La confidentialité des données : la pierre angulaire de la cryptographie
ABC du chiffrement
La cryptographie au service de la confidentialité des données des entreprises.
D’un résumé des obligations légales en la matière au changement de paradigme organisationnel nécessaire pour établir une stratégie de protection efficiente des données sensibles en entreprise, PRIM’X vous pose les bases d’une solide confidentialité. Sa clé de voûte ? Le cloisonnement des informations.
Selon l’Organisation internationale de normalisation – dont sont issues les normes ISO – la confidentialité des données est la pierre angulaire dans la sécurité des systèmes d’informations.
Entreprises ou collectivités, administrations ou associations, etc., toutes les organisations sont soumises au même régime de protection et de confidentialité de la vie privée et des libertés individuelles, dès lors qu’elles génèrent ou traitent des données personnelles. Pour les structures résidant dans l’Union européenne ou travaillant avec, le RGPD (ou Règlement général sur la protection des données) est aujourd’hui au centre de ces obligations légales.
Digne successeur de la directive européenne de 1995 sur la protection des données personnelles, qui ne suffisait plus au regard des évolutions numériques et du nécessaire accroissement du pouvoir des autorités de contrôle, le RGPD a été adopté en avril 2016 par le Parlement européen après quatre ans de négociations législatives. Le temps de mettre en place une harmonisation juridique des procédés, le RGPD est depuis fin mai 2018 obligatoirement applicable dans l’ensemble des Etats membres de l’Union européenne. Pour la France plus particulièrement, il complète et renforce désormais la loi « Informatique et Libertés » de la CNIL.
Modifier l’approche organisationnelle pour des échanges de données plus cloisonnées
Passé ce cadre réglementaire, reste en un mot le problème de la méthode pour l’établir au mieux. Mettre en place une sécurité informatique périmétrique, dirigée surtout contre des menaces extérieures, ne peut plus suffire aujourd’hui dans les entreprises. Avec la multiplication toujours croissante des échanges numériques, les menaces de pertes de données sont désormais aussi diverses que nombreuses (piratage informatique, vol de matériel, espionnage économique, risque de divulgation forcée…), et même en interne le facteur de risque est devenu trop important pour ne pas repenser les modèles au-delà de la sphère DSI et continuer à s’affranchir auprès de chaque collaborateur d’une compréhension fine des processus suivis.
Déployer simplement un projet de chiffrement, aussi efficace soit-il, ne peut donc pas suffire à faire une protection suffisante. L’approche ne doit pas juste reposer sur une solution technique mais être aussi organisationnelle à travers un changement de paradigme chez les acteurs concernés et la mise en place d’un « data confidentiality management ». Soit la fin de cette vision traditionnelle d’administrateurs systèmes centralisant tous les accès pour lui préférer ce choix d’une information plus cloisonnée de bout en bout entre les utilisateurs, avec à chaque étape un « droit d’en connaître » pour tous.
En d’autres termes, une solide confidentialité des données doit consister d’abord à s’assurer que seules les personnes bien identifiées comprendront les informations sensibles grâce au recours à une clé de chiffrement dédiée.
Prenons l’exemple de deux collègues de travail, A et B, et d’un message codé se retrouvant à un moment donné sur leur périphérique. Si A peut le lire normalement car doté de la clé de chiffrement appropriée, B bien qu’intervenant sur un problème réseau en tant que fonction support ne le voit tout du long qu’en mode protégé. Contrairement à une protection périmétrique des SI tournée d’abord vers l’extérieur, un tel cloisonnement des informations va renforcer la confidentialité des données à chaque maillon de la chaine, en même temps que réduire considérablement les risques de perte ou de vol de données.
Cette stratégie de « fluidité » dans le cloisonnement est celle promue dans toutes les solutions développées par PRIM’X qui entend ainsi fournir une réponse rapide et efficace à la protection des données sensibles en entreprise.
Transparence, accessibilité et facilité d’usage : les maîtres mots d’un chiffrement réussi
Pour être pleinement efficace, une solution de chiffrement, axée sur un cloisonnement des informations, ne doit jamais bloquer les usages métiers. Ses utilisateurs pourraient sinon essayer de trouver un moyen de la contourner ou tout au moins ne pas l’appliquer avec assiduité ! Pas le choix donc, pour que sécurité informatique ne rime pas avec frustration et remporter l’adhésion de tous, l’expérience utilisateur se doit d’être optimale à travers une transparence, une autonomie et une facilité d’usage toujours de rigueur. Ici, l’idée première n’est pas dans une démarche très spécialisée de geek mais bien d’universalité de gestion avec notamment la saisie une seule fois de la clé de chiffrement appropriée (symétrique ou asymétrique) pour accéder aux fichiers ciblés.
A condition d’avoir transmis ces bonnes pratiques à l’ensemble des collaborateurs, tout est là dès lors pour répondre solidement aux trois principes majeurs en matière de protection des données.
A savoir :
- l’assurance d’informations accessibles qu’aux seules personnes autorisées
- une intégrité totale des données échangées avec la garantie d’une absence de modification ou d’altération lors des transferts de fichiers
- une identification constante enfin des expéditeurs pour éviter toute usurpation d’identité
Du « trois en un » pour s’approcher au plus près du risque zéro quand on parle de respect de la confidentialité.