Les 10 points clés pour réussir un projet de chiffrement
A l’heure où la donnée se monnaye et où les hackers s’organisent, le chiffrement vient compléter les solutions de sécurité historiques pour éviter qu’un document ne soit lu par le tout venant.
Hacking, vol d’informations, cybercriminalité, code malveillant… l’entreprise est confrontée à une large variété d’attaques en tous genres. Alors protéger ses données : d’accord, mais comment ?Les solutions anti-virus, firewall, IPS, filtrage url… sont indispensables à la sécurité du système d’information d’une entreprise afin de limiter les risques. A l’heure où la donnée se monnaye et où les hackers s’organisent, le chiffrement (ou cryptage) vient compléter cet ensemble d’outils pour éviter qu’un document ne soit lu par le tout venant. La mise en place d’une solution de chiffrement doit être réfléchie et respecter un certain nombre d’étapes afin que celle-ci soit efficace.
1/ Sensibiliser les utilisateurs à la protection de l'information
Peu le savent, mais l'entreprise est exposée au risque de perte ou de vol d'information, tout comme au risque de vol de matériel, d'interception d'email... Pour être efficace, la protection des informations sensibles doit être une préoccupation de l'ensemble des acteurs impliqués dans l'entreprise.
Etre sensible à la vulnérabilité des informations détenues, mesurer le risque des pratiques frauduleuses existantes et évaluer la nécessité d'une diffusion maîtrisée de ces données en interne comme en externe doit passer par une prise de conscience qu'il convient de développer au sein de l'organisation et dans ses relations avec l'extérieur. Il sera bon d'organiser une sensibilisation permanente via des formations, des notes régulières, la diffusion de bonnes pratiques, etc.
2/ Définir un premier périmètre à sécuriser et anticiper son évolution
Avant de se lancer à corps perdu dans un projet de chiffrement, il est préférable de définir, avant même le déploiement, un premier périmètre à protéger. Ce périmètre peut prendre plusieurs formes : soit concerner un type de matériel (flotte de portables, machines des dirigeants), soit concerner plus précisément un type de données ou un ensemble d'utilisateurs : direction générale, ressources humaines, finance, etc.
L'idée est également de sécuriser progressivement les informations les plus sensibles puis d'élargir vers des périmètres plus communs ; l'objectif à terme étant d'obtenir idéalement un déploiement global. Pour cela, il est préférable d'opter pour une solution de cryptage transparente et évolutive, qui permette un déploiement massif et sans contrainte.
3/ Définir les données sensibles à protéger
Généralement, il s'agit des informations dont la divulgation procurerait un avantage à la concurrence ou réduirait l'avantage dont dispose l'entreprise (R&D, travaux d'innovation, savoir-faire technologique, contenu d'offres commerciales, structure des comptes, fichiers clients, projets de développement, fonctionnement de l'entreprise...).
Il peut s'agir aussi d'informations encadrées par des exigences légales et/ou contractuelles (secret des affaires, engagement de confidentialité, secret médical, etc.) sans omettre les données nominatives (fichiers clients, ressources humaines, etc.)
4/ Adopter une solution qui s'intègre facilement dans le système d'information de l'entreprise
En effet, certaines solutions de chiffrement (ou cryptage) modifient les données et fichiers au point d'en modifier leurs attributs (nom du fichier, taille ou date de création), voire imposent de changer leur emplacement de stockage (lieu de sauvegarde). Or, ces éléments sont essentiels au bon fonctionnement d'une entreprise et à la sécurité d'un système d'information.
5/ Ne pas modifier les habitudes de travail des utilisateurs
Toute solution de chiffrement n'est efficace que si elle est utilisée. Pour cela, il est bon de veiller à ce que la solution choisie soit la plus "discrète" possible, pour ne pas changer les habitudes de travail : plus le logiciel est transparent, moins il rencontre de freins auprès de ses utilisateurs.
L'entreprise ne doit pas laisser aux utilisateurs le choix de décider quelle donnée ou information doit être protégée. Une politique de chiffrement des données est décidée et mise en place par l'entreprise, puis appliquée de façon systématique et automatique par la solution de cryptage des données.
6/ Favoriser un logiciel de chiffrement de la donnée et non du contenant
Les conséquences au quotidien sont différentes si la solution choisie crypte le contenant ou si celle-ci crypte le contenu. En effet, dans le cas du chiffrement du contenant, les données seront protégées uniquement dans cet espace. Simple mais attention, dans certains cas et avec certaines technologies, ce principe nécessite une forte discipline. Il est en effet nécessaire de prendre soin à ne pas oublier de replacer les documents modifiés dans leur emplacement chiffré. Sans compter que cela nécessite également une modification des habitudes de travail des utilisateurs (cf. point 5). De plus, toutes les personnes qui ont accès aux contenants peuvent prendre connaissance du contenu, parfois sans distinction... Et lorsque le document ne se trouve plus dans le contenant chiffré, dans son coffre fort, il se trouve dans une zone en "clair" et lisible par tous...
Alors qu'en cryptant le contenu (ou la zone), celui-ci peut être réservé à un ou plusieurs utilisateurs, grâce à une gestion plus fine des accès.
7/ Imposer une politique de mots de passe "forts"
Pour crypter ou chiffrer, il est nécessaire de créer une clé de chiffrement. La clé peut être un certificat électronique ou un mot de passe.
Le mot de passe est une solution plus économique et plus rapide à mettre en application, par contre il nécessite une certaine discipline, qu'il est souvent nécessaire de matérialiser par une politique propre à l'entreprise devant être largement diffusée au sein de l'infrastructure.
Bien entendu, le B.A-BA de l'utilisation d'un mot de passe reste : ne pas le stocker sur un papier au dos de son clavier, le changer fréquemment et surtout utiliser des règles d'édition... A savoir, mélanger chiffres et lettres, symboles, majuscules et minuscules et utiliser au minimum 8 caractères ; on évitera bien entendu, sa date de naissance ou le prénom de son enfant ni même les deux ensemble.
8/ Ne pas oublier le chiffrement des échanges de données par e-mail
Aujourd'hui, l'activité économique passe par un travail collaboratif : échange d'e-mail, partage de documents... Chiffrer les données sur son poste de travail est donc une étape à laquelle il ne faut pas tarder à ajouter le chiffrement des échanges. Chiffrer ses e-mails ou ses dossiers partagés est devenu tout aussi important pour assurer la confidentialité des données.
9/ Savoir gérer les sauvegardes
En clair ou en chiffré... A vous de voir. L'idéal étant d'opter pour une solution qui offre la possibilité de choisir entre ces deux possibilités et ce, sans contraintes. Toujours dans un souci de transparence, la solution de cryptage retenue ne doit rien changer au fonctionnement des sauvegardes déjà mises en place dans l'entreprise.
10/ Pouvoir secourir les utilisateurs
Crypter ses données signifie les rendre illisible au tout venant... ou tout du moins aux personnes ne possédant pas la clé ; oui mais voila, parfois, la clé peut-être perdue... il est donc nécessaire dès le déploiement de la solution de chiffrement des données de bien penser aux méthodes de secours utilisateurs et les mettre en place immédiatement... car après il sera peut-être trop tard.
Le recouvrement des données à partir d'une clé de recouvrement réservée à la direction est une fonctionnalité qui est obligatoire et sur laquelle on ne peut faire l'impasse lors du choix d'une solution de chiffrement des données sensibles.
En conclusion, on favorisera, dans la mesure du possible, des solutions certifiées Critères Communs par l'ANSSI (dénominations EAL) en prenant garde à l'étendue de la cible de sécurité (parties du logiciel qui ont été testées et certifiées). En effet, un logiciel certifié est un gage de fiabilité mais aussi d'efficacité.