Les 5 facteurs-clés de succès d’un projet de chiffrement
ABC du chiffrement
Comment choisir une solution flexible, évolutive et adaptée à votre entreprise ?
Pour être efficace, une stratégie de chiffrement doit être abordée comme un tout : Il faut aussi bien se protéger des menaces venant de l’extérieur, que cloisonner le système d’information et assurer une protection de bout en bout des données. 5 règles simples permettent de réussir à coup sûr son déploiement !
Règle numéro 1 : Définir un premier périmètre du projet en préparant l’avenir
Comme tout projet de cybersécurité, il faut mener une analyse du besoin et des risques qui en découlent.
La devise d’une politique de chiffrement doit être « Encrypt everything, everywhere, and always ».
Tout chiffrer, où que la donnée se trouve et à tout moment, est le seul moyen de se mettre à l’abri des conséquences d’une fuite de données.
Ce chiffrement global est l’objectif vers lequel les entreprises doivent tendre. Toutefois, pour l’atteindre, il convient d’avancer progressivement et de ne pas brûler les étapes.
Lorsque l’on commence à définir le premier périmètre du projet, on songe immédiatement aux données stockées sur les serveurs. Les infrastructures internes contiennent des données critiques qui sont un « asset » hautement important pour vous, tout comme pour vos ennemis…
Plus facilement atteignables, les postes de travail fixes ou portables sont aussi une cible à ne pas négliger. Il en va de même pour tous les supports amovibles (clés USB, disques durs) extrêmement utilisés en télétravail.
Les nouveaux usages de l’informatique doivent pousser les responsables sécurité à accorder une attention toute particulière aux espaces collaboratifs SaaS et services de stockage dans le cloud, en proposant des solutions préventives, simples à mettre en œuvre par les collaborateurs.
| La cible de chiffrement va nécessairement évoluer dans le temps : la solution doit donc être flexible et s’adapter aux changements de périmètre. L’approche doit rester pragmatique : il faut commencer par un périmètre restreint, puis élargir peu à peu le chiffrement à d’autres cas d’usage. |
Règle numéro 2 : Cloisonner l’information, une règle de base du chiffrement
A l’heure de la transformation digitale, vouloir restreindre, voire interdire les échanges est littéralement devenu impossible. Les systèmes d’information sont de plus en plus ouverts et interconnectés et cette ouverture est clairement devenue un levier de compétitivité.
Partenaires et prestataires, extérieurs à l’organisation, ont désormais accès à des ressources internes, elles-mêmes exploitées et hébergées en externe, notamment dans le cloud.
Dans ce cadre, le chiffrement est le seul véritable moyen de gérer les droits d’en comprendre d’un fichier, c’est-à-dire de gérer les droits de lire et de comprendre l’information sur une infrastructure cible que l’entreprise ne maîtrise pas dans sa totalité. C’est notamment le cas des infrastructures du cloud public.
Seul un chiffrement de bout en bout offre une garantie quant à la confidentialité des données sensibles pour l’entreprise.
En effet, le chiffrement est aussi un outil de mise en conformité.
Il peut s’agir de l’obligation de protection des données personnelles posée par le RGPD, mais aussi de celle de respecter toutes les contraintes liées à la réglementation de certains secteurs ou métiers (banque, santé, diffusion restreinte…).Le chiffrement fait partie des bonnes pratiques recommandées par l’ANSSI pour une bonne protection des données personnelles. Sa mise en œuvre doit être menée en lien avec le DPO.
| Cloisonner vos données Il faut privilégier une solution qui vous donne les moyens de cloisonner l’information entre différents utilisateurs, entre les services et même vis-à-vis de l’IT interne ou des éventuels intervenants extérieurs. La solution de chiffrement choisie doit être capable de supporter un cloisonnement fin de l’information pour garantir une confidentialité au niveau le plus précis possible. |
Règle numéro 3 : Choisir la gestion de clé la plus adaptée à votre entreprise
Un critère important pour l’efficacité, mais aussi pour l’acceptabilité du projet de chiffrement qui va être mis en place, réside dans la solution de gestion des clés.
Faut-il opter pour un mot de passe ou un porte-clés logiciel ou physique ? Plusieurs approches sont possibles pour stocker les clés de chiffrement et chacune a ses avantages et ses inconvénients. Quel que soit le choix initial, vous devez vous assurer que la solution de chiffrement choisie permette d’évoluer facilement et de passer d’un type de clé à un autre, sans que cela constitue une faille de sécurité.
La technologie doit permettre de passer d’un mot de passe à un porte-clés logiciel ou inversement, d’opter pour une bi-clé USB, une carte à puce… ou encore de panacher les dispositifs en fonction de groupes d’utilisateurs, des Business Units et filiales.
Attention ! Le choix du support de la clé doit être réalisé en concertation avec les futurs utilisateurs. C’est un moyen d’obtenir plus facilement l’acceptabilité du projet et d’éviter les éventuelles tentatives de contournement.
Enfin, il convient de configurer et stocker ce que l’on appelle des clés de recouvrement. Ces clés, dont l’accès doit être strictement réservé à quelques personnes de confiance, ne sont potentiellement utilisables qu’en cas d’urgence. Elles donnent accès à l’ensemble des contenus chiffrés, dont les fichiers d’un collaborateur parti en mauvais termes ou sur demande des autorités.
| Dans tous les cas de figure, la solution informatique adoptée doit absolument permettre à l’organisation de rester propriétaire de ses données et de pouvoir les déchiffrer à tout instant. Il ne faut pas dépendre des utilisateurs pour pouvoir accéder aux données. |
Règle numéro 4 : Faire attention à l’archivage et à la sauvegarde des données
La multiplication des attaques par cryptolocker, ces malware qui chiffrent le contenu des disques de leurs victimes, a poussé de nombreuses entreprises à renforcer leurs moyens de backup des données.
C’est une bonne pratique absolument indispensable et le cloisonnement cryptographique ne doit pas freiner les projets de sauvegarde des données et bloquer les logiciels de sauvegarde.
Outre ces sauvegardes, toute organisation a mis en place des systèmes d’archivage de données. Pour toutes ces données « froides », deux approches sont possibles :
- Si vous choisissez de réaliser un backup et une sauvegarde des données en clair, vous devez vous assurer que votre outil de sauvegarde soit aussi performant et sûr qu’une solution de chiffrement dont c’est la vocation.
- Vous pouvez aussi choisir de sauvegarder des données déjà chiffrées. Dans ce cas, pour que les sauvegardes soient utilisables sur le long terme, vous devrez ajuster certains process de sauvegarde. Il faut conserver dans la durée les clés utilisées pour chiffrer les données. Cela peut impliquer de conserver les logiciels de chiffrement et une machine avec le bon OS pour les faire fonctionner.
Règle numéro 5 : Ne pas négliger la gestion du changement
L’acceptabilité doit être le souci numéro 1 du chef de projet qui implémente une solution de chiffrement. Il faut tenir compte des besoins et contraintes des administrateurs IT et des futurs utilisateurs :
- dans l’élaboration de la stratégie ;
- dans le choix d’une solution ;
- dans la sélection du support des clés.
Dans chacune de ces phases, il est indispensable d’associer les utilisateurs à la démarche de sécurisation. Il est absolument nécessaire que le chiffrement ne soit pas identifié par les futurs utilisateurs comme une contrainte ni un frein dans leur travail.
Quelques bonnes pratiques pour susciter l’adhésion :
- Une phase de conduite de changement doit être menée en parallèle au projet chiffrement ;
- Les responsables doivent expliquer les besoins en matière de sécurisation et les risques encourus par l’entreprise ;
- Le projet doit pouvoir s’appuyer sur un sponsorship élevé dans l’organisation ;
- Le chef de projet a la responsabilité de guider les équipes dans l’usage de ces nouveaux outils.
La prise en compte des premiers retours d’expérience est essentielle pour adapter le périmètre ou les outils techniques mis en œuvre dans le projet.
| Dans ce cadre, il ne faut pas oublier de former le support IT aux sujets d’accompagnement sur les solutions de chiffrement, de gestion des scénarios des inévitables pertes ou casses de clés d’accès et de l’impact global du chiffrement sur l’infrastructure IT qui doit rester léger. |
2 règles en bonus 🙂
- La mise en œuvre d’une solution de chiffrement implique de tester en amont sa compatibilité avec l’ensemble des autres solutions de sécurité en place dans votre organisation : anti-virus, solutions d’intégrité du poste de travail, solutions de backup et de récupération des données.
- La solution sélectionnée doit répondre à votre besoin et s’adapter à votre cahier des charges, et non l’inverse ! Parmi les critères de choix à privilégier, il faut que la solution de chiffrement soit à la fois globale pour couvrir tous les besoins de l’entreprise tout en restant simple d’utilisation.
Dans le contexte actuel d’insécurité digitale, le chiffrement est le dernier rempart qui protégera vos données, même en cas d’intrusion ou d’exfiltration des données. Si déployer une solution de chiffrement peut paraître un projet essentiellement technique, détrompez-vous. La technologie est mature et une grande partie de votre effort doit porter sur le volet organisationnel et la conduite du changement auprès des futurs utilisateurs. Susciter leur adhésion est la condition sine qua non du succès.
