Vanessa de Chambrun directrice commercial de Prim’X

Que doit-on chiffrer ?

Le chiffrement permet de protéger les données et gérer la confidentialité.

Pour Vanessa de Chambrun de Prim’X, il faut chiffrer toute donnée « à valeur » pour l’entreprise. On pense d’abord aux données techniques, RH, financière etc.. Cependant c’est le cyber-attaquant qui va donner de la valeur aux données. En effet, c’est lui qui va utiliser une information qu’il aura piratée. Il vaut mieux élargir la notion de donnée sensible à toute donnée entre les mains des utilisateurs qui va en décider l’usage : où la stocker, avec qui l’échanger, etc. Ce n’est donc pas la peine de trop segmenter le type de données à chiffrer mais chiffrer globalement les données.

Arnaud Laperote PDG de Lybero.net

Arnaud Laperote de Lybero.net considère qu’il faut être vigilant à protéger les données personnelles sensibles telles que définies par la réglementation (numéro de sécurité sociale, données biométriques, données bancaires) et par le RGPD, article 9 : données relatives l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques, des données biométriques, des données sur la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne physique) pour autant que leur traitement soit autorisé selon les exceptions définies par la CNIL. Il faut aussi protéger les mots de passe. C’est simple et il existe des solutions commerciales peu chères (en libre, commerciales, et serveurs de protection de mot de passe.

Selon ce RSSI, il convient de trouver le bon compromis entre trop de chiffrement et trop de permissivité. Il faut que la sécurisation soit la plus transparente et la plus aisée possible pour l’utilisateur pour obtenir son acceptation. Cependant il y a des chiffrements sur lesquels il ne faut pas transiger : ce sont les données sur les postes mobiles, les tablettes, les clés USB etc. Il faut également chiffrer les échanges de mail avec le bon compromis. Un indicateur du chiffrement des données échangées à 20% est déjà satisfaisant pour le RSSI.

Chiffrement et télé-travail ?

Avec la crise du Covid 19, le télétravail massif s’est imposé à tous en quelques jours et a bouleversé les usages. Comment cela a impacté la perception du chiffrement ?

Pour Vanessa de Chambrun, les postes sont placés en extérieur et sont connectés au réseau d’entreprise. Certains utilisateurs ont même utilisé des postes personnels pour générer et consommer des données de l’entreprise. Les entreprises ont mis à disposition très rapidement des clouds et drive pour l’hébergement et le partage des données avec éventuellement une augmentation des risques. La sécurisation des réseaux est donc devenue essentielle pour le télétravail.

Selon Arnaud Laperote, il faut également penser à la sécurisation des postes physiques placés en extérieur de l’entreprise qui peuvent être dérobés donc le chiffrement des données stockées sur ces supports est essentiel.
La visio-conférence est devenue la règle pour toutes les réunions. C’est un outil crucial. Les offres SaS (type Zoom, Teams, etc ) sont majoritairement utilisées. On constate un déficit d’offre pour des solutions de visio-conférence hébergées par les entreprises. Elles existent mais ne sont pas fonctionnellement au niveau des offres SaS. Les données échangées lors de visio-conférence n’ont pas forcément un caractère extrême de confidentialité. En général les flux de données vidéo sont chiffrés. Ce qui doit être renforcé sur certains outils ce sont les autorisations d’accès à ces visio-conférences. Il existe par ailleurs des solutions audio ou de chat française très fortement protégées pour des échanges confidentiels.

Pour les RSSI, durant le télétravail, Il faut réintroduire et renforcer les règles de maitrise des données échangées entre les utilisateurs pour éviter les fuites. Le bon niveau de sécurité en fonction de la sensibilité des données doit être utilisé par le marquage (flag) de l’information et le chiffrement associé pour laisser l’accès à ces informations uniquement aux personnes autorisées. Par ailleurs, le tôle du RSSI a été renforcé durant la période de confinement car les cyber-risques sont plus élevés. Le RSSI a vu son indépendance voire son contre-pouvoir renforcé par rapport au DSI.

Et maintenant quelles sont les recommandations ?

Vanessa de Chambrun considère que le rôle et les autorisations de l’administrateur système doivent être analysés avec attention, surtout lorsque les administrateurs sont des prestataires externes. L’administrateur ne doit pas normalement avoir accès aux informations sensibles et le chiffrement est aussi un moyen de dédouaner l’administrateur.

Arnaud Laperote estime que le chiffrement de bout en bout permet à l’administrateur de gérer le SI sans avoir accès aux données.
Il faut également faire attention à la sécurité des données partagées avec l’extérieur : pour les données entrantes comme pour les données sortantes.

Enfin selon notre RSSI, en plus du chiffrement, il faut monitorer le système d’information pour identifier les attaques, les utilisations anormales, et les dysfonctionnements. Il est donc nécessaire d’avoir des capacités internes au niveau du SOC et du CERT avec un degré de confiance élevé. En cas de détection de problèmes, il est important d’agir de façon forte et rapide. Ainsi, l’analyse des Log est essentielle. On peut regretter que sur les SaS, il soit compliqué d’obtenir les Log de la part des éditeurs. La labellisation de ces outils par un organisme européen permettrait de rassurer les utilisateurs.