Quand les données sortent de l'entreprise... le cryptage pour soutenir le smart working
La société actuelle, active 24 heures sur 24, 7 jours sur 7, a vu au fil du temps ses modes de vie évoluer grâce à une augmentation de la capacité à être connectés au niveau mondial.
Avec de plus en plus de salariés qui travaillent en dehors des locaux de l'entreprise , il y a des attentes fortes en matière de disponibilité de l'information, des biens et des services.
Mais les entreprises ont-elles bien compris les opportunités et les enjeux liés à ces changements ? Quels sont les avantages et les obstacles qui découlent de l'assouplissement du travail et comment relever les "défis" posés par cette nouvelle approche ?
Le travail à distance est à l'origine de nombreuses menaces pour la sécurité : les entreprises ont du mal à mettre à jour leurs systèmes et dispositifs internes, ainsi qu'à former leur personnel, à mesure que la technologie évolue. Cela peut donc conduire les employés à utiliser des solutions qui passent outre les mesures de protection des données, laissant l'entreprise exposée à des menaces de sécurité. Si les protocoles de sécurité n'ont pas été conçus pour stimuler la productivité du personnel, les employés trouveront inévitablement des astuces - ils finiront par sauvegarder des données sensibles dans des courriers électroniques personnels ou sur des USB privés. Pire encore, si un mur entre l'équipe de sécurité informatique et le reste du personnel se dresse, le risque devient réel.
Le rôle des dispositifs cryptés
Afin de limiter les dommages potentiels et maximiser la protection des données, les entreprises de tous types et de toutes tailles ne doivent pas ignorer les risques graves liés à l'utilisation par leurs employés des appareils personnels, conçus pour être utilisés par les particuliers. Il est donc essentiel d'adopter une approche proactive en mettant en mettant en place des normes et des “best practices”, dans laquelle le cryptage et les dispositifs tels que les clés USB cryptées peuvent jouer un rôle primordial. En effet, le cryptage est un processus largement utilisé dans lequel les données sont transformées en une version cryptée et incompréhensible à l'aide d'algorithmes puis rendu accessible grâce à une clé de décryptage.
Un allié pour le respect du RGPD
Au-delà du discours déjà essentiel sur la sécurité, il ne faut évidemment pas sous-estimer la question du respect du RGPD qui, s'il n'est pas respecté, peut avoir des conséquences économiques très graves. La CNIL a par exemple en janvier 2019 sanctionné Google pour un montant total d'environ 50 millions d’euros à la suite d'incidents de violation de données.
Le règlement général sur la protection des données lui-même mentionne la cryptographie comme un outil à adopter : l'article 32 parle de la nécessité de "mesures organisationnelles et techniques appropriées pour assurer un niveau de sécurité adapté à l'importance du risque, y compris ... le cryptage des données à caractère personnel". La norme exige des organisations qu'elles protègent à la fois les données sensibles en transit et les données stockées par le chiffrement : en ce sens, les clés USB chiffrées sont l'une des solutions possibles pour normaliser les processus de conformité associés au chiffrement des données.
Cryptage matériel contre cryptage logiciel
Le cryptage sur les clés USB peut être réalisé de deux manières : par des solutions matérielles ou par des solutions logicielles. Les clés USB à cryptage matériel sont autonomes, ne nécessitent aucun logiciel sur l'ordinateur hôte et sont les plus efficaces pour lutter contre les logiciels malveillants en constante évolution, en offrant une protection contre les types d'attaques les plus courants, comme celles par démarrage à froid et par force brute. En revanche, les lecteurs cryptés par logiciel partagent des ressources informatiques avec d'autres programmes et ne sont pas plus sûrs que l'ordinateur sur lequel ils sont utilisés. Les clés USB à cryptage matériel haut de gamme, qui utilisent un AES 256 bits en mode XTS et sont certifiées FIPS, vont rendre difficile l'accès aux informations qu'elles contiennent pour toute personne qui trouverait une telle clé entre ses mains.