateur portable ». Dès lors, et sans doute, il a perdu presque toute sa valeur. Il ne suffit pas de remplacer un algorithme post-quantique Rainbow par Dilithium. Au contraire, je serais beaucoup mieux servi en diversifiant mon cryptage en utilisant une livraison cruciale hors bande qui permet de nombreux cours pour l’essentiel et les données à diffuser, et une série d’algorithmes et de clés à utiliser. Je diminue ainsi l’effet d’une seule technique ou algorithme qui cesse de fonctionner.
Notre parcours avec le cryptage est similaire au début du commerce des matières premières physiques de la durée mercantile. Au début, nous avons extrait de l’or et mis tout sur un bateau pour expédier à travers la mer. Lorsque le bateau a coulé, tout l’or a été perdu. La prochaine fois, nous avons divisé l’or et l’avons mis sur plusieurs bateaux, mais nous avons utilisé exactement la même voie de navigation, de sorte que tous les bateaux ont coulé pendant une seule grosse tempête. Nous avons divisé l’or, l’avons mis sur de nombreux bateaux qui sont partis à des moments différents et ont emprunté plusieurs routes maritimes.
Je peux prendre ma clé de cryptage de fichier, produite avec plusieurs sources d’entropie mélangées, la décomposer, l’envoyer sur de nombreux chemins indépendants du chemin de l’information, la sécuriser avec différents algorithmes post-quantiques et utiliser divers supports pour y parvenir, de la fibre, à la télévision par câble sous-marin, au satellite, pendant que vous envoyez les informations sur la 5G. Beaucoup pensent que le risque que le chiffrement cesse de fonctionner en raison des progrès de l’informatique est systémique. Si un État-nation construit un système informatique quantique suffisamment puissant pour casser le cryptage, alors tout le système échoue, et « hé, ce n’est pas sur moi ! » Les RSSI ont la tâche interminable et peu enviable de gérer la menace de leur organisation.
Bien que nous n’atteignions jamais une sécurité idéale, nous pouvons soigneusement sélectionner les étapes de sécurité qui « diversifient » les risques de la manière la plus efficace et la plus abordable. possible. N’oubliez pas que la menace de chiffrement est idiosyncrasique, et non systémique, et que le danger idiosyncrasique peut être diversifié.
Si j’avais investi 100 000 $ de mes économies dans Bitcoin en novembre dernier, je n’aurais que 26 000 $ aujourd’hui. Si je prenais ma méthode standard, 10 000 $ en obligations, 10 000 $ dans une boîte Cheez-It, 10 000 $ dans un compte bancaire dont je ne me souviens pas du mot de passe et le reste réparti sur le S&P 500, j’aurais probablement encore 85 000 $, même dans ce ralentissement.
Des équipes plus diversifiées génèrent des résultats plus efficaces. La diversification des investissements produit de meilleurs rendements ajustés au risque. La diversification des techniques de cryptage se traduit par une meilleure sécurité, de sorte que nous ne nous levons pas tous un jour pour constater que notre cryptage a en fait été Mr. Big ‘d.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur