Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Stephen Midgley, Absolute Software : état des lieux du cryptage des données en Europe

juin 2010 par Stephen Midgley, Vice Président d’Absolute Software

La nature instable et mobile des données met souvent sous pression les
départements IT notamment lorsqu’il est question de les sécuriser. Il n’y a pas si longtemps, les données étaient simplement sécurisées par un dispositif de
sécurité physique déployé dans les locaux abritant ces informations (verrous,
cadenas, etc). Mais désormais, avec l’utilisation croissante d’ordinateurs
portables et autres technologies mobiles, la mise en place d’une simple sécurité
physique des locaux et du matériel n’est plus suffisante pour garantir une
protection efficace des données.

L’effet papillon

En matière de sécurité, les départements informatiques doivent faire face à un
véritable « effet papillon ». Ils sont en effet fortement touchés par les réductions
budgétaires et doivent par conséquent constamment faire plus avec moins !
Parallèlement, plusieurs gouvernements cherchent à réguler la sécurité des
données. Cette année, le Ministère de la justice anglais a autorisé l’Information
Commissioner’s Office (ICO), l’organisme public anglais chargé de garantir
l’accès à l’information et la protection des données personnelles, à faire payer
aux entreprises des amendes maximales de £500,000 pour toute grave violation
aux principes de protection des données.

De même, le Conseil Européen a approuvé une disposition visant à renforcer la
protection des données. Un amendement à la directive européenne forcera les
opérateurs et FAI à avertir leurs clients en cas de violation à la sécurité de leurs
données. Le nombre croissant d’obligations légales va contraindre les
entreprises à mettre en place des process précis pour assurer l’intégrité des
données. En cas de non respect, les entreprises s’exposent alors à
d’importantes répercussions financières et à de graves conséquences pour leur
image si une violation des données venait à se produire. En effet, selon le
Ponemon Institute, le coût moyen d’une violation de données s’élèverait à £1,7
millions en Grande Bretagne, et à 1,9 millions d’euros en France [1].

Outre les réductions budgétaires et la pression législative, le grand public se sent
de plus en plus concerné par la protection de ses données personnelles, d’autant
plus que les défaillances informatiques restent courantes.

De plus, du simple voyage au télétravail, la mobilité connaît un essor très
important. D’après le Ponemon Institute, plus de 3500 ordinateurs portables
disparaissent chaque semaine dans les aéroports européens. Ce qui représente
un ordinateur toutes les trois minutes. La mobilité crée donc à la fois des
opportunités en matière de business, mais multiplie aussi les supports
professionnels à l’extérieur du traditionnel lieu de travail. Cela conduit à la
création d’un nouveau périmètre d’information et par la même occasion, à
l’exposition à de nouveaux risques.

Les limites du cryptage

Cette combinaison de circonstances appelée « L’Effet papillon » doit alors
conduire les départements informatiques à se poser la question suivante :
Comment sécuriser des données que l’on ne peut pas surveiller ?

Pendant longtemps le cryptage des données était la solution standard pour les
sécuriser. Bien qu’il soit nécessaire dans toute politique de sécurité informatique,
le cryptage seul n’est pas suffisant. Il ne permet pas aux départements IT de
traquer les données et ne donne aucun détail sur le type d’informations
enregistrées sur l’ordinateur volé ou perdu.

Les conclusions du rapport du Ponemon Institute attestent également que le
cryptage de données n’est pas suffisant pour assurer la sécurité d’une
organisation [2]. De plus, il n’y a aucune garantie concernant l’utilisation du
cryptage de données au sein du lieu de travail. Un sondage mené auprès de
managers français a révélé que 50 % d’entre eux ont désactivé leur solution de
cryptage sur leurs supports hardware.

Le Ponemon Institute a aussi révélé une différence marquante entre les
managers et les informaticiens en matière de sécurité – et cela dans plusieurs
domaines. Le rapport met notamment en évidence qu’un important pourcentage
de managers questionnés négligent des étapes clés garantissant la sécurité
telles que : le choix d’un mot de passe complexe, l’usage d’une protection
physique en cas de mobilité, ou le verrouillage de leur ordinateur au bureau afin
de protéger des informations confidentielles. De même, les résultats montrent
que 36% des managers français vont jusqu’à écrire leur mot de passe pour s’en
souvenir. Enfin, beaucoup pensent que les solutions de cryptage seules suffisent
et rendent inutile toute autre mesure de sécurité.

De leur côté, leurs collègues informaticiens s’appliquent à suivre des démarches
de précaution afin de protéger les informations sensibles et confidentielles sur
leurs ordinateurs. D’ailleurs aucun d’entre eux n’a avoué noter sur un papier des
informations importantes de sécurité. Ces personnes voient le cryptage des
données comme un outil de sécurisation important, tout en pensant qu’il est
indispensable de suivre certaines procédures pour s’assurer de la protection des
données en cas de vol ou de perte d’un ordinateur portable.

Le rapport met également en lumière de grandes différences culturelles entre
pays à propos de la mise en place du cryptage de données. Aux Etats-Unis près
de 60% des managers auraient désactivé leur solution de cryptage. La France et
le Canada ont eux aussi d’un pourcentage élevé, avec respectivement 50% et
52% de désactivation. En Allemagne, seuls 15% des managers auraient
désactivé leur solution de cryptage, alors qu’en Suisse 13% seulement ont avoué
l’avoir désactivée.

Une approche structurée

En résumé, même si une entreprise dispose d’une technologie de cryptage, elle
ne peut être sure que les employés s’en servent convenablement. Il existe
toujours un grand fossé entre la compréhension de la sécurité des réseaux IT et
celle du reste de l’organisation. Malgré de nombreux cas de pertes et vols de
données critiques, il semble que les managers ont encore du mal à comprendre
pourquoi ils doivent prendre leurs responsabilités en matière de sécurité.

Si le « facteur humain » est une composante difficilement maîtrisable, pour les
équipes IT, le succès repose avant tout sur une approche structurée de la
sécurité. Cette démarche doit ainsi leur permettre de surveiller les données à
l’intérieur et en dehors de la zone de travail et de fournir les alternatives capables
de garantir un accès aux données en cas de disparitions d’ordinateurs. C’est
donc seulement en adoptant cette approche que les informaticiens pourront être
capable au pire d’effacer les données à distance stockées sur l’ordinateur volé,
et au mieux de récupérer le matériel et de retrouver intact le contenu qui s’y
trouve.


1 “Cost of a Data Breach Report”, Ponemon Institute, Janvier 2009

2 “The Human Factor in Laptop Encryption”, Ponemon Institute and Absolute
Software, Mars 2010 – www.absolute.com/human?factor


Voir les articles précédents

    

Voir les articles suivants