Dans cet article nous aborderons quelques bonnes pratiques à adopter lorsque vous souhaitez chiffrez vos données afin d’éviter toutes compromissions de celles-ci. Mais avant cela nous ferons un bref rappel de ce qu’est le chiffrement d’informations et pourquoi il peut-être utile de les chiffrer.
Il faut savoir que même une fois chiffrées, vos données ne sont pas totalement à l’abri des personnes mal-intentionnées si vous ne respectez pas quelques règles d’or afin d’assurer une confidentialité pérenne de vos informations.

QU’EST-CE QUE LE CHIFFREMENT ?

Le chiffrement consiste à transformer un message en clair en un message codé qui ne pourra être compréhensible (comprendre déchiffrer) uniquement par une population de personnes à laquelle on souhaite transmettre ces informations. Pour cela les personnes cibles devront disposer de la clé de déchiffrement associée au message chiffré.

Voici un schéma retraçant ce mécanisme :

Prenons par exemple deux personnes : Alice et Bob. Bob souhaite envoyer des données de manière confidentielle et sécurisée à Alice.

schema_chiffrement

Comme vous l’aurez compris, le message échangé semble totalement sécurisé, or ce système peut comporter quelques faiblesses que nous détaillerons plus loin.

NB : Cette définition du chiffrement ne s’applique qu’à notre cas d’étude, il existe bien entendu d’autres manières de chiffrer ses informations.

POURQUOI CHIFFRER SES DONNÉES ?

Selon une étude réalisée par Kaspersky Lab (1), 29% des entreprises ont affirmé avoir déjà subi une perte ou un vol d’appareil mobile. Les données présentes sur ces appareils tombent alors entre les mains du voleur… à moins que celles-ci n’aient été chiffrées au préalable afin de ne pouvoir être consultables que par la (les) personne(s) détenant la clé de déchiffrement.
De plus on constate une augmentation des fuites d’informations sensibles lors de l’échange de mails ou même lors du stockage de données dans le Cloud.
Toutes ces pertes peuvent être dramatiques pour une entreprise, c’est pourquoi il est important de parer à toute éventualité en suivant ces quelques règles de bonnes conduites lorsque vous souhaitez sécuriser vos données.

LES RÈGLES A SUIVRE POUR BIEN PROTÉGER SES DONNÉES:

    • Utiliser un chiffrement fort.
      Il est important de choisir l’algorithme de chiffrement le plus robuste possible. Le chiffrement RSA pour les clés asymétriques (cf notre exemple) et le chiffrement AES pour les clés symétriques sont les plus robustes à l’heure actuelle.
      Il est également possible d’utiliser du cryptage matériel qui apporte un véritable gain, notamment en terme de vitesse de chiffrement.
    • Bien protéger ses clés de chiffrement.
      Le cryptage peut-être aussi fort qu’on le souhaite, mais il ne servira à rien si les clés sont perdues ou divulguées. Pensez donc à bien à protéger vos clés avant de protéger vos données ! Utilisez des outils de génération de clés (les erreurs lors de créations manuelles sont fréquentes), prévoir où elles seront stockées (exemple : un équipement dédié de type HSM) et qui pourra y accéder, etc… Essayez également de renouveler vos clés de chiffrement assez régulièrement (par exemple tous les deux ans) ce qui ne fera que renforcer leurs sécurité.
    • Attention à la suppression de données dans le Cloud.
      Si vous souhaitez supprimer définitivement des données chiffrées dans le Cloud, pensez également à détruire les clés de chiffrements utilisées. Avec le Cloud, on n’est jamais sûr que les documents mis dans la corbeille soient bel et bien effacés .
    • Ne stockez pas vos clés de chiffrement auprès de vos données.
      Cela reviendrait à écrire son code PIN au dos de son téléphone portable… Préférez un stockage distant accessible via une connexion sécurisée. Cependant il peut arriver qu’un utilisateur ait besoin de déchiffrer des données présentes sur son poste sans pour autant avoir un accès internet (dans le train par exemple), dans ce cas il est nécessaire de stocker les clés sur le poste lui-même mais préférerez tout de même un périphérique de stockage externe sécurisé (type lecteur d’empreintes digitales par exemple).
    • Ne communiquez les clés à personne.
      Une des principales faiblesse en terme de sécurité informatique se situe entre le clavier et la chaise.
      Cette règle est également valable pour votre hébergeur.
    • Déchiffrez vos données avant de travailler dessus.
      Même s’il est possible de travailler sur des données chiffrées en fonction du chiffrement choisi, cela reste tout de même déconseillé. Plus il y a de modifications, moins la sécurité est garantie.
  • Se protéger des réseaux publics.
    N’oubliez pas que vos utilisateurs peuvent être amener à naviguer sur des réseaux publics sur lesquels leurs données ainsi que leurs communications sont exposées au grand jour. Il existe des outils permettant de chiffrer ces communications. D’autres outils permettent également de chiffrer tout le contenu du disque dur (dans ce cas préférez des solutions éprouvées et inscrites au catalogue de l’OTAN ou certifiées « critères communs« ).
  • Définir une politique unifiée au sein du SI
    Il est important que chaque utilisateur puisse s’y retrouver lorsqu’il s’agit de la sécurité du SI. Une politique définie par le RSSI permettra aux utilisateurs de suivre les bests practices mises en place et garantira un niveau minimum en terme de défaillance humaine.

SYNETIS a tissé des partenariats avec de nombreux éditeurs spécialisés dans le domaine de la sécurité (voir nos partenaires), notamment en ce qui concerne le chiffrement de postes centralisés ou non via des solutions du marché, dont notament :

  • Prim’X ZoneCentral : chiffrement au niveau de partage réseau, d’équipement amovible, de coffre-fort.
  • Prim’X CryHod : chiffrement bas-niveau avec authentification pré-boot du poste de travail au complet.
  • Symantec Encryption Suite : serveur de clé et chiffrement centralisé d’un parc de poste de travail, chiffrement des mails, politiques de chiffrement.

Nos experts en sécurité interviennent régulièrement lors de missions d’audit de chiffrement de parc informatique, par exemple, chez nos clients, quelle qu’en soit la taille, ainsi que pour déployer des solutions sur les pôles sensibles de ces entreprises (RH, Finance, DG…).

Il est, selon nous, indispensable à l’heure actuelle, où le Cloud monte en puissance, de garder un contrôle sur les données et ce de manière sécurisée, pérenne et confidentielle.

Source :

(1) Article Kaspersky Lab (pdf)

Damien