Le chiffrement des données est aujourd’hui un élément essentiel pour les entreprises  afin de protéger ses données et se prémunir contre les fuites et vol de données . Le chiffrement reste toutefois un terme obscur pour les non-initiés et il parait  nécessaire d’arriver à le démocratiser  tout en expliquant en quoi il permet de protéger les entreprises .

Retrouvez dans la suite de cet article les bonnes pratiques pour mettre en place sereinement le chiffrement dans votre organisation .

Faut-il tout chiffrer ?

Commençons par le début. La première question à se poser est : qu’est-ce que l’on chiffre ? plus précisément quelles informations voulez-vous chiffrer ? Toutes les données utilisées par vos collaborateurs et vous doivent-elles nécessairement être chiffrées ?

Bien sûr ,vous pouvez décider de chiffrer toutes vos données , de partout . Cependant cela peut rendre la mise en place et la gestion du chiffrement au sein de votre entreprise difficile.

Le deuxième problème à vouloir tout chiffrer se trouvera du côté des utilisateurs. Si les outils de chiffrement mis en place deviennent trop compliqués et trop contraignant à utiliser, le risque qu’ils s’en détournent et commencent à utiliser d’autres outils dont la sécurité est moindre devient de plus en plus élevé .

La sécurité de votre entreprise sera alors mise à rude épreuve et tous vos efforts pour sécuriser vos données tomberont à l’eau . La vertu est un pic comme dit André Comte-Sponville, pas assez de sécurité, est dangereux pour l’entreprise, trop de sécurité peut rendre la vie des utilisateurs complexe, ce qui les conduit à rejeter les pratiques qui reposent d’abord sur eux. Il faut donc trouver un équilibre entre ergonomie et sécurité.

  Notre conseil : chiffrons bien, chiffrons ciblé !

Vous l’aurez compris, avant de mettre en place un outil de chiffrement au sein de votre organisation, il vous faudra donc  déterminer quelles informations doivent être chiffrées.

Pour ce faire, il est nécessaire de distinguer les données à caractère personnelle dites sensibles, pour lesquelles la réglementation impose une protection avec le plus haut niveau de sécurité, des données propres à votre organisation qui peuvent être confidentielles.

Concernant les données à caractères  personnelles et sensibles, la CNIL définissait de manière claire et précise les données personnelles sensibles au sens de la loi Informatique et Libertés. Cette classification peut être utilement reprise vis à vis du Réglement Général de Protection des Données (RGPD). Nous vous invitons à consulter le site la CNIL afin d’obtenir plus d’informations sur celles-ci.

Ce tableau de  la CNIL ,dans une de ses publication en 2015 , peut déjà vous aiguiller sur les données à protéger:

Source: CNIL – PIA l’outillage: étude d’impact sur la vie privée, modèles et base de connaissances, juin 2015 – pdf

Concernant les données produites et traitées par votre entreprise , leur caractère confidentiel doit être déterminé. Chaque secteur d’activité et chaque organisation étant différente , il n’existe pas de règle préétablie afin de déterminer le caractère sensible d’une donnée.

En fonction de votre activité cela peut être : des données RH, des données relatives à votre recherche et développement ,des données stratégiques , des données d’ordre financier ….

Une technique serait d’identifier quelles données a de valeur ? En d’autres termes, quelles données un hacker vous volerait-il dans le but de les revendre?

Notre conseil: catégoriser vos données d’une part par rapport à leur sensibilité et d’autre part par rapport à leur valeur . Identifiez bien les données dites sensibles conformément à la réglementation que vous traitées.

Le chiffrement pour protéger de la menace interne

Il est important de noter que la menace ne vient pas forcément de l’extérieur , elle peut venir aussi de l’intérieur que ce soit des employés de l’organisation ,qui ont accès à des informations auxquelles ils ne devraient pas ,ou des prestataires externes,  lorsque vous sous-traiter notamment l’administration de votre système d’informations.

Des utilisateurs peuvent avoir accès à des informations confidentielles et donc les divulguer de manière non intentionnelle, au détour d’une simple discussion anodine par exemple.

L’administrateur système peut lui aussi être considéré comme une menace interne . En effet, de part son poste il a généralement accès à toutes les données de l’entreprise. Une divulgation peut là aussi avoir lieu de manière toujours non intentionnelle . A fortiori, le risque est d’autant plus important lorsque vous passer par un prestataire pour gérer  toute la partie SI de votre organisation.

Recourir au chiffrement, et en particulier au chiffrement de bout en bout, prend dés lors tout son sens dans une stratégie de protection contre les cyber risques.

Le chiffrement apparaît donc comme un outil indispensable afin de gérer les accès aux données et ainsi éviter la fuite de données et garantir la sécurité de celles-ci

Notre conseil : utiliser le chiffrement de bout en bout afin de protéger au maximum vos données des menaces internes et externes

Le chiffrement est-il incompatible avec le télétravail ?

Avec le recours au télétravail massif, la sécurité des données des entreprises à été mise à rude épreuve .Que ce soit avec les employés se connectant depuis chez eux aux serveurs de l’entreprise  via leur poste de travail ; tout comme ceux qui ont utilisé leur ordinateur personnel pour télétravailler.- En témoigne l’explosion des cybers attaques  pendant la crise sanitaire liée au COVID-19.

Protéger les données des organisations est donc d’autant plus nécessaire avec ce télétravail massif. La mise en place du télétravail dans une majorité d’entreprise a obligé celles -ci à s’atteler à la sécurité des  données échangées et donc  à trouver une solution. Et le chiffrement est un des moyens d’y arriver.

A cet effet, Il n’est pas nécessaire de rendre le chiffrement  complexe . De nombreux outils payants, gratuits ou libres existent. Dans les outils libres, Veracrypt et gnugpg sont particulièrement intéressants et simples à utiliser et mettre en oeuvre.

Notre conseil : dans le cadre du télétravail, vous pouvez commencer par mettre en place des  mesures de chiffrement simple  afin de protéger les données d’éventuelles cyber attaques

Trouver une solution de chiffrement facile à utiliser et facile à gérer

Si le recours au chiffrement est un bon moyen de se protéger pour une organisation, il n’en est pas moins un moyen qui peut parfois être difficile à mettre en œuvre et gérer pour votre service informatique, mais aussi compliqué à utiliser pour les utilisateurs.

Pour l’utilisateur ,l’outil doit être simple voir même automatique, dans le cas contraire il risque de s’en détourner; voire même d’utiliser des outils qui ne seront pas d’un niveau de sécurité suffisant.

Du côté de l’administrateur, le recours au chiffrement lui permettra de lui enlever  la pression liée  par exemple au SPOF dont il peut être victime ; tout cela en lui permettant de continuer à effectuer son travail dans de bonnes conditions.

Il est donc important de trouver un juste milieu entre la sécurité informatique et les utilisateurs qui ne souhaitent pas avoir trop de contraintes ou qui ne sont pas toujours très à l’aise avec l’informatique.

Par ailleurs, l’aspect web du chiffrement est un facteur à prendre en compte. Aujourd’hui, et cela est d’autant plus vrai avec la crise actuelle, l’entreprise est de plus en plus ouverte vers l’extérieur. Il faut donc pouvoir échanger des données vers l’extérieur tout en respectant les contraintes de sécurité de l’organisation et en offrant un outil facile à prendre en main et rapide.

L’utilisation de cryptographie web associée au chiffrement de bout en bout comme proposé dans l’offre CryptnDrive peut d’ailleurs tout à fait répondre à ce besoin.

 Notre conseil :  en choisissant votre solution de chiffrement prêtez autant attention à la facilité de gestion de l’outil qu’à la facilité d’utilisation

Distinguer la protection des données au repos de la protection des échanges

Lorsque vous déciderez de mettre en place une stratégie de chiffrement au sein de votre organisation, il sera alors important de bien identifier deux problématiques :

  • Une problématique liée à la protection des données sur les postes et les serveurs
  • Une problématique liée à la protection des informations échangées

Pour les données stockées sur les serveurs, vous n’utiliserez pas le même outil de chiffrement que pour celles qui sont partagées dans et hors de l’organisation.

Dans le cas de la protection des échanges une solution telle que CryptnDrive pourra parfaitement convenir.

Il vous faudra  vous assurer que la solution choisie intègre :

  • Le chiffrement de bout en bout
  • La facilité d’utilisation pour vos collaborateurs
  • La facilité de gestion de clés pour vos administrateurs
  • Les dernières technologies en matière de sécurité comme la cryptographie à seuil par exemple

Notre conseil: après avoir identifié les données à chiffrer , distinguez celles qui sont en local ou sur les serveurs de celles qui sont échangées et partagées en interne et externe.

 

Le récap utile et pratique: