Chiffrement vs confidentialité, quelles différences ?
ABC du chiffrement
Notion plus étendue, la confidentialité au sein de l’entreprise fait l’objet de plusieurs protocoles, dont les techniques de chiffrement de données…
Le chiffrement garantit la confidentialité des échanges numériques, mais son utilité ne s’arrête pas là. Il permet aussi de s’assurer de l’identité des utilisateurs habilités ou de l’intégrité des contenus.
La confidentialité, une notion différente du chiffrement
Si l’on se réfère à la définition du chiffrement, ce dernier est un procédé cryptographique qui transforme un message clair en message inintelligible. L’objectif du chiffrement est de dissimuler le contenu du message aux tierces parties non autorisées à l’utiliser ou à le lire.
Toutefois, la confidentialité est une notion plus vaste. Comme son nom l’indique, il s’agit de s’assurer de l’authenticité et de l’intégrité des échanges numériques.
Au-delà du chiffrement des données, la confidentialité repose notamment sur :
- les mesures de protection du système d’information (pare-feu, antivirus, antimalware…) ;
- l’authentification des utilisateurs ;
- la gestion des droits d’accès ;
- la sécurité physique et la conformité des terminaux ;
- l’administration à distance d’une flotte d’appareils mobiles ;
- la sensibilisation des utilisateurs aux règles d’hygiène élémentaires.
Gérer la confidentialité de ses données suppose de bien définir la finalité des moyens de protection mis en œuvre. Ce ne sont pas les mêmes implications si on souhaite se protéger d’un hébergeur ou d’un intervenant ponctuels sur le SI. C’est encore différent quand il s’agit de cloisonner l’information entre les utilisateurs et les équipes IT.
Les objectifs du chiffrement
L’authentification à la non-répudiation
Si l’un des objectifs du chiffrement consiste à garantir cette confidentialité, ce n’est pas sa seule vertu. Il couvre aussi les autres grands principes de sécurité :
- l’authentification (garantir que chaque correspondant de l’échange est bien celui qu’il prétend être) ;
- l’intégrité (certifier que le contenu du message n’a pas été altéré ou modifié depuis son envoi, intentionnellement ou accidentellement) ;
- la non-répudiation (s’assurer que l’émetteur du message ne puisse pas nier qu’il en est à l’origine).
L’authentification pourra, par exemple, reposer sur un certificat (infrastructure à clés publique, PKI) et/ou un mot de passe.
Concrètement, le chiffrement a vocation à protéger les organisations contre la perte et la divulgation de données sensibles. Il est aussi un rempart contre le vol des données et l’espionnage.
Généralisé, le chiffrement couvre tout le cycle de vie de la donnée, de son envoi sur un réseau (donnée en transit) jusqu’à son stockage ou son archivage en local ou dans le cloud (donnée au repos).
Cloisonnement entre utilisateurs et prestataires
Une politique de chiffrement en entreprise doit veiller à protéger tous les fichiers et les espaces sensibles sur les postes de travail, fixes, nomades ou virtualisés, y compris les fichiers temporaires et le cache des navigateurs, ainsi qu’aux supports amovibles (disques externes, clés USB).
Elle s’applique également au flux de données qui transitent sur le réseau et aux fichiers déposés dans les espaces partagés (serveurs de fichiers, NAS, SAN…). Un administrateur gère les accès cryptographiques des groupes d’utilisateurs. Il s’agit d’assurer un cloisonnement des dossiers partagés ou personnels déposés sur les serveurs.
Le dispositif mis en place doit garantir la confidentialité des données à l’égard des sous-traitants. Tous les tiers intervenant sur ces machines dans le cadre d’un contrat d’infogérance doivent être concernés.
L’entreprise impose également sa politique de sécurité – périmètre de chiffrement, choix des clés d’accès… – sur les données en transit ou en stockage dans le cloud.
Il s’agit là encore de garantir leur confidentialité vis-à-vis des tiers et de réduire les risques en cas de défaillance du prestataire.
Une organisation doit pouvoir gérer « le droit d’en connaître » en s’assurant que les informations à protéger ne sont disponibles que pour les personnes habilitées.
En toute transparence…
Bien sûr, cette stratégie généralisée de chiffrement ne doit avoir aucun impact sur l’expérience utilisateur. Transparent, le chiffrement s’exécute en arrière-plan sans imposer de changement dans l’organisation du travail. Il n’impacte pas les performances des terminaux individuels.
De même, le responsable de la sécurité doit pouvoir appliquer avec beaucoup de souplesse les règles et paramètres de chiffrement. Il doit également pouvoir déléguer tout ou partie de ces opérations à des administrateurs locaux.
Il dispose enfin de tous moyens de recouvrement et de dépannage en cas de perte de clés, de départ d’un collaborateur ou d’audit de conformité.