"L'enjeu pour les entreprises, ce n'est pas tant le choix de
l'outil que la mise en place des processus associés, notamment pour couvrir la
problématique du recouvrement. Le déploiement de ces outils s'accompagne donc
nécessairement de la mise en place de process", prévient d'emblée David Hozé.
L'entreprise doit ainsi prévoir des adaptations en termes d'organisation
et de processus pour déployer la solution de chiffrement, assurer l'exploitation
des postes de travail et assurer le recouvrement (rétablir l'accès aux données
après la perte d'un mot de passe ou d'une clef). L'impact peut en effet ne pas
être négligeable.
Les aspects à prendre en compte sont donc :
» La délivrance des clefs : comment est-elle
remise à l'utilisateur ? Est-il identifié formellement ? Il s'agit de définir
une procédure de remise dans de bonnes conditions de souplesse et de sécurité.
Il revient à chaque entreprise d'arbitrer selon un niveau de criticité.
» Les modes inhabituels et le recouvrement.
Un utilisateur rencontre un problème, il ne peut plus accéder à ses données. Que
se passe-t-il ? Quelles sont les personnes détentrice d'un certificat de recouvrement
? Il faut pour cela avoir défini des procédures permettant de transmettre de nouveau
la clef à l'utilisateur dans un équilibre là aussi entre flexibilité et sécurité.
» Le renouvellement. Les bonnes pratiques en
matière de sécurité prévoient en effet la génération de nouvelles clefs de chiffrement,
selon une fréquence fonction du risque. La moyenne est de 3 à 5 ans. Mais les
clefs ne peuvent être simplement interverties, les données restant attachées à
une seule clef. La solution peut être de faire cohabiter provisoirement les deux
clefs afin de continuer d'accéder à d'anciens fichiers. Une autre possibilité
est le transchiffrement qui consiste à identifier toutes les données chiffrées
et à la basculer vers la nouvelle clef.
 |
|
Bouquet de services de sécurité reposant sur
un socle PKI © OpenTrust
|
|
Il faut ensuite s'assurer de l'adhésion par les utilisateurs,
le chiffrement pouvant être plus ou moins contraignant. Si la technologie est
perçue comme trop contraignante par ces derniers, son utilisation risque d'être
contournée. Un marketing doit donc être mené auprès des utilisateurs pour les
informer, les sensibiliser et accompagner le changement.