Le Conseil de l’Union européenne a adopté en décembre dernier, une résolution sur le chiffrement dans laquelle il souligne la nécessité d’assurer la sécurité grâce au chiffrement et malgré le chiffrement.
Perçu comme un moyen nécessaire pour protéger les droits fondamentaux et la sécurité numérique des pouvoirs publics, des entreprises et de la société, retour sur le « phénomène chiffrement » qui séduit près de 80% des entreprises en France.
Par Catherine Convert
La France, adepte du chiffrement
Ponemon Institute observe dans son « étude sur les tendances en matière de chiffrement en France », que 80% des entreprises françaises utilisent le chiffrement sur la totalité de leur système d’information, sur des données ou appareils précis1. En France toujours, les données relatives aux informations des clients seraient chiffrées à hauteur de 66% contre une moyenne mondiale de 44%. La santé fait figure de grande bénéficiaire de ces solutions, avec un taux de 57% contre 24% au niveau mondial.
Tordre le cou aux idées reçues
Malgré les chiffres annoncés, certaines entreprises connaissent des réticences dans l’implantation de solutions de chiffrement et seulement 40% d’entre elles disposeraient d’une stratégie de chiffrement adaptée à leur échelle.
Toujours d’après le Ponemon Institute, « pour 70% des sondés, localiser les données sensibles de l’entreprise est le défi le plus important à relever pour la planification et l’exécution d’une stratégie de chiffrement des données. Le deuxième défi réside dans le déploiement initial de la technologie de chiffrement et ce pour 50% des sondés ». Une petite majorité (59%) applique des solutions de chiffrement pour des raisons de conformité, sans prévention de sécurité relative à d’éventuelles cyberattaques.
Alexandre Tran, ingénieur avant-vente chez Prim’X, relève alors quelques idées reçues sur le chiffrement : « Il est possible d’imaginer qu’il y aura un impact sur les performances des machines. Mais c’est faux, si elles sont assez récentes. Nous avions peur que la charge du chiffrement soit lourde, mais en réalité l’impact sur les ressources du serveur est très faible » explique le DSI d’un centre hospitalier, et d’ajouter « La solution s’est montrée parfaitement stable malgré des pics de montée en charge jusqu’à 120 utilisateurs simultanés dans la même zone de chiffrement ».
Contrairement aux poncifs encore fréquents « dès lors que vous êtes accompagnés et conseillés, vous pouvez aujourd’hui mettre en place une stratégie de chiffrement simple et transparent. » ajoute Alexandre Tran.
Des stratégies globales en capacité de répondre à l’un des enjeux les plus critiques du moment, maîtriser l’accès à ses données : « Nos solutions intègrent ainsi des systèmes de recouvrement et des mécanismes de secours utilisateurs pour que l’entreprise ou l’institution soit toujours en capacité d’avoir accès à ses données. Aussi, nous incitons à tout chiffrer, et avons conçu nos logiciels pour faciliter la mise en oeuvre de cette politique de chiffrement global. » ajoute notre expert Prim’X.
Le chiffrement In-place
Le chiffrement in-place permet de cloisonner des données et d’apporter une réponse à la confidentialité de celles-ci tout en assurant leur sécurité par les équipes compétentes et uniquement celles ayant le droit d’en connaître. « La Direction des Systèmes d’information gère les certificats nécessaires au chiffrement, et le monde médical gère les utilisateurs qui vont devoir chiffrer les données. Les deux parties sont indépendantes. En tant que responsable informatique, je n’ai accès aux zones de chiffrement que pour leur maintenance, mais je n’ai pas accès aux données chiffrées qu’elles contiennent », explique le directeur informatique du centre hospitalier.
Le chiffrement surfacique
Une structure souhaitant se prémunir contre le vol ou la perte d’un appareil fera plutôt le choix d’un chiffrement surfacique. Dans le cas d’une entreprise aéronautique par exemple, fortement exposée aux risques d’espionnage industriel et commercial, les techniciens de maintenance et les commerciaux sont amenés à se déplacer régulièrement, transportant avec eux des données confidentielles : données de conception ou des informations commerciales. Les appareils déployés à l’extérieur de la structure doivent donc être protégés. « La sécurité des données présentes sur le poste de travail doit être assurée en cas de vol ou de copies de disque dur réalisées à l’insu de l’utilisateur. L’équipe sécurité impose impérativement que tout poste qui sort de la société soit intégralement chiffré. »
Pour augmenter le niveau de sécurité d’une solution de chiffrement surfacique, « un token cryptographique (carte à puce ou équivalent USB) doit être utilisé pour contenir la clé d’accès de l’utilisateur. » détaillent les experts Prim’X et d’ajouter « les cartes à puce et les tokens sont le temple de la sécurité et de l’ergonomie. Si trop de codes incorrects sont saisis, le token se bloque. »
Ces solutions impliquent une authentification supplémentaire au pre-boot, modifiant les habitudes des utilisateurs. Aussi, « afin de faciliter l’acceptabilité des logiciels de chiffrement, il faut choisir une solution qui permette le SSO (Single Sign-On), fonctionnalité d’authentification unique. » précise Pierre-Jean Leca, directeur technique chez Prim’X.
Le succès du chiffrement par mot de passe
Une majorité d’entreprises préfèrerait le chiffrement par mot de passe, « plus simple à déployer et efficace. » selon les adeptes de la solution. Mais certaines structures pensent, à tort, qu’un mot de passe n’est efficace que s’il est changé régulièrement. Or, Pierre-Jean Leca le rappelle « il vaut mieux avoir un long mot de passe complexe que de le changer régulièrement, pour le modifier à peine et le perdre ensuite. Il y a toujours la possibilité d’utiliser un gestionnaire de mot de passe pour s’identifier plus simplement avec de longues clés. Il faut aussi pouvoir adapter les mots de passe aux smartphones et tablettes, dont l’ergonomie peut être problématique pour la saisie d’un long code, d’où l’importance d’une authentification à double facteur et de la biométrie dans certains cas ».
Réussir son projet de chiffrement
Un projet de chiffrement doit répondre aux besoins formulés par l’entité, « ce n’est pas à l’entreprise de s’adapter aux solutions technologiques disponibles. » soulignent les experts PRIM’X. Une sensibilisation de l’ensemble des collaborateurs sera indispensable pour accompagner toute stratégie de chiffrement quelle qu’elle soit. « Des guides peuvent être diffusés dès le début du projet de chiffrement. » sans oublier d’anticiper les impacts IT et organisationnels. « Le déploiement de terminaux de contrôle d’accès demandent une équipe de maintenance qualifiée, au même titre que le chiffrement d’appareils de prêts. Il est également essentiel de vérifier que les solutions de chiffrement soient compatibles avec les anti-virus utilisés tout en contrôlant régulièrement et en anticipant les mises à jour des systèmes. » explique Alexandre Tran.
Les méthodes de backup, clairs ou chiffrés, doivent être également pensées : « si le backup est chiffré, il faut adapter les procédures de sauvegarde et de restauration, conserver les clés associées et conserver les logiciels de chiffrement. » conseille Alexandre Tran.
Un processus de recouvrement indispensable
L’entreprise, propriétaire de ses données « doit savoir les déchiffrer et ne pas dépendre de ses utilisateurs. » explique Pierre-Jean Leca. Mettre en place un processus de recouvrement des données, véritable backdoor de l’entreprise, est une étape cruciale en matière de chiffrement. Elle doit ainsi être très encadrée. Aucun administrateur ne devrait pouvoir déchiffrer seul les données de ses utilisateurs. Il est nécessaire pour cela de bien différencier les rôles de chacun, et d’impliquer plusieurs personnes au bon niveau, dans la procédure de recouvrement. « Cela peut signifier par exemple que la personne ayant accès aux données est différente de celle détenant le mot de passe de la clé de recouvrement, et qu’une troisième détient la clé physique (token ou carte à puce) mais ne possède pas son code. » ajoutent Alexandre Tran et Pierre-Jean Leca.
A l’heure où la maîtrise des accès à ses données est un enjeu des plus stratégiques, la mise en oeuvre d’une stratégie de chiffrement global et transparent de cet actif des plus précieux devrait être, si ce n’est déjà fait, votre prochain projet cyber à porter !