Tribune Trend Micro : Le chiffrement n’est pas la solution miracle
Il faut exploiter le chiffrement avec discernement, selon Loïc Guézo, Information Security Evangelist, Director – Southern Europe Trend Micro. Et l’intégrer dans une stratégie globale de protection des données.
Le chiffrement est souvent présenté comme la panacée en matière de sécurité de l’information, le moyen idéal pour renforcer la protection des données et favoriser la mise en conformité.
Bien que le chiffrement reste un outil essentiel pour les RSSI, il ne s’agit pas pour autant d’une solution miracle.
Plutôt que de le considérer comme une fin en soi, le chiffrement doit être intégré dans une stratégie globale de protection des données, et venir compléter les autres outils de sécurité informatique tels que les pare-feu, les outils de lutte contre les codes malveillants ou attaques ciblées, l’inspection des logs et des contenus, le contrôle d’accès et la prévention des pertes de données.
En premier lieu, il est essentiel que les équipes informatiques échangent avec les directions métiers pour évaluer précisément la valeur et la criticité des données de leur entreprise.
Les organisations disposent en effet d’un très grand nombre de données, qu’il s’agisse d’informations disponibles sur des sites Internet publics ou de données confidentielles, financières ou liées à la propriété intellectuelle par exemple.
La solution requiert donc de classer de manière pertinente les informations en fonction de leur degré de sensibilité à la perte de confidentialité.
Les données les plus critiques devront être chiffrées en permanence, qu’elles soient archivées, envoyées par email ou disponibles sur un serveur partagé.
Il est également nécessaire de s’adapter à la nature versatile des données de l’entreprise, et de réévaluer leur niveau de confidentialité continuellement plutôt que de manière ponctuelle, comme c’est trop souvent le cas.
Autre point désormais tout aussi important : étudier précisément les offres des fournisseurs de services Cloud afin de s’assurer que le chiffrement fait partie intégrante de leur service, ainsi qu’une politique et un outillage ad’hoc pour la gestion des clés….
En règle générale, lorsqu’il s’agit d’infrastructure IaaS, la responsabilité du client est davantage engagée que celle du fournisseur en termes de sécurité, mais tout dépendra là aussi du prestataire et du type de données stockées dans le Cloud.
En matière de BYOD – Mobilité, les équipes informatiques doivent collaborer en amont avec le management de l’entreprise pour définir une stratégie adaptée (qui régisse les accès au Wi-Fi, au LAN, l’utilisation de l’e-mail, l’accès aux applications, la mise en place de codes pin de verrouillage et de dispositifs de nettoyage à distance des équipements) avec le chiffrement partiel ou intégral du dispositif, si nécessaire.
Ce chiffrement peut se révéler problématique lorsque celui-ci est étendu aux équipements personnels des collaborateurs.
Des questions nouvelles peuvent alors survenir comme savoir qui prend finalement en charge le coût de l’équipement ou le support technique et comment assurer la cohabitation des données professionnelles et privées.
Quoi qu’il en soit, il reste donc essentiel de définir en amont des règles adéquates, de mener régulièrement des audits pour s’assurer du maintien en conformité à cette politique, et évaluer sa nécessaire évolution face aux avancées technologique.
Cela vous permettra de sécuriser les ressources les plus importantes de votre entreprise, à savoir les données, et de vous épargner de nombreuses incompréhensions avec les utilisateurs… Dans un monde idéal, sans PRISM …
Tribune soumise par Loïc Guézo, Information Security Evangelist, Director – Southern Europe Trend Micro