Etat des lieux du cryptage des données en Europe

Le nombre croissant d'obligations légales liées à la sécurité et l'essor de la mobilité multipliant les risques de fuite de données conduit les DSI à se tourner vers de nouvelles solutions de protection.

La nature instable et mobile des données met souvent sous pression les départements IT notamment lorsqu'il est question de les sécuriser. Il n'y a pas si longtemps, les données étaient simplement sécurisées par un dispositif de sécurité physique déployé dans les locaux abritant ces informations (verrous, cadenas, etc). Mais désormais, avec l'utilisation croissante d'ordinateurs portables et autres technologies mobiles, la mise en place d'une simple sécurité physique des locaux et du matériel n'est plus suffisante pour garantir une protection efficace des données.
 
L'effet papillon
En matière de sécurité, les départements informatiques doivent faire face à un véritable "effet papillon". Ils sont en effet fortement touchés par les réductions budgétaires et doivent par conséquent constamment faire plus avec moins ! Parallèlement, plusieurs gouvernements cherchent à réguler la sécurité des données. Cette année, le Ministère de la justice anglais a autorisé l'Information Commissioner's Office (ICO), l'organisme public anglais chargé de garantir l'accès à l'information et la protection des données personnelles, à faire payer aux entreprises des amendes maximales de £500,000 pour toute grave violation aux principes de protection des données.
 
De même, le Conseil Européen a approuvé une disposition visant à renforcer la protection des données. Un amendement à la directive européenne forcera les opérateurs et FAI à avertir leurs clients en cas de violation à la sécurité de leurs données. Le nombre croissant d'obligations légales va contraindre les entreprises à mettre en place des process précis pour assurer l'intégrité des données. En cas de non respect, les entreprises s'exposent alors à d'importantes répercussions financières et à de graves conséquences pour leur image si une violation des données venait à se produire. En effet, selon le Ponemon Institute, le coût moyen d'une violation de données s'élèverait à  £1,7 millions en Grande Bretagne, et à 1,9 millions d'euros en France.[1]

Outre les réductions budgétaires et la pression législative, le grand public se sent de plus en plus concerné par la protection de ses données personnelles, d'autant plus que les défaillances informatiques restent courantes.

De plus, du simple voyage au télétravail, la mobilité connaît un essor très important. D'après le Ponemon Institute, plus de 3500 ordinateurs portables disparaissent chaque semaine dans les aéroports européens. Ce qui représente un ordinateur toutes les trois minutes. La mobilité crée donc à la fois des opportunités en matière de business, mais multiplie aussi les supports professionnels à l'extérieur du traditionnel lieu de travail.  Cela conduit à la création d'un nouveau périmètre d'information et par la même occasion, à l'exposition à de nouveaux risques.
 
Les limites du cryptage
Cette combinaison de circonstances appelée "L'Effet papillon" doit alors conduire les départements informatiques à se poser la question suivante : Comment sécuriser des données que l'on ne peut pas surveiller ?
 
Pendant longtemps le cryptage des données était la solution standard pour les sécuriser. Bien qu'il soit nécessaire dans toute politique de sécurité informatique, le cryptage seul n'est pas suffisant. Il ne permet pas aux départements IT de traquer les données et ne donne aucun détail sur le type d'informations enregistrées sur l'ordinateur volé ou perdu.
 
Les conclusions du rapport du Ponemon Institute attestent également que le cryptage de données n'est pas suffisant pour assurer la sécurité d'une organisation.[2] De plus, il n'y a aucune garantie concernant l'utilisation du cryptage de données au sein du lieu de travail. Un sondage mené auprès de managers français a révélé que 50% d'entre eux ont désactivé leur solution de cryptage sur leurs supports hardware.
 
Le Ponemon Institute a aussi révélé une différence marquante entre les managers et les informaticiens en matière de sécurité - et cela dans plusieurs domaines. Le rapport met notamment en évidence qu'un important pourcentage de managers questionnés négligent des étapes clés garantissant la sécurité tels que le choix d'un mot de passe complexe, l'usage d'une protection physique en cas de mobilité, ou le verrouillage de leur ordinateur au bureau afin de protéger des informations confidentielles. De même, les résultats montrent que 36% des managers français vont jusqu'à écrire leur mot de passe pour s'en souvenir. Enfin, beaucoup pensent que les solutions de cryptage seules suffisent et rendent inutile toute autre mesure de sécurité.
 
De leur côté, leurs collègues informaticiens s'appliquent à suivre des démarches de précaution afin de protéger les informations sensibles et confidentielles sur leurs ordinateurs. D'ailleurs aucun d'entre eux n'a avoué noter sur un papier des informations importantes de sécurité. Ces personnes voient le cryptage des données comme un outil de sécurisation important, tout en pensant qu'il est indispensable de suivre certaines procédures pour s'assurer de la protection des données en cas de vol ou de perte d'un ordinateur portable.
 
Le rapport met également en lumière de grandes différences culturelles entre pays à propos de la mise en place du cryptage de données. Aux États-Unis près de 60% des managers auraient désactivé leur solution de cryptage. La France et le Canada ont eux aussi d'un pourcentage élevé, avec respectivement 50% et 52% de désactivation. En Allemagne, seuls 15% des managers auraient désactivé leur solution de cryptage, alors qu'en Suisse 13% seulement ont avoué l'avoir désactivée.
 
Une approche structurée
En résumé, même si une entreprise dispose d'une technologie de cryptage, elle ne peut être sure que les employés s'en servent convenablement. Il existe toujours un grand fossé entre la compréhension de la sécurité des réseaux IT et celle du reste de l'organisation. Malgré de nombreux cas de pertes et vols de données critiques, il semble que les managers ont encore du mal à comprendre pourquoi ils doivent prendre leurs responsabilités en matière de sécurité.
 
Si le "facteur humain" est une composante difficilement maîtrisable, pour les équipes IT, le succès repose avant tout sur une approche structurée de la sécurité. Cette démarche doit ainsi leur permettre de surveiller les données à l'intérieur et en dehors de la zone de travail et de fournir les alternatives capables de garantir un accès aux données en cas de disparitions d'ordinateurs. C'est donc seulement en adoptant cette approche que les informaticiens pourront être capable au pire d'effacer les données à distance stockées sur l'ordinateur volé, et au mieux de récupérer le matériel et de retrouver intact le contenu qui s'y trouve.

[1] "Cost of a Data Breach Report", Ponemon Institute, Janvier 2009

[2] "The Human Factor in Laptop Encryption", Ponemon Institute and Absolute Software, Mars 2010 - www.absolute.com/human-factor