Les nouveaux modes de travail accélèrent le besoin de chiffrement de disque
Interview d'experts
Le développement de la mobilité et du télétravail a participé à renforcer encore davantage le rôle du chiffrement de disque, déjà largement répandu. L’offre abondante de solutions, parfois gratuites, tend à banaliser son utilisation et à faire oublier que le chiffrement de disque est un des piliers de la cybersécurité. À ce titre, il doit s’inscrire dans une politique globale de gestion de la confidentialité des données.
Le chiffrement de disque est un des fondamentaux de la cybersécurité
Le principe du chiffrement de disque est bien ancré dans les pratiques de nombreuses entreprises. Initialement conçu pour protéger les données lors de la perte ou du vol d’un ordinateur portable, son rôle s’est élargi.
Aujourd’hui, le chiffrement porte aussi bien sur les équipements mobiles que fixes, et permet également d’envisager le recyclage de matériels sans craindre que des données résiduelles puissent être récupérées.
En recourant massivement au travail à distance depuis le début de la pandémie, les entreprises ont pris conscience du niveau de vulnérabilité du poste de travail de leurs collaborateurs. Mais cette crise sanitaire une fois passée, les menaces ne disparaîtront pas pour autant.
Le numérique a en effet ouvert durablement la voie à de nouveaux usages liés au nomadisme et à la mobilité. Les cybercriminels ont bien compris la valeur potentielle des données contenues dans les ordinateurs, fixes ou portables, des utilisateurs. Tout accès à un poste non chiffré peut compromettre la confidentialité des données de l’entreprise.
Afin d’y parer, le déploiement d’un processus continu de cybersécurité est nécessaire, et suppose de s’interroger régulièrement sur l’évolution des usages dans son organisation, tout comme de s’assurer de la cohérence de ses pratiques de protection de l’information, à commencer par le chiffrement de disque.
Le chiffrement de disque doit être pensé de manière transparente et indolore
La sécurité ne consiste pas à brider les usages, mais à les accompagner. À cet effet, la qualité d’une solution de chiffrement sur disque s’apprécie au-delà de son seul algorithme. Son ergonomie pour l’utilisateur et sa simplicité de mise en œuvre sont tout aussi importantes. Pour être efficace, un chiffrement de disque doit respecter des principes de simplification :
- Unifier les demandes d’authentification au démarrage de la machine avec une demande unique de secret ;
- Éviter d’empiler des briques logicielles ou de rajouter un équipement supplémentaire qui serait lui-même à sécuriser ;
- S’appuyer sur des mécanismes connus et des concepts préexistants au sein des entreprises, pour administrer la politique de sécurité et paramétrer les outils.
Signe que le chiffrement de disque est devenu incontournable, de nombreux antivirus l’offrent gratuitement et certains systèmes d’exploitation l’intègrent par défaut. On pourrait s’en réjouir, si ce n’est qu’avec cette banalisation le chiffrement de disque ne résulte plus d’un choix raisonné reposant sur l’analyse des fonctions adaptées au contexte spécifique de chaque entreprise. En effet, celle-ci ne peut pas se contenter de cocher la case « chiffrement de disque » dans une optique de pure conformité réglementaire, et ignorer la mise en œuvre d’une protection réelle et opérationnellement crédible.
Mettre en œuvre le chiffrement de disque en toute sérénité
Le recours au chiffrement de disque n’a jamais été aussi accessible, mais cela ne dispense pas pour autant d’une réflexion préalable pour s’assurer de son efficacité et de sa cohérence avec la politique globale de gestion de confidentialité de la donnée. La technologie de chiffrement elle-même ne fait pas tout et il est indispensable de rappeler quelques conditions essentielles à sa mise en œuvre. Toutes solutions de cybersécurité, et a fortiori celles de chiffrement, touchent à des valeurs stratégiques de l’entreprise. L’origine des solutions, leur conception, l’indépendance des fournisseurs doivent apporter des gages de confiance aux clients. L’aspect opérationnel ne doit pas être sous-estimé et doit comporter un processus rigoureux de recouvrement adapté à l’activité de l’entreprise et de ses collaborateurs. C’est ce processus de recouvrement qui garantira la récupération des données chiffrées et l’accès à ces dernières en cas d’événements inattendus, tels que la perte des identifiants ou le départ d’un collaborateur. Or, les possibilités d’adapter les processus de recouvrement à la réalité de l’entreprise, ou de coordonner intelligemment plusieurs dimensions de la protection de la confidentialité, sont rarement incluses dans une fonction de chiffrement de disque standard.
L’ANSSI référence les solutions de confiance
Pour conforter leurs choix, il est vivement conseillé aux entreprises de consulter l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui qualifie et certifie des solutions de confiance sur tous les domaines de la protection de l’information et des services qui y sont associés.