Les informations personnelles identifiables (IPI) désignent toutes les données qui peuvent être utilisées pour identifier une personne, directement ou indirectement. Les IPI sont considérées comme des données sensibles et sont souvent la cible d'usurpations d'identité et d'autres activités malveillantes. Les organisations qui collectent, stockent et traitent des IPI ont la responsabilité de les protéger et de limiter leur collecte dans la mesure du possible.
Le cryptage préservant le format (FPE) est un algorithme de cryptage qui préserve le format de l'ensemble de données d'origine, mais le remplace par des jetons qui n'ont pas de signification ou de valeur inhérente. Grâce au cryptage avec préservation du format, vous pouvez "symboliser" des données sensibles, telles que les numéros de sécurité sociale et de carte de crédit, afin de les déplacer et de les stocker tout en préservant leur confidentialité et en maintenant la conformité.
Dans ce billet, nous expliquons ce qu'est le cryptage préservant le format, pourquoi il est essentiel pour sécuriser les IIP dans les systèmes sensibles au format et comment la nouvelle solution FPE Snap de SnapLogic permet une intégration transparente des IIP cryptées dans les systèmes existants.
Exemples concrets : comment fonctionne la FPE dans la pratique
Prenons l'exemple du cryptage de données PII telles qu'un numéro de sécurité sociale. En utilisant le chiffrement traditionnel, le texte chiffré résultant serait probablement une chaîne apparemment aléatoire de caractères alphanumériques, ne ressemblant en rien au format numérique original à neuf chiffres. Cette différence peut poser des problèmes importants pour les applications conçues pour traiter uniquement les formats de numéros de sécurité sociale valides, ce qui peut nécessiter des modifications ou des solutions de contournement importantes. En revanche, l'application du FPE au même numéro de sécurité sociale produirait un numéro à neuf chiffres différent, entièrement crypté et sécurisé, mais parfaitement compatible avec les systèmes qui s'attendent à ce format spécifique.
Par exemple, le cryptage d'un numéro de sécurité sociale (SSN) "055-46-6168" (SSN en clair) en "569-83-4469" (SSN chiffré). Le FPE garantit que le texte chiffré conserve le même format (longueur, nombre de traits d'union, etc.) que le texte clair original. Cela signifie que le texte chiffré sera également un nombre à neuf chiffres avec des traits d'union, préservant ainsi la structure du SSN.
L'utilité de FPE s'étend à divers domaines. Dans les transactions financières, le cryptage des numéros de cartes de crédit tout en préservant leur structure à 16 chiffres permet une intégration transparente dans les systèmes de traitement des paiements existants sans nécessiter de changements fondamentaux dans les routines de validation ou les schémas de base de données. De même, dans le domaine de la santé, les numéros d'identification des patients ou les codes d'assurance peuvent être cryptés à l'aide de FPE, ce qui garantit la confidentialité des données tout en conservant le format requis pour l'interopérabilité entre les différents prestataires et systèmes de santé. La conformité réglementaire impose souvent des formats de données spécifiques à des fins de reporting. FPE permet aux organisations de répondre à ces exigences en chiffrant les données sensibles sans altérer leur structure, ce qui simplifie les efforts de mise en conformité et réduit le risque de pénalités pour non-conformité.
En outre, le FPE peut être utilisé pour anonymiser ou pseudonymiser des données à des fins de recherche ou d'analyse. En chiffrant les informations d'identification tout en préservant leur format, les organisations peuvent tirer des informations précieuses des données sans exposer de détails sensibles. Cela permet un partage des données et une collaboration plus efficaces tout en respectant les réglementations en matière de protection de la vie privée.
La mise en œuvre de la FPE implique des algorithmes mathématiques complexes et un examen minutieux du niveau de sécurité souhaité et des caractéristiques de performance. Il existe différents schémas FPE, chacun ayant ses propres compromis en termes de sécurité, d'efficacité et de prise en charge des formats. Le choix de l'algorithme FPE approprié dépend du cas d'utilisation spécifique et de la sensibilité des données à protéger. Dans l'ensemble, le chiffrement préservant le format offre un outil puissant et polyvalent pour sécuriser les données dans des environnements où le format est limité, ce qui permet aux entreprises d'améliorer la protection des données sans sacrifier l'efficacité opérationnelle ou la compatibilité des systèmes.
A l'intérieur du Snap : FPE en toute simplicité avec SnapLogic
Les Snaplogic Snaps sont des collections modulaires de composants d'intégration construits dans un but spécifique. SnapLogic fournit un kit de développement logiciel (SDK) Snap basé sur Java qui a été utilisé pour résoudre ce problème complexe de données PII. En réutilisant des bibliothèques de cryptographie bien connues, un Snap FPE a été développé pour résoudre ce cas d'utilisation.
Le Snap Pack FPE crypte ou décrypte les données entrantes via des Snaps distincts : FPE Encrypt et FPE Decrypt. Les données sont cryptées à l'aide de l'algorithme FF1, un composant de la bibliothèque cryptographique Bouncy Castle. L'algorithme FF1 est une technique FPE approuvée par le National Institute of Standards and Technology (NIST). Pour plus d'informations sur l'algorithme, veuillez consulter les liens suivants :
- SP 800-38G, Recommandation pour les modes d'opération de chiffrement par blocs : Méthodes de cryptage préservant le format | CSRC
- Recommandation relative aux modes d'opération des chiffreurs en bloc : Méthodes de cryptage préservant le format
L'utilisation de l'algorithme FPE FF1 permet de crypter les données de telle sorte que le texte chiffré conserve la même longueur et le même type de données que le texte clair d'origine. Cette caractéristique dépend de l'alphabet défini utilisé pour le cryptage. Avant le cryptage, l'algorithme FF1 détermine la longueur minimale absolue autorisée pour la chaîne d'entrée. Si la longueur des données entrantes est inférieure à ce minimum calculé, l'algorithme remplit la chaîne. Le remplissage consiste à ajouter un caractère spécifique à la chaîne d'entrée jusqu'à ce qu'elle atteigne la longueur minimale requise.
Le caractère utilisé pour le remplissage est configurable. Il est important que le caractère de remplissage choisi soit l'un des caractères inclus dans l'alphabet défini pour le processus de cryptage. La chaîne de caractères de remplissage résultante est ensuite traitée par l'algorithme FF1 de la bibliothèque Bouncy Castle pour produire la sortie cryptée finale, qui conserve le format de l'entrée originale, bien que potentiellement remplie de caractères de remplissage.
Toutes les valeurs de cryptage partagées sont configurables à l'aide des paramètres du compte FPE Snap. Des paramètres tels que la clé de chiffrement, la valeur d'ajustement, l'alphabet, le caractère de remplissage et la direction de remplissage peuvent être configurés.
Le Snap FPE Encrypt crypte les données entrantes à l'aide des paramètres de compte partagés. Les valeurs des champs de données à crypter sont définies en ajoutant le champ et en sélectionnant le type de données entrantes, comme indiqué dans l'image ci-dessous.
De même, le Snap de décryptage FPE décrypte les données entrantes à l'aide des paramètres du compte partagé.
Pourquoi la préservation du format est importante pour la protection des données
Le cryptage préservant le format (FPE) est un outil essentiel pour sécuriser les données sensibles tout en maintenant leur facilité d'utilisation, en particulier dans les systèmes et applications existants. En chiffrant les données de manière à préserver leur format d'origine, le FPE permet de stocker et de traiter les données sans nécessiter de modifications importantes de l'infrastructure existante, ce qui réduit les coûts et le temps de développement. FPE offre également un niveau de sécurité plus élevé en utilisant des algorithmes cryptographiques puissants et en garantissant l'intégrité des données. Une fois les données cryptées en toute sécurité, elles peuvent être utilisées. Les exemples incluent la formation LLM, l'analyse de données, etc.
Le SnapLogic FPE Snap Pack permet de réduire la complexité de l'utilisation d'un algorithme FPE en encapsulant les complexités sous-jacentes dans un Snap Pack réutilisable. Ce Snap Pack peut être réutilisé dans de nombreux projets différents au sein de l'environnement du client. En outre, l'interface visuelle de SnapLogic, par glisser-déposer, pour construire des intégrations de données est incroyablement conviviale et intuitive, ce qui aide à résoudre les nombreux cas d'utilisation complexes des IIP des clients.
Pour en savoir plus sur les SnapLogic Snap Packs, consultez notre page de documentation. Si vous avez des questions et souhaitez aller plus loin, rejoignez la conversation dans notre communauté. La nation de l'intégration est là pour vous aider !
