Données chiffrées, données protégées !
ABC du chiffrement
Composant indispensable de la protection des données, contre quoi le chiffrement permet-t-il de se prémunir ? Tour d’horizon !
Les données jouent un rôle capital dans notre société moderne. Le chiffrement s’impose comme une technologie incontournable pour en assurer la protection en cas de vol, de perte ou de fuite. Il ne se substitue pas aux solutions de cyber sécurité, mais vient plutôt les compléter.
piratage et erreur humaine
Comment préserver la confidentialité des données contre les attaques et les erreurs humaines ?
La donnée est devenue une valeur inestimable pour les entreprises. Et par la même occasion, elle est la cible de choix pour des personnes ou des organisations malveillantes.
Les usages du numérique ont projeté les données hors des murs protecteurs des centres informatiques. La mobilité d’une grande partie des utilisateurs, renforcée par la généralisation du télétravail a complexifié la protection des données. Les données sont désormais disséminées et mobiles.
Les données sont partout…
Il s’agit tout d’abord de les protéger lorsqu’elles sont stockées (au repos) au sein des centres informatiques. Egalement lorsqu’elles sont stockées sur des équipements mobiles (PC, tablettes, Smartphones, clé USB).
Mais il faut aussi garantir leur protection lors de leurs transits sur les réseaux de tous types :
- consultations de sites internet,
- achats en ligne,
- emails et messageries,
- ou bien encore exports dans le Cloud (Dropbox ou OneDrive, par exemple).
De leur côté, les pirates informatiques exploitent toutes les failles logicielles, matérielles ou humaines. La menace peut venir tout autant de l’extérieur que de l’intérieur.
Rendre les données chiffrées n’est pas le remède miracle contre toutes les formes d’attaques informatiques. Cependant, il évite l’exploitation frauduleuse des données qui seraient tombées entre des mains illégitimes. Malveillance ou maladresse, le but de souvent de les monnayer ou de faire de l’espionnage électronique.
Le chiffrement permet aussi de lutter contre les conséquences de la perte ou du vol de données. Il pallie les risques de publication ou de divulgation en assurant un cloisonnement des données entre ceux qui ont le « droit d’en connaitre » et les autres.
Des méthodes de chiffrement adaptées au contexte d’utilisation des données
Le chiffrement doit être abordé comme un véritable projet tenant compte des risques encourus par une entreprise en fonction de son profil d’activité et de la sensibilité de ses données.
Certaines organisations privilégieront la sécurité des emails. D’autres réaliseront une analyse précise des données dites sensibles pour les chiffrer. La notion de données sensibles porte également à discussion.
Avoir fait l’objet d’un vol ou d’une fuite de données, indépendamment de la valeur même des données, peut avoir des conséquences extrêmement dommageables sur la réputation d’une entreprise, sur sa valeur boursière et sur les utilisateurs dont les données personnelles ont été divulguées ou utilisées.
Aujourd’hui, l’impact des algorithmes sur les performances est suffisamment minime pour envisager le chiffrement de toutes les données de l’entreprise.
La question n’est plus de savoir quelles données chiffrer, mais quelles méthodes de chiffrement employer lorsqu’elles sont stockées et lorsqu’elles sont mobiles.
Afin d’éviter l’accès aux données en cas de vol physique d’un équipement mobile (smartphone, ordinateur, disque dur, clé USB etc.), on utilise un « chiffrement surfacique » qui apporte un chiffrement global au niveau du dispositif mobile. Le déchiffrement s’effectuera à chaque démarrage du système. Poste éteint un pirate n’aura accès qu’à des données chiffrées.
Le « chiffrement in-place » apporte quant à lui non seulement la confidentialité des données, mais aussi la possibilité de les cloisonner. L’accès aux données est alors réservé aux utilisateurs, aux groupes ou aux services habilités (détenant un secret).
De leur côté, les équipes IT peuvent assurer la maintenance des fichiers, mais ne peuvent en lire le contenu.
Lors d’échanges de données que ce soit par email ou messagerie, on privilégie le « chiffrement de bout en bout ». Ce type de chiffrement garantit que l’information demeure chiffrée jusqu’au destinataire.
Les données restent chiffrées lorsqu’elle transite par des serveurs d’un hébergeur ou d’un fournisseur d’accès Internet.
Transparence et simplicité, synonymes d’efficacité en matière de chiffrement
L’expérience montre que plus les solutions sont contraignantes, plus l’utilisateur est tenté de les contourner. Il en va de même pour le chiffrement qui peut procurer alors un faux sentiment de sécurité dès lors qu’il est trop complexe à utiliser.
Ce n’est pas non plus à l’entreprise de s’adapter aux solutions technologiques disponibles. Pour être acceptées et utilisées, les méthodes de chiffrement doivent être simples dans leur mise en œuvre et transparentes à l’utilisation.
UNE STRATÉGIE DE CHIFFREMENT DOIT S’ACCOMPAGNER D’UNE SENSIBILISATION DES COLLABORATEURS ET ANTICIPER LES IMPACTS INFORMATIQUES ET OPÉRATIONNELS.Nicolas BACHELIER DGA chez PRIM’X
Il faut également s’assurer qu’un hébergeur ou un fournisseur de cloud ne puisse en aucun cas avoir accès aux données en clair en stockant les clés dans un environnement distinct de celui de la donnée
recouvrement des données chiffrées
L’entreprise doit garder la maitrise de ses données et être en mesure de les déchiffrer en cas force majeure.
La perte d’une clé de déchiffrement par un utilisateur ou le départ d’un collaborateur de l’entreprise ne doit pas bloquer l’accès aux données.
Le recouvrement des données chiffrées est un processus souvent négligé : il est pourtant essentiel dans un projet de chiffrement et doit être très encadré.
Il est nécessaire de différencier les rôles de chacun dans la procédure de recouvrement afin de veiller qu’aucun administrateur ne soit en mesure de déchiffrer seul les données de ses utilisateurs.
Avec la pression sécuritaire et réglementaire, le chiffrement est amené à se généraliser. Dans un centre informatique ou dans le cloud, sur les réseaux ou dans des équipements mobiles, les données doivent être chiffrées à terme de manière exhaustive pour parer à toute éventualité.
Le chiffrement doit s’inscrire dans une démarche rigoureuse qui ne laisse rien au hasard et qui prend aussi bien en compte les aspects technologiques qu’organisationnels.