Recevez chaque jour toute l'actualité du numérique

x

Chiffrement, mode d'emploi (pour l'entreprise)

Face aux nouveaux types de cyberattaques, une solution réside dans le chiffrement. Pour garantir la confidentialité de ses données à l’heure du cloud et de la mobilité, il s’agit de mettre en place une solution de cryptage efficace. Et le plus tôt est le mieux.
Twitter Facebook Linkedin Flipboard Email
×

Chiffrement, mode d'emploi (pour l'entreprise)
Chiffrement, mode d'emploi (pour l'entreprise) © CC Flikr Perspecsys Photos

Avec l’affaire "Apple contre FBI", la question du chiffrement est encore une fois revenue sur le devant de la scène médiatique. Loin d’être un simple garant du respect de la vie privée, le cryptage est surtout un outil indispensable de protection des données pour les entreprises. Un outil dont le besoin se fait davantage sentir à mesure que les infrastructures et les services sont externalisés dans le cloud, et que les travailleurs deviennent mobiles et hyperconnectés.

 

L’entreprise ne maîtrise plus complètement l’emplacement de ses données, ni qui y accède. Et même lorsqu’elle gère tout en interne, elle doit faire face à une recrudescence d’attaques émanant d’acteurs variés. La solution à ce changement de paradigme n’est pas nouvelle. Le chiffrement rend les données illisibles pour qui ne possède pas la clé privée qui permet d’y accéder. Ainsi, même lorsqu’un système est pénétré et que les fichiers en sont dérobés, leur confidentialité est assurée. Voici cinq conseils pour mettre en place un tel système.

 

1 - Ne pas attendre

La mise en place d’une solution de chiffrement ne se fait souvent qu’après un vol de données. Malheureusement, cette prise de conscience tardive ne répare pas les dégâts, et certaines entreprises ne se remettent jamais de cette première brèche. Il est donc important de ne pas attendre qu’il soit trop tard pour se décider à agir. "Je fais souvent l’analogie avec l’assurance, explique Jocelyn Krystlik, le product marketing manager data security chez Stormshield. Jusqu’à ce qu’on ait un accident, on se demande à quoi ça sert."

 

La réflexion à avoir est donc celle du coût de la mise en place d’une solution par rapport au coût (financier, en matière d’innovation, de notoriété…) que représenterait une perte de données. Ces enjeux sont aujourd’hui primordiaux. Les scandales liés aux fuites de données défraient la chronique chaque semaine et coûtent très cher aux marques. Il n’est pas non plus inutile de savoir que, dans le cadre de la protection légale renforcée des données personnelles, une entreprise risque jusqu’à 4 % de son chiffre d’affaires en pénalités lorsqu’elle est prise en défaut.

Quel algorithme choisir ?

Il existe de nombreuses normes de chiffrement qui emploient divers algorithmes dont les forces et les faiblesses sont sujettes à débat. Une personne désireuse d’équiper son entreprise peut être tentée de rechercher la meilleure solution, mais la technologie ne doit pas primer sur le process. Toutes les solutions s’appuient sur les mêmes normes (AES et RSA), et tous les acteurs travaillent ensemble à l’établissement de nouveaux standards. Le risque de déchiffrement par force brute de données confidentielles est infinitésimal par rapport à celui d’une mauvaise gestion.

 

2 - S’adapter aux besoins

Dans les petites structures comme dans les grandes, il est crucial de cibler les besoins réels. Il peut être tentant, particulièrement pour les grands comptes, de mettre en place une stratégie globale à toute l’entreprise, sans questionner l’utilisation effective. Cette approche est pénalisante à plus d’un titre : les coûts engagés sont plus importants et la solution sera moins adoptée, car ceux qui n’en ont pas besoin ne feront pas l’effort de s’en servir, et leur attitude sera communicative. A contrario, les équipes (R & D, audit interne, comité exécutif…) qui ressentent la nécessité de sécuriser leurs données feront preuve de zèle à condition que le chiffrement soit adapté à leurs usages spécifiques. Les données doivent-elles être stockées en ligne ? Doivent-elles être transférables ? Le transfert doit-il pouvoir être fait par e-mail ? S’agit-il de fichiers volumineux ? Y a-t-il une date limite au besoin de confidentialité ? "C’est un peu comme dans le marketing, commente Jocelyn Krystlik. Vouloir atteindre l’ensemble des consommateurs avec un seul produit, c’est irréalisable."

 

3 - Sensibiliser les utilisateurs

Déployer une solution est une chose, s’assurer qu’elle est correctement utilisée en est une autre. Il est impératif de former et de sensibiliser les utilisateurs au chiffrement et à sa nécessité dans divers scénarios. Envoi d’informations sensibles par e-mail, travail en milieu non sécurisé (réseaux Wi-Fi publics…), équipements accessibles par d’autres personnes… Pour cela, le bouche-à-oreille au sein de l’entreprise reste l’un des meilleurs vecteurs. Privilégier des services tels que les finances et les RH peut être une bonne approche : plus sensibles au besoin de protéger l’information, ils sont aussi plus écoutés au sein de l’entreprise et aideront à l’adoption des bonnes pratiques. Un autre levier est la responsabilisation des employés qui traitent des données sensibles, en intégrant la confidentialité directement dans leur mission.

 

4 - Mettre en place la bonne organisation

La tentation pour réduire les coûts peut être de gérer en interne la solution de sécurisation des données plutôt que de faire appel à des services cloud par abonnement, désormais très répandus. Ce n’est pas forcément une mauvaise idée, mais il faut mettre en place une gestion rigoureuse et bien définie. "Lorsque vous chiffrez des données, la question la plus importante est de savoir où se trouve la clé de chiffrement, rappelle Thomas Deutschmann, le PDG de Brainloop. Par exemple si vous la générez en interne ou sur le cloud, et qui y a accès."

 

Quand l’administration des clés se fait en interne, il faut s’assurer que les accès sont limités aux personnes concernées. Pas sûr que tout le service IT doive pouvoir lire la fiche de paie du patron, par exemple. Tout aussi important : s’assurer que les clés privées sont sauvegardées, car sans elles, impossible d’accéder aux données. Cela peut passer par des mesures toutes simples, comme de les copier sur une clé USB que l’on place dans un coffre. L’erreur à ne jamais commettre : stocker les clés au même endroit que les données elles-mêmes, par exemple sur un espace de stockage en ligne comme Dropbox. Cela revient à verrouiller une porte en oubliant la clé dans la serrure.

 

5 - Penser externe

Sécuriser ses données, c’est bien. Mais très souvent cette sécurité doit perdurer durant le transfert des données vers des partenaires externes, qu’ils soient fournisseurs ou clients. Il s’agit donc de réfléchir dès le départ à la place de ces données chiffrées au sein du workflow étendu de l’entreprise, non seulement à la date de déploiement mais également à échéance de cinq ans. Si cette étape est si essentielle, c’est parce que les nombreuses solutions du marché ne sont pas compatibles entre elles. Il n’existe pas de normes en dehors de celles qui équipent les services et les logiciels de messagerie électronique.

 

Et là où une entreprise de la taille d’Airbus peut se permettre d’imposer sa solution à ses sous-traitants, des sociétés de moindre envergure n’en ont pas les moyens. Consulter ses partenaires ou prendre en compte leurs besoins de communication est donc vital si l’on ne veut pas avoir à casser la chaîne de sécurisation des données au moment du transfert. Il est aussi nécessaire de rappeler qu’une méthode de sécurisation moins solide est toujours meilleure que de ne rien faire du tout. Dans le pire des cas, il est toujours possible de chiffrer ses données par mot de passe plutôt que de les laisser en clair.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

romain b
27/05/2016 15h23 - romain b

Attention: Fin de l'article "Airbus peut se permettre d’imposer sa solution à ses sous-traitants". Non non, Airbus n'impose pas sa solution à ses sous traitants, elle impose de chiffrer au moins les emails avec un standard international appelé le S/MIME, reposant sur des certificats X509. Airbus Defense & Space commercialise, effectivement, via sa filiale Stormshield, une solution de chiffrement qui respecte ce standard international, et ses sous traitants peuvent l'utiliser ou en utiliser une autre. Sinon çela poserait quelques petits souci de responsabilité... et de concurrence...

Répondre au commentaire | Signaler un abus

 
media