La banalisation de l´usage des nouvelles technologies en entreprises, les nouvelles formes de travail salarié et les nouvelles formes de services offerts aux entreprises exposent les données à de nouvelles menaces et rendent le périmètre de l´entreprise de plus en plus flou. Sécuriser ses données en toute circonstance et les rendre accessibles uniquement aux personnes accréditées, telles sont les problématiques auxquelles les entreprises sont confrontées.

Le chiffrement a toujours été présenté comme l´arme ultime face au piratage, au vol ou à la perte des données. Pourtant, dans certains cas, les solutions de chiffrement peuvent s´avérer lourdes, contraignantes pour les utilisateurs, voire totalement inefficaces si elles sont mal utilisées.

Prim´X Technologies, éditeur d´une nouvelle génération de solutions de chiffrement, passe en revue les bonnes pratiques fondamentales pour chiffrer « efficacement ». Ce faisant, il met à mal certaines idées reçues et donne des conseils pratiques pour mettre en place une politique de chiffrement et éduquer les utilisateurs.

Chiffrer l´intégralité du disque : Arme ultime ?

La plupart des solutions sur le marché proposent de chiffrer l´intégralité du système des utilisateurs, avec, pour argument principal, une sécurité « maximum ». Si cette solution semble s´avérer efficace contre la perte ou le vol d´ordinateurs éteints comportant des données sensibles, elle est totalement inefficace dans certaines situations. En effet, lorsque l´ordinateur portable est allumé, les données ne sont pas chiffrées. Elles sont alors exposées à tous types d´attaques : hacker, négligences et malveillances volontaires, vol de données, etc.

Pour que les données restent chiffrées en permanence, il est nécessaire de mettre en place un chiffrement au niveau du « file system Windows » et non un chiffrement total du système. Pour ce faire, les responsables sécurité doivent identifier les données sensibles sur les différents supports de l´entreprise (serveurs, postes nomades, postes fixes, supports amovibles type clef USB) et les chiffrer là où elles se trouvent. Cette technique de chiffrement offre un double avantage aux entreprises. Tout d´abord, elle ne nécessite pas de réorganisation des données au sein du système d´information de l´entreprise ; puis, la mise en place d´un chiffrement au niveau du « file system Windows » permet également aux entreprises de séparer l´administration de la sécurité - qui sera gérée par les responsables sécurité - de l´administration du système (mises à jour OS, logicielles, changements de configurations, etc.…) qui sera elle prise en charge soit par l´administrateur système soit par un prestataire extérieur sans risque de pouvoir accéder aux données sensibles.

Donner accès aux bonnes données, aux bonnes personnes : le droit d´en connaître

En abordant le thème du "droit d´en connaître", on touche un point sensible de la sécurité. Les intervenants sont multiples - internes ou externes à l´entreprise - et chacun intervient selon les droits et les devoirs inhérents à ses fonctions. Rappelons simplement que certaines informations chiffrées seront utilisées par une seule personne sur un support unique, alors que d´autres seront accessibles à plusieurs membres d´un même groupe. Il faut donc considérer différemment les données utilisées par un commercial itinérant, et celles destinées à un ou plusieurs services d´un siège social telles que des données financières ou R&D. Aujourd´hui, il existe des solutions de chiffrement qui permettent une gestion fine des droits d´accès autorisant ainsi des personnes aussi bien que des groupes à utiliser les données qui leur sont nécessaires. Ces nouvelles solutions s´adaptent précisément au fonctionnement actuel des utilisateurs.

Sans parler des administrateurs ou autres personnels techniques, force est de constater qu´il est quasiment impossible d´interdire, par exemple, l´utilisation d´un poste de travail mobile pour des usages non professionnels. Et si les droits d´accès ne sont pas sélectifs, si l´intégralité du disque dur est chiffrée, quiconque utilisant l´ordinateur pourra se trouver au contact d´informations confidentielles dès lors qu´il sera allumé. Autre exemple, dans le cas d´utilisateurs multiples d´un même poste ou de partages de dossiers en réseau : il est indispensable, sous peine de se faire dérober des fichiers, de gérer finement les droits d´en connaître et d´assurer la permanence du chiffrement. Si les postes de travail et les portables sont considérés comme des matériels sensibles, objets de toutes les attentions, les serveurs de fichiers, les CD, les disques durs externes ou les clés USB représentent également des espaces à protéger.

Alors, pour que les informations ne soient pas accessibles à tous mais aussi, pour que chacun puisse accéder à celles dont il a besoin, seules les personnes qui possèdent le droit d´en connaître, qu´elles soient utilisateurs uniques ou groupes d´utilisateurs, doivent pouvoir avoir accès aux données confidentielles.

Eduquer les utilisateurs

Même si le chiffrement représente une arme très efficace contre le piratage ou le vol de données, les entreprises ne doivent pas négliger la sensibilisation des utilisateurs aux problématiques de sécurité, car l´homme restera toujours le maillon faible de la chaîne. En effet, selon une étude du cabinet Enterprise Strategy Group, publiée sur le Journal du Net (http://solutions.journaldunet.com/0703/070308-etude-vol-donnees/3.shtml), les négligences et malveillances volontaires représentent la première menace pour les données de l´entreprise. L´étude estime, en outre, que ce taux devrait persister en raison de la croissance du recours à l´externalisation de l´administration informatique.

Il est donc nécessaire d´informer les utilisateurs sur les données sensibles qui se trouvent sur leur poste et les moyens mis en œuvre pour sécuriser ces données. Les solutions mises en place doivent être totalement transparentes pour les utilisateurs, afin de ne pas ralentir ou alourdir leurs tâches quotidiennes. Ils doivent pouvoir accéder aux données sensibles sur leur poste, les modifier et même en ajouter, sans avoir à changer leurs habitudes de travail ou prendre des décisions critiques.

Comment choisir et retenir son mot de passe ?

Le mot de passe est la clef de voûte du système de chiffrement. La solution de chiffrement peut être la plus robuste du marché, si le mot de passe est mal choisi, il peut être piraté en quelques instants.
Un mot de passe s´évalue en analysant sa longueur, sa complexité et sa facilité à être mémorisé par l´utilisateur.
La complexité est basée sur plusieurs facteurs comme le nombre de types de caractères utilisés (lettres, chiffres, caractères accentués, ponctuation, etc...) et la répétition d´un même caractère. La complexité dépend également de la fréquence de changement des types de caractères.
Un mot de passe court mais complexe peut avoir la même force qu´un mot de passe long mais simple.

La difficulté à retenir un mot de passe réside dans la fréquence d´utilisation de ce dit mot de passe. Même s´il est relativement long (10 à 15 caractères) avec des caractères barbares, des lettres et des chiffres, il sera rapidement retenu lorsqu´il est utilisé quotidiennement.

Lors de la mise en place d´un plan de chiffrement, il est donc nécessaire de se poser les bonnes questions afin que ce plan offre une sécurité optimale aux données protégées. Il faut, tout d´abord, identifier les supports et les données à chiffrer et les chiffrer là où elles se trouvent sur le réseau.
Une fois les données et les supports identifiés, il faut définir les personnes ou les groupes qui seront autorisé(e)s à consulter et modifier ces données.

Enfin, il ne faut pas négliger l´aspect humain et éduquer les utilisateurs sur l´importance de la sécurité, tout en leur donnant les trucs et astuces leur permettant d´optimiser le niveau de sécurité, comme par exemple : comment créer et retenir un mot de passe fort.
C´est uniquement après avoir passé toutes ces étapes que le chiffrement se révèlera être une arme ultime contre le piratage ou le vol de données !



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145556
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire