Qu’est-ce que la tokenisation ?

La tokenisation peut contribuer à protéger les informations sensibles. Par exemple, les données sensibles peuvent être associées à un token et stockées dans un coffre-fort numérique pour plus de sécurité. Le token peut alors servir de substitut sécurisé aux données. Il n’est pas sensible et n’a aucune utilité ni valeur sans connexion au coffre-fort de données. 

Un token numérique est un ensemble de caractères qui sert d’identifiant à un autre actif ou élément d’information. Ainsi, on pourrait remplacer un montant de dépenses annuelles de 45 500 000 $ dans un rapport confidentiel par le token « ot&14%Uyb ».

Les tokens apparaissent également dans le traitement automatique du langage naturel (NLP), bien que le concept soit légèrement différent dans ce domaine. Dans le NLP, un token est une unité individuelle de langage (généralement un mot ou une partie de mot) qu’une machine peut comprendre.

Différents types de tokenisation produisent différents types de tokens. Voici une présentation des plus courants :

• Comme leur nom l’indique, les tokens irréversibles ne peuvent pas être reconvertis en leur valeur d’origine. Ils sont souvent employés pour anonymiser les données, ce qui permet d’utiliser le jeu de données tokenisées à des fins d’analyse par des tiers ou dans des environnements moins sécurisés.
  
  
• Les tokens réversibles peuvent être détokenisés pour être reconvertis en leurs valeurs de données d’origine. Cela s’avère pratique lorsque des personnes ou des systèmes doivent accéder aux données d’origine. Par exemple, lors d’un remboursement, un organisme de paiement peut avoir besoin de reconvertir un token de paiement en informations de carte de paiement réelles.
  
  
• Les tokens avec préservation du format ont le même format que les données qu’ils remplacent. Ainsi, le token d’un numéro de carte bancaire au format 1234-1234-1234-1234 peut être 8493-9756-1986-6455. Ces tokens favorisent la continuité des activités car ils permettent de garantir que la structure des données reste la même, même lorsqu’elles sont tokenisées. Cette structure stable rend le token plus susceptible d’être compatible avec les logiciels traditionnels et mis à jour.
  
  
• Les systèmes de paiement qui ont recours à la tokenisation pour protéger les informations sensibles disposent de tokens de grande et de faible valeur. Le token à valeur élevée (HVT) peut remplacer un numéro de compte principal (PAN) dans une transaction, ce qui lui permet de réaliser la transaction par lui-même. Le token à faible valeur (LVT) se substitue au PAN, mais n’est pas autorisé à réaliser des transactions. Le LVT doit être associé au PAN valide.

Les systèmes de tokenisation comprennent souvent les composants suivants :

1. Un générateur de tokens, qui crée des tokens à l’aide de l’une des nombreuses techniques existantes. Ces techniques peuvent inclure différentes fonctions :

• des fonctions cryptographiques mathématiquement réversibles qui emploient de puissants algorithmes de chiffrement pouvant être inversés à l’aide d’une clé de chiffrement associée ;
  
  
• des fonctions cryptographiques unidirectionnelles non réversibles, telles qu’une fonction de hachage ;
  
  
• un générateur de nombres aléatoires pour créer des tokens aléatoires ; cette technique est considérée comme l’une des plus efficaces pour générer des valeurs de tokens.

2. Un processus de mappage des tokens, qui assigne la valeur du token nouvellement généré à la valeur d’origine. Une base de données de références croisées sécurisée est créée pour suivre les associations entre les tokens et les données réelles. Cette base de données est conservée dans un magasin de données sécurisé afin que seuls les utilisateurs autorisés puissent y accéder.  

3. Un magasin de données de tokens ou un coffre-fort de tokens, qui contient les valeurs d’origine et leurs valeurs de token associées. Les données stockées dans le coffre-fort sont souvent chiffrées pour plus de sécurité. Le coffre-fort est le seul endroit où un token est rattaché à sa valeur d’origine.

4. Un gestionnaire de clés de chiffrement, pour suivre et sécuriser toutes les clés cryptographiques employées pour chiffrer les données dans le coffre-fort, les tokens en transit ou d’autres données et actifs dans le système de tokenisation.

La tokenisation sans coffre-fort est également possible. Plutôt que de stocker les informations sensibles dans une base de données sécurisée, cette technique utilise un algorithme de chiffrement pour générer un token à partir des données sensibles. Le même algorithme peut être appliqué en sens inverse pour reconvertir le token en données d’origine. La plupart des tokens réversibles ne nécessitent pas que les informations sensibles d’origine soient stockées dans un coffre-fort.

Lorsqu’un fournisseur de tokenisation tiers est impliqué, les données sensibles d’origine peuvent être supprimées des systèmes internes de l’entreprise, déplacées vers le stockage du tiers et remplacées par des tokens. Cette substitution contribue à atténuer le risque de violation des données au sein de l’entreprise. Les tokens eux-mêmes sont généralement stockés au sein de l’entreprise afin de rationaliser les opérations courantes.

1. Pour créer un compte sur un site Web officiel du gouvernement, un utilisateur doit saisir son numéro de sécurité sociale (NIR).
   
   
2. Le site transmet le numéro de sécurité sociale à un service de tokenisation. Celui-ci génère un token représentant le NIR et stocke le NIR réel dans un coffre-fort sécurisé.
   
   
3. Le service de tokenisation renvoie le token au site Web. Ce dernier stocke uniquement le token non sensible.
   
   
4. Lorsque le site Web a besoin d’accéder au NIR d’origine (par exemple pour confirmer l’identité de l’utilisateur lors des visites ultérieures), il renvoie le token au service de tokenisation. Ce dernier associe le token au NIR correspondant dans son coffre-fort afin de confirmer l’identité de l’utilisateur. 

Les méthodes de tokenisation peuvent apporter une protection supplémentaire à de nombreux types de données dans de nombreux secteurs et fonctions commerciales.

La tokenisation des données permet aux entreprises de supprimer ou de dissimuler tout ou partie des éléments de données sensibles de leurs systèmes internes. Par conséquent, les pirates informatiques ne disposent que de peu (voire d’aucune) donnée de valeur à voler, ce qui contribue à réduire la vulnérabilité de ces entreprises aux violations de données.

La tokenisation est souvent employée pour protéger les données commerciales sensibles ainsi que les données personnelles, telles que les numéros de passeport ou de sécurité sociale. Dans les services financiers, le marketing et la vente au détail, la tokenisation permet de sécuriser les données des titulaires de carte et les informations de compte.

Chaque élément d’information sensible reçoit son propre identifiant unique. Ces tokens remplacent les données réelles pour la plupart des usages intermédiaires, les données sensibles étant traitées après leur collecte mais avant leur élimination définitive, sans qu’il soit nécessaire de les détokeniser.

La tokenisation permet également aux entreprises d’assurer leur mise en conformité. Par exemple, bon nombre d’organismes de santé utilisent la tokenisation pour répondre aux exigences en matière de confidentialité des données, notamment celles formulées par la loi HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis.

Certains systèmes de contrôle d’accès font également appel à des tokens numériques. Par exemple, dans un protocole d’authentification basé sur des tokens, les utilisateurs vérifient leur identité et reçoivent en retour un token d’accès afin d’accéder aux services et aux actifs protégés. De nombreuses interfaces de programmation d’application (API) fonctionnent ainsi. 

Les banques, les sites de commerce électronique et d’autres applications ont souvent recours à la tokenisation pour protéger les numéros de compte et de carte bancaires ainsi que d’autres données sensibles.

Lors du traitement des paiements, un système de tokenisation peut remplacer les informations de carte bancaire, le numéro de compte principal (PAN) ou d’autres données financières par un token de paiement.

Ce processus de tokenisation supprime le lien entre l’achat et les informations financières, protégeant ainsi les données sensibles du client contre les acteurs malveillants.

La tokenisation est une technique de prétraitement employée dans le traitement automatique du langage naturel (NLP). Les outils NLP traitent généralement le texte en unités linguistiques, telles que les mots, les propositions, les phrases et les paragraphes. Ainsi, les algorithmes NLP doivent d’abord segmenter les textes volumineux en tokens plus petits que les outils peuvent traiter. Les tokens représentent le texte dans un format compréhensible par les algorithmes.  

La tokenisation des données permet aux entreprises de se conformer aux exigences réglementaires et aux normes sectorielles. Elles sont nombreuses à l’employer comme technique de brouillage non destructif en vue de protéger les données à caractère personnel.

Par exemple, la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) impose aux entreprises de respecter les exigences en matière de cybersécurité afin de protéger les données des titulaires de cartes. La tokenisation des numéros de compte principaux est une mesure que les entreprises peuvent prendre pour respecter ces exigences. La tokenisation peut également les aider à se conformer aux règles de confidentialité des données définies par le règlement général sur la protection des données (RGPD) de l’UE.

Les tokens peuvent être utilisés pour représenter des actifs, qu’ils soient corporels ou incorporels. Les actifs tokenisés sont souvent plus sûrs et plus faciles à déplacer ou à échanger que l’actif réel, ce qui permet aux entreprises d’automatiser les transactions, de rationaliser les opérations et d’accroître la liquidité des actifs.

Les actifs corporels représentés par un token peuvent inclure des œuvres d’art, des équipements ou des biens immobiliers. Les actifs incorporels comprennent les données, la propriété intellectuelle ou les tokens de sécurité qui promettent un retour sur investissement, à l’instar des obligations et des actions. Les tokens non fongibles (NFT) permettent l’achat d’actifs numériques tels que des œuvres d’art, de la musique et des objets de collection numériques.

La technologie blockchain basée sur les tokens permet le transfert de propriété et de valeur en une seule transaction, contrairement aux méthodes traditionnelles qui présentent un éventuel délai entre la transaction et le règlement. Par ailleurs, les contrats intelligents permettent d’automatiser les transferts de tokens et d’autres transactions sur la blockchain.

Les cryptomonnaies peuvent utiliser un token cryptographique afin de tokeniser un actif ou un intérêt sur leurs blockchains. Les tokens adossés à des actifs, appelés stablecoins, optimisent les processus métier en éliminant les intermédiaires et les comptes séquestres. 

La tokenisation remplace les données sensibles par des chaînes de caractères non sensibles (et par ailleurs inutiles). Le chiffrement brouille les données afin qu’elles puissent être déchiffrées à l’aide d’une clé secrète, appelée clé de déchiffrement.

La tokenisation et le chiffrement peuvent tous deux contribuer à protéger les données, mais ils servent souvent des cas d’utilisation différents. La tokenisation est répandue dans les situations où les données d’origine peuvent être facilement remplacées, comme le stockage des données de paiement pour les paiements récurrents. Le chiffrement est couramment utilisé lorsque l’accès aux données d’origine est important, par exemple pour protéger les données au repos et en transit.

La tokenisation tend à consommer moins de ressources que le chiffrement. Alors que la tokenisation nécessite uniquement l’échange de données avec un token non sensible, un système de chiffrement exige un chiffrement et un déchiffrement réguliers lorsque les données sont exploitées, ce qui peut s’avérer coûteux.