Le chiffrement en 5 idées reçues !
ABC du chiffrement
Trop de préjugés autour du chiffrement empêchent des entreprises à passer à l’acte. Des réticences qui peuvent coûter cher en cas de fuite et de divulgation de données sensibles. Retour sur cinq idées reçues persistantes…
1. Le chiffrement, c’est trop compliqué à mettre en œuvre
Carte à puce, clé USB, infrastructure à clés publiques (PKI)… Il y a quelques années encore, la complexité des procédures de chiffrement pouvait décourager les meilleures volontés. Et c’est encore l’une des idées reçues que l’on rencontre le plus souvent.
Pourtant, aujourd’hui, des solutions intègrent nativement la gestion d’une stratégie de chiffrement au sein du système d’information. Elles ne nécessitent pas l’ajout de matériel ou de serveur, ni de changement dans l’organisation des espaces de stockage.
Pour protéger les postes de travail, il suffit de déployer la solution de chiffrement à l’ensemble du parc à l’image d’autres dispositifs de cybersécurité.
Ce déploiement peut s’opérer par masterisation ou à l’aide d’un fichier au format MSI dans le cadre d’une stratégie de groupe (GPO) d’utilisateurs.
2. Si je chiffre mes données, je prends le risque de ne pas les récupérer
D’autres idées reçues ? Oui, la perte des données qui serait induite par l’utilisation du chiffrement. La perte des données constitue en effet, une autre crainte récurrente. Une malveillance, l’oubli d’un mot de passe ou le simple départ d’un collaborateur peut rendre l’information inaccessible si rien n’est envisagé pour ce type de risque.
La récupération des fichiers chiffrés constitue donc un point de vigilance essentiel. Elle fait partie de la stratégie de recouvrement, c’est-à-dire l’ensemble des moyens qui permettent d’accéder à la donnée en cas d’évènements majeurs. Cette stratégie doit d’ailleurs être définie en amont. Les équipes chargées de la sécurité doivent disposer de tous les moyens de recouvrement et de dépannage en cas de perte de clés, de changement d’effectif, d’audit de conformité ou sur demande des autorités judiciaires.
Ces clés de recouvrement sont protégées par un moyen physique ou logique à part entière et font l’objet d’un processus formalisé.
Dans quel cadre, comment et par qui sont utilisés les accès de recouvrement ?
Une clé de recouvrement peut être placée au coffre et seules certaines personnes pourront y avoir recours.
Une séparation des rôles peut aussi intervenir. Par exemple, pour les données personnelles de santé, il peut être décidé que la DSI n’accède qu’aux données chiffrées, tandis que le service médical détient le code PIN de la carte de recouvrement et la direction la carte elle-même, mais sans le code.
3. Les performances des postes de travail vont s’écrouler
Autre sujet d’inquiétude : les impacts du chiffrement sur les performances d’un poste de travail (CPU, RAM). Va-t-il le ralentir notablement ?
En fait, les opérations de chiffrement / déchiffrement des données sont totalement imperceptibles. En passant par une solution de chiffrement à la volée optimisée, l’utilisateur ne ressent aucun changement dans les performances de son équipement.
4. Le chiffrement aura trop d’impacts sur les équipes IT et les utilisateurs
Autre préjugé : le chiffrement créerait une surcharge de travail pour les équipes IT qui supervisent les environnements de travail. Avec leurs outils habituels (GPO), elles peuvent très simplement paramétrer les règles de chiffrement en conformité avec la politique de sécurité définie par l’entreprise.
En fait, rien ne change pour la DSI. La seule différence ? Elle n’a pas accès aux données en clair, seul l’utilisateur final qui possède la clé le peut. En ce qui concerne justement cet utilisateur, la solution de chiffrement doit être la plus transparente possible pour éviter les tentatives de contournement.
Dans notre livre blanc « Bien mener son projet de chiffrement : 6 clés pour les DSI et les RSI », nous insistons sur cette notion de transparence, gage d’adhésion. Pour autant, « il est très important de ne pas confondre la transparence et une potentielle non-implication des utilisateurs dans la philosophie de sécurité. Au risque sinon de les déresponsabiliser. Il convient au contraire de rappeler que les informations manipulées sont confidentielles, et donc qu’il y a bien une responsabilité de sécurité au niveau de chaque individu. »
5. Je ne peux pas chiffrer mes données sensibles, car je ne sais pas où elles sont
Au fil des années, les données s’accumulent en strates créant des silos au sein du système d’information. À défaut de connaître précisément où se trouvent les données critiques, il est possible de chiffrer toutes les données, quel que soit leur lieu de stockage.
Exit l’étape de classification des données sensibles, l’entreprise commence par un périmètre restreint puis élargit la protection à la totalité de son patrimoine informationnel.
Dans une approche systémique, une politique de chiffrement doit être généralisée au système d’information étendu. Elle concerne le périmètre de l’entreprise – postes de travail, serveurs, supports amovibles… – mais aussi les ressources cloud et notamment les espaces de stockage en ligne.
Alors ces idées reçues ?
Tordre le cou aux idées reçues sur le chiffrement n’est finalement pas si compliqué. Si vous avez encore des doutes ou des questions, on fait le point sur les indispensables d’un projet de chiffrement dans cette infographie :
