Table des matières
En 2025, les organisations canadiennes ont déboursé en moyenne 6,98 millions de dollars par violations de données qui ont mis en danger les informations des clients. De plus, des études montrent que 73% des entreprises canadiennes ont été ciblés de cyberattaques dans le passé.
Les petites entreprises doivent mettre en place un certain nombre de mesures de sécurité des données pour protéger leur activité (et les informations de leurs clients) contre les attaques. L’une d’elles consiste à collaborer avec des partenaires et à utiliser des produits utilisant le chiffrement de bout en bout (E2EE).
Qu’est-ce que le chiffrement de bout en bout?
Le chiffrement de bout en bout est une ligne de communication sécurisée qui empêche les utilisateurs tiers d’accéder aux données transférées. Lors du transfert des données en ligne, seuls l’expéditeur et le destinataire peuvent les déchiffrer à l’aide d’une clé. Ainsi, le chiffrement de bout en bout contribue à atténuer les risques et à protéger les informations sensibles en empêchant les tiers d’accéder aux données des utilisateurs lors de leur transfert d’une source à une autre.
Comment fonctionne le E2EE?
À la base, le chiffrement commence par la cryptographie. La cryptographie est l’écriture de code. Il est utilisé pour générer les codes qui servent à maintenir les informations chiffrées.
Pour transférer les données, l’expéditeur utilise une clé de chiffrement qui les brouille. Seul le destinataire disposant de la clé correspondante peut les déchiffrer. Il existe deux types de clés: le chiffrement asymétrique et le chiffrement symétrique.
Prenons l’exemple des paiements. Lorsqu’un consommateur utilise une carte de crédit dans un commerce, les données de cette carte sont chiffrées dès leur entrée dans le système de paiement du PDV. Elles restent chiffrées jusqu’à ce qu’elles atteignent le processeur ou l’acquéreur, puis soient déchiffrées.
Que sont les cryptages asymétrique et symétrique?
Le chiffrement symétrique est le mode de chiffrement le plus conventionnel. Il utilise la même clé pour coder et décoder les informations.
Le chiffrement asymétrique utilise deux clés pour déverrouiller les informations chiffrées. Il s’agit d’une version plus récente et plus complexe du chiffrement, avec une clé publique et une clé privée. La clé publique peut être utilisée par n’importe qui pour envoyer un message, tandis que la clé privée est détenue par son propriétaire pour protéger ce dernier.
Quels sont les avantages et les défis du E2EE?
L’un des avantages du chiffrement de bout en bout est qu’il s’agit d’une mesure de sécurité intégrée à votre matériel et à vos logiciels. Vous n’avez pas à vous en soucier. Vos données sont protégées et personne ne peut y accéder, sauf le destinataire prévu.
Mais le chiffrement de bout en bout (E2EE) présente ses défis. Principalement, bien qu’il protège les informations transmises d’un destinataire à un autre, il ne protège pas les terminaux de paiement.
Par exemple, votre courrier électronique utilise un chiffrement de bout en bout pour envoyer des messages, mais cela n’empêche pas un acteur malveillant d’essayer d’accéder au point de terminaison: votre boite de réception.
Square crypte non seulement les paiements avec E2EE, mais utilise également la vérification en deux étapes pour protéger les comptes des propriétaires d’entreprise.
Quelles sont les autres méthodes pour protéger vos données?
Au-delà du E2EE, il existe d’autres types de cryptage de données:
- La couche de soquets sécurisés (SSL) est la version moderne du protocole TLS (Sécurité de la couche de transport) et constitue la norme de protection des données sur le web. Les URL commencent par HTTPS:// au lieu de HTTP://. Le « s » supplémentaire signifie « sécurisé ». Cette couche de sécurité contribue à la protection optimale de votre entreprise sur votre site web et signale également à vos clients que vous les protégez.
- La jetonisation consiste à remplacer une donnée sensible par un équivalent non sensible, appelé « jeton ». Ce jeton n’a ni signification ni valeur; il permet simplement de retrouver les données sensibles. Cela contribue à la sécurité de votre entreprise, car il est plus difficile pour les pirates de le définir, car il est dénué de signification et de valeur.
- Un schéma de chiffrement intégré à courbe elliptique (ECIES) est un système qui dérive indépendamment une clé de chiffrement en masse et une clé MAC (code d’authentification de message) à partir d’un « secret commun ». Les données sont chiffrées selon un chiffrement symétrique, puis le chiffrement est chiffré selon un MAC.
Pourquoi devez-vous sécuriser vos données?
La sécurité des données est essentielle pour protéger les informations privées des clients, telles que les mots de passe, les informations de carte de débit ou de crédit, les adresses postales ou les dates de naissance. Des mesures de sécurité des données, comme l’utilisation de produits et services chiffrés, ce qui permet d’atténuer le risque de violation.
Une étude américaine a révélé que 60% des petites entreprises victimes d’une cyberattaque font faillite dans les six mois suivant la violation de leurs données. Les difficultés financières sont souvent la conséquence d’une cyberattaque: il faut de l’argent pour se rétablir, mais les clients tardent souvent à revenir.
Comment Square arrive-il à fournir un cryptage de bout en bout?
Posséder un logiciel fiable est une première étape cruciale pour protéger les données de vos clients. Square dispose d’un logiciel développé en interne pour sécuriser les données à chaque paiement effectué en magasin.
Afin de protéger les titulaires de compte Square et leurs clients, toutes les informations saisies par les titulaires sont chiffrées et transmises au serveur en toute sécurité. De plus, Square assure la sécurité physique et réseau du matériel, la sécurité des applications en ligne et hors ligne, de même que la sécurité organisationnelle.
Voici quelques-uns des avantages offerts par Square:
- Chiffrement intégral: Square chiffre les données dès leur passage dans le lecteur de carte. Les données sensibles sont chiffrées selon les normes du secteur lorsqu’elles sont stockées sur disque ou transmises sur les réseaux publics.
- Transfert de données sécurisé: seuls des protocoles cryptographiques et des formats de message standards et bien évalués (tels que SSL et PGP) sont utilisés lors du transfert de données. Les mises à jour et correctifs de sécurité sont installés sur les serveurs et les équipements en temps opportun.
- Conformité PCI: les systèmes de traitement des cartes sont conformes à la norme de sécurité des données PCI (PCI-DSS), niveau 1. Les numéros de carte, les données de bande magnétique et les codes de sécurité ne sont pas stockés sur les appareils clients Square.
- Contrôle des données: l‘accès aux données sensibles, y compris les données d’application et les clés cryptographiques, est strictement contrôlé selon le principe du besoin d’en connaitre. Une vérification à deux étapes et des contrôles de mots de passe forts sont requis pour l’accès administratif aux systèmes.
- Préparation: des plans d’intervention détaillés en cas d’incident ont été élaborés pour garantir une protection adéquate des données en cas d’urgence.
