mercredi 18 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Chiffrement : les nouveaux enjeux stratégiques

Chiffrement : les nouveaux enjeux stratégiques

Michel Souque, Vulnerabilite.com

mercredi 13 juin 2007, sélectionné par Spyworld

logo

Dans une économie globalisée, les entreprises se livrent une véritable guerre. Elles conçoivent des stratégies, elles parlent d’enjeux, elles dessinent des plans pour attaquer de nouveaux marchés ... Et lorsqu’elles remportent des contrats, ne parlent t-elles pas de ’batailles gagnées’ ?

Le chiffrement a toujours été considéré comme l’arme ultime dans le domaine de la protection des données ; pourtant, victime d’une image peu valorisante, il a toujours été utilisé de façon marginale. Les techniques de chiffrement sont mal connues, et si les reproches qu’on leur adresse, ont parfois été justifiés, les progrès sont, aujourd’hui, considérables. Et certains acteurs du chiffrement savent maintenant relever avec succès les nouveaux défis. Quels enjeux ? Quelles réponses ?

Classification des données : finesse et pertinence - La classification des données représente l’étape clef dans le déploiement d’une politique de chiffrement ; avec cette nouvelle approche et grâce à une génération de logiciels beaucoup plus souple, on a quitté l’ère du coffre-fort numérique central : le chiffrement se fait là où les données sont stockées et leur accès est réservé à un ou plusieurs utilisateurs. Avant de mettre en place une solution de chiffrement, il s’agit de définir le niveau de sensibilité des données et les endroits où elles se trouvent dans l’entreprise. C’est l’étape critique de classification dans laquelle on identifie, on situe, on qualifie. Ainsi, les données sont dotées d’un niveau de sécurité en fonction de leur confidentialité. Par exemple, les données de niveau 1 sont accessibles à tous, alors que celles qui sont ultra sensibles, classées en niveau 5, ne le sont qu’aux personnes accréditées et cela, seulement après avoir franchi plusieurs étapes de sécurité (chiffrement, authentification, accès sécurité, etc.). La classification est donc l’étape clef de la mise en place d’une politique de chiffrement car elle permet d’identifier les données, de les chiffrer et de les conserver là où elles se trouvent. Il n’est plus nécessaire de déplacer toutes les informations sensibles sur un ordinateur dédié, le chiffrement est réalisé "in place" et automatiquement.

Le droit d’en connaître : qui ? pourquoi ? comment ? - En abordant le thème du "droit d’en connaître", on touche un point sensible de la sécurité. Les intervenants sont multiples - internes ou externes à l’entreprise - et chacun intervient selon les droits et les devoirs inhérents à ses fonctions. Rappelons simplement que certaines informations chiffrées seront utilisées par une seule personne sur un support unique, alors que d’autres seront accessibles à plusieurs membres d’un même groupe. Il faut donc considérer différemment les données utilisées par un commercial itinérant, et celles destinées à un ou plusieurs services d’un siège social telles que des données financières ou R&D. Aujourd’hui, il existe des solutions de chiffrement qui permettent une gestion fine des droits d’accès autorisant ainsi des personnes aussi bien que des groupes à utiliser les données qui leur sont nécessaires. Ces nouvelles solutions s’adaptent précisément au fonctionnement actuel des utilisateurs. Sans parler des administrateurs ou autres personnels techniques, force est de constater qu’il est quasiment impossible d’interdire, par exemple, l’utilisation d’un poste de travail mobile pour des usages non professionnels. Et si les droits d’accès ne sont pas sélectifs, si l’intégralité du disque dur est chiffrée, quiconque utilisant l’ordinateur pourra se trouver au contact d’informations confidentielles dès lors qu’il sera allumé. Autre exemple, dans le cas d’utilisateurs multiples d’un même poste ou de partages de dossiers en réseau, il est indispensable, sous peine de se faire dérober des fichiers, de gérer finement les droits d’en connaître et d’assurer la permanence du chiffrement. Si les postes de travail et les portables sont considérés comme des matériels sensibles, objets de toutes les attentions, les serveurs de fichiers, les CD, les disques durs externes ou les clés USB représentent également des espaces à protéger. Alors, pour que les informations ne soient pas accessibles à tous mais aussi pour que chacun puisse accéder à celles dont il a besoin, seules les personnes qui possèdent le droit d’en connaître, qu’ils soient utilisateurs uniques ou groupes d’utilisateurs, doivent pouvoir avoir accès aux données confidentielles.

Des utilisateurs libres et sans contrainte - Optimiser la sécurité des fichiers nécessite d’imposer un minimum de contraintes aux utilisateurs. Car, pourquoi développer un outil technologique si les principaux intéressés le rejettent ? La plupart des solutions de chiffrement de première génération sont lourdes et demandent une intervention humaine à chaque opération. Et on le comprendra aisément, l’utilisateur sera donc tenté "d’oublier" ces manipulations ! Pour éviter ces risques de contournement, le chiffrement doit donc être totalement transparent en supprimant toutes les contraintes imposées à l’utilisateur. Celui-ci peut alors accéder aux données sensibles, les modifier ou en ajouter, sans être conscient des opérations de chiffrement et surtout, sans avoir à changer ses habitudes de travail. Le niveau de sécurité est alors optimal et les opérations ne sont ni modifiées, ni ralenties ou inconsciemment sabotées. La contrainte de chiffrement doit être gérée au niveau de l’entreprise, par l’officier de sécurité, et l’utilisateur doit être libre de se consacrer à son métier de base.

Cloisonner pour mieux sécuriser - Les outils mis à la disposition des salariés sont souvent utilisés à des fins personnelles. Si chiffrer l’intégralité du disque paraît être une bonne solution, elle s’applique seulement lorsque l’ordinateur est éteint. Car, dès que l’appareil est allumé, l’ensemble des données est accessible en clair. Pour maintenir les données chiffrées, il faut donc créer des « zones chiffrées » au sein même du poste de travail, de l’ordinateur portable ou du serveur, dans lesquelles les données sont chiffrées en permanence et accessibles uniquement aux utilisateurs autorisés. Les utilisateurs « invités » pourront alors travailler ou utiliser l’ordinateur à des fins personnelles sans pour autant avoir accès aux données confidentielles présentes sur le poste. Contrairement aux volumes virtuels chiffrés, cette technique applique un chiffrement « in place » et ne nécessite ni réorganisation des données au sein de l’entreprise ou sur le poste concerné, ni intervention de l’utilisateur pour « chiffrer et déchiffrer les données ».

Faire face aux nouveaux enjeux - Protéger les données n’est pas une mince affaire et pourtant, elle constitue une mission critique, vitale pour l’entreprise. Pour que chacun puisse mettre en place la bonne stratégie et réaliser un chiffrement de qualité, il faut appliquer une vision globale à son projet et réfléchir, avant d’entreprendre un chantier de chiffrement, à toutes les solutions possibles !


A propose de l’auteur

GIF - 29.4 ko

Michel Souque a plus de 30 ans d’expérience sur la marché de l’informatique et de la sécurité. Il a été, en 1998, le fondateur de la société MSI, à l’origine du produit MSI Security Box, qu’il dirigera jusqu’à sa vente au groupe Italien Finmatica en octobre 2000. En 2003, après plus de 10 ans d’expérience et de collaboration dans le marché de la sécurité, Michel Souque et Serge Binet créent Prim’X Technologies (http://www.primx.fr ) avec un troisième expert de la cryptographie, Sébastien Savatier.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :