Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Clusif : le chiffrement, une alternative à la fuite d’informations…

avril 2009 par Emmanuelle Lamandé

La lutte contre le vol ou la perte d’informations sensibles est devenue depuis quelque temps une préoccupation majeure des entreprises et gouvernements. Les cas d’école se multiplient, touchent tous les secteurs et tous les pays. Outre les pertes financières et l’atteinte à la réputation de l’entreprise, c’est la responsabilité pénale du dirigeant qui est en jeu. Le chiffrement est-il une solution adaptée pour contrer ce phénomène ? Quels sont les avantages et les contraintes d’un tel déploiement en entreprise ? Quid des PME ? Le Clusif ouvrait le débat lors de sa dernière conférence.

En préambule, Alain Takahashi, Hermitage Solutions, s’est attaché aux différents moteurs et freins qui accompagnent le déploiement de solutions de chiffrement en entreprises. Avant de rentrer au cœur du sujet, il a souhaité clarifier la notion de PGP qui s’avère parfois ambiguë. PGP, qui signifie « Pretty Good Privacy », est avant tout une norme de cryptographie et un format d’échange, OpenPGP (RFC4880). Depuis 1996, c’est également une société, créée par Phil Zimmermann. En outre, PGP est associé à différents produits logiciels interopérables qui supportent la norme OpenPGP, tels que GnuPG, Utimaco, ... Les approches et offres de chiffrement sont variables selon les pays, puisque les deux éditeurs français, Arkoon et PrimX, ne supportent pas cette norme. L’interopérabilité est donc primordiale entre les différentes solutions de chiffrement.

Principale motivation : éviter la responsabilité pénale du dirigeant

Quels sont les principaux moteurs du marché du chiffrement dans le monde ? La protection des données confidentielles ou nominatives, la prévention de la perte de réputation, et surtout la protection de la responsabilité pénale du dirigeant. Aux Etats-Unis par exemple, la loi oblige la déclaration publique de pertes de données nominatives. En France, ce n’est pas encore le cas. Nous nous dirigeons cependant vers le même type de législation. Il n’y aura donc pas d’exception française très longtemps.

En 2008, le CA des éditeurs de chiffrement, en France, est estimé à 10-15% de celui réalisé en Allemagne ou au Royaume-Uni, eux-mêmes en retard par rapport aux américains. Il souligne, de plus, l’existence d’un biais culturel concernant le type d’informations que chaque pays souhaite chiffrer. Par exemple, en France, nous avons une forte propension à vouloir chiffrer les fiches de paie, tandis qu’aux Etats-Unis, ces informations n’auront pas vraiment de valeur, contrairement à leurs bulletins scolaires.

Selon Alain Takahashi, PGP serait utilisé par 84% des sociétés fortune 100 US, 65% des sociétés du CAC 40 et 50% des sociétés du SBF 250. Néanmoins, certains secteurs de PME sont également précoces dans le chiffrement en France : les preneurs d’ordres et sous-traitants des grands groupes, les banques d’affaires, les sociétés de gestion du patrimoine, les cabinets d’audit et de conseil, les cabinets d’avocat, les départements des RH, ou encore les PME ayant vécu un vol ou une perte de données. Cependant, même quand le chiffrement est déployé au sein d’une entreprise, il n’est pas toujours bien utilisé ou parfois moins utilisé qu’imaginé à l’origine par la direction ou les fournisseurs, … Dans certains cas, c’est le chef d’entreprise qui n’en voit pas l’utilité, dans d’autres, ce sont les utilisateurs qui freinent le déploiement.

Pour conclure, il concède quelques conseils pour un déploiement réussi :
- Bien définir les données que l’on veut protéger,
- Sensibiliser les utilisateurs finaux aux risques de la sécurité informatique (ateliers, conférences, …),
- En ce qui concerne le chiffrement de messagerie, il faut comprendre les tenants et les aboutissants d’un système qui se met en rupture de flux : que veut-on chiffrer ? Comment va-t-on échanger les clefs publiques ?

Les aspects légaux et réglementaires doivent être pris en compte, y compris à l’étranger

Laurent Perruche, Solucom, s’est, plus particulièrement, attaché au chiffrement des équipements nomades. La protection des informations sensibles représente aujourd’hui un enjeu majeur pour les entreprises. Les métiers dépendent de plus en plus de l’information, qui est devenue un actif stratégique. Les risques se multiplient et le nombre de canaux de fuite également. Les équipements portables sont encore plus exposés. Afin de se prémunir contre les fuites d’informations, le chiffrement constitue un moyen de protection avancé. Ce dernier repose sur une donnée protégée : la clef de chiffrement, protégée par un ou plusieurs facteurs d’authentification.

En amont du déploiement d’une solution de chiffrement, quelques points fondamentaux sont à prendre en compte :
- Cadrer ses besoins et ses contraintes : identifier les données à protéger (comment sont-elles manipulées, stockées ? Qui les manipule ?), les menaces (vol, perte, accès non autorisé, …), et les risques (atteinte à l’image, désavantage concurrentiel, extorsion, manquement aux obligations légales, …). De par leur exposition, les équipements nomades doivent souvent être protégés en priorité.
- Tenir compte des aspects légaux et réglementaires. L’anticipation est nécessaire, à ce sujet, de manière à répondre à l’ensemble des contraintes auxquelles l’entreprise est soumise. Si la solution de chiffrement est utilisée à l’étranger, il faut anticiper et se renseigner auprès des différents pays sur leurs aspects légaux autour de l’utilisation du chiffrement. Chaque pays dispose d’un contexte général d’usage de la cryptographie et de réglementations spécifiques. En Chine, par exemple, les solutions de chiffrement doivent être utilisées avec une licence validée par une commission gouvernementale et une licence d’utilisation.

Les solutions sont mûres mais sans l’adhésion des utilisateurs, vous en perdrez les bénéfices

- Choisir les bonnes solutions techniques. Quels sont les besoins à couvrir et quelles solutions sont envisageables (chiffrement intégral, chiffrement unitaire de fichiers et de répertoires ou chiffrement autonome avec mot de passe) ?
- Il faut être conscient de l’impact d’une solution de chiffrement sur l’exploitation et le support.
- L’aspect disponibilité ne doit pas être négligé et pensé en amont. Chiffrement suppose, en effet, recouvrement. Les données doivent être accessibles en cas de dysfonctionnement, …
- Un des enjeux clef d’un tel déploiement est de gagner l’adhésion des utilisateurs. Pour ce faire, il faut sensibiliser les utilisateurs et accompagner les changements : comment la solution fonctionne ? Qu’est-ce que ça change pour eux ? Il faut savoir qu’un outil peu ergonomique sera mal ou non utilisé. Si la solution est mal utilisée, on en perd les bénéfices.

En conclusion, pour Laurent Perruche, les solutions de chiffrement sont mûres et intéressantes pour protéger les informations sensibles, mais les impacts psychologiques, organisationnels et techniques complexifient leur mise en œuvre. Dans ce contexte, la préparation et l’accompagnement s’avèrent essentiels.

Principales sociétés qui proposent des solutions de chiffrement : Arkoon, AxCrypt, Bull, CheckPoint, Ercom, GnuPG, Ironkey, McAfee, Microsoft, MXI Security, PGP, PrimX, Sophos, Thales, Truecrypt …


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants