La donnée est devenue une valeur inestimable pour les entreprises. Et par la même occasion, elle est la cible de choix pour des personnes ou des organisations malveillantes.

Les usages du numérique ont projeté les données hors des murs protecteurs des centres informatiques. La mobilité d’une grande partie des utilisateurs, renforcée par la généralisation du télétravail a complexifié la protection des données. Les données sont désormais disséminées et mobiles.

Il s’agit tout d’abord de les protéger lorsqu’elles sont stockées (au repos) au sein des centres informatiques. Egalement lorsqu’elles sont stockées sur des équipements mobiles (PC, tablettes, Smartphones, clé USB).
Mais il faut aussi garantir leur protection lors de leurs transits sur les réseaux de tous types :

De leur côté, les pirates informatiques exploitent toutes les failles logicielles, matérielles ou humaines. La menace peut venir tout autant de l’extérieur que de l’intérieur.

Rendre les données chiffrées n’est pas le remède miracle contre toutes les formes d’attaques informatiques. Cependant, il évite l’exploitation frauduleuse des données qui seraient tombées entre des mains illégitimes. Malveillance ou maladresse, le but de souvent de les monnayer ou de faire de l’espionnage électronique.

Le chiffrement permet aussi de lutter contre les conséquences de la perte ou du vol de données. Il pallie les risques de publication ou de divulgation en assurant un cloisonnement des données entre ceux qui ont le « droit d’en connaitre » et les autres.

Le chiffrement doit être abordé comme un véritable projet tenant compte des risques encourus par une entreprise en fonction de son profil d’activité et de la sensibilité de ses données.

Certaines organisations privilégieront la sécurité des emails. D’autres réaliseront une analyse précise des données dites sensibles pour les chiffrer. La notion de données sensibles porte également à discussion.

Avoir fait l’objet d’un vol ou d’une fuite de données, indépendamment de la valeur même des données, peut avoir des conséquences extrêmement dommageables sur la réputation d’une entreprise, sur sa valeur boursière et sur les utilisateurs dont les données personnelles ont été divulguées ou utilisées.

Aujourd’hui, l’impact des algorithmes sur les performances est suffisamment minime pour envisager le chiffrement de toutes les données de l’entreprise.

Afin d’éviter l’accès aux données en cas de vol physique d’un équipement mobile (smartphone, ordinateur, disque dur, clé USB etc.), on utilise un « chiffrement surfacique » qui apporte un chiffrement global au niveau du dispositif mobile. Le déchiffrement s’effectuera à chaque démarrage du système. Poste éteint un pirate n’aura accès qu’à des données chiffrées.

Le « chiffrement in-place » apporte quant à lui non seulement la confidentialité des données, mais aussi la possibilité de les cloisonner. L’accès aux données est alors réservé aux utilisateurs, aux groupes ou aux services habilités (détenant un secret).
De leur côté, les équipes IT peuvent assurer la maintenance des fichiers, mais ne peuvent en lire le contenu.

Lors d’échanges de données que ce soit par email ou messagerie, on privilégie le « chiffrement de bout en bout ». Ce type de chiffrement garantit que l’information demeure chiffrée jusqu’au destinataire.
Les données restent chiffrées lorsqu’elle transite par des serveurs d’un hébergeur ou d’un fournisseur d’accès Internet.

L’expérience montre que plus les solutions sont contraignantes, plus l’utilisateur est tenté de les contourner. Il en va de même pour le chiffrement qui peut procurer alors un faux sentiment de sécurité dès lors qu’il est trop complexe à utiliser.

Ce n’est pas non plus à l’entreprise de s’adapter aux solutions technologiques disponibles. Pour être acceptées et utilisées, les méthodes de chiffrement doivent être simples dans leur mise en œuvre et transparentes à l’utilisation.

Il faut également s’assurer qu’un hébergeur ou un fournisseur de cloud ne puisse en aucun cas avoir accès aux données en clair en stockant les clés dans un environnement distinct de celui de la donnée

L’entreprise doit garder la maitrise de ses données et être en mesure de les déchiffrer en cas force majeure.

La perte d’une clé de déchiffrement par un utilisateur ou le départ d’un collaborateur de l’entreprise ne doit pas bloquer l’accès aux données.

Le recouvrement des données chiffrées est un processus souvent négligé : il est pourtant essentiel dans un projet de chiffrement et doit être très encadré.

Avec la pression sécuritaire et réglementaire, le chiffrement est amené à se généraliser. Dans un centre informatique ou dans le cloud, sur les réseaux ou dans des équipements mobiles, les données doivent être chiffrées à terme de manière exhaustive pour parer à toute éventualité.

Le chiffrement doit s’inscrire dans une démarche rigoureuse qui ne laisse rien au hasard et qui prend aussi bien en compte les aspects technologiques qu’organisationnels.