En entreprise, le chiffrement est un projet ardu à mettre en œuvre. En effet, mal déployé, cela peut engendrer une impossibilité d’accès à la donnée, conséquence bien entendu inenvisageable pour le bon maintien des activités. La mise en place du chiffrement est un projet qui se doit d’être réfléchi, et inclus dans une stratégie globale et pérenne de sécurisation de la donnée.

Le chiffrement de son système d’information

Attention aux idées reçues, la politique de chiffrement d’une entreprise ne doit pas dépendre du chiffrement d’une partie unique du SI. L’entreprise doit se focaliser sur le chiffrement de la donnée où qu’elle se trouve. Effectivement, il est fondamental de couvrir toutes les phases de vie de la donnée – notamment le chiffrement des données non persistantes (data in use), le chiffrement des flux de données via l’utilisation de protocoles sécurisés ou tunnels VPN, le chiffrement des mails (data in motion), le chiffrement de la donnée stockée dans les sauvegardes et les diverses archives, ainsi que  le chiffrement des serveurs de partage de fichiers (data at rest).

Cependant, deux stratégies divergentes peuvent orienter la politique de chiffrement d’une entreprise.
La première repose sur la classification de la donnée, comme cela peut être le cas pour les opérateurs d’importance vitale (OIV) par exemple. Dans ce contexte-ci, on se focalisera sur le chiffrement de la partie du SI qui est classifiée (DR, CD ou SD).
La seconde, notamment valable dans les grandes entreprises, se focalise plutôt sur les points de fuite potentiels de la donnée et aura pour objectif de chiffrer ces segments-là. Toutefois, il est également possible de mettre en place une politique mêlant ces deux pratiques.

Les critères de sélection d’une solution de chiffrement

Dans le choix d’une solution de chiffrement, plusieurs critères sont prépondérants. La robustesse des algorithmes utilisés, l’adhérence de la solution avec le système d’information en place, la compatibilité avec les différents cas d’usage de l’environnement IT (Windows ou Linux, on-premise ou Cloud) et l’expérience utilisateur sont des éléments à prendre en compte.

Assurément, il est plus efficient pour une entreprise d’opter pour une solution couvrant l’intégralité des cas d’usages souhaités – plutôt que de multiplier les solutions de chiffrement. Mais la compatibilité de la solution avec le niveau de sensibilité de la donnée est également à prendre en compte. D’ailleurs, dans certains cas, la certification ou qualification par des organismes – tels que l’ANSSI – sont nécessaires.

En outre, la solution doit permettre à l’entreprise de recouvrir toute donnée chiffrée en cas d’incident – ou pour des raisons légales. La facilité d’implémentation ou encore la partie « designée » pour les utilisateurs peuvent également être des aspects importants, afin que la solution soit acceptée par toutes les populations de l’entreprise. Pour finir, la facilité d’administration de la solution doit être interrogée. En effet, il sera plus simple de maintenir en parfaite condition opérationnelle une solution dont la gestion et le maintien sont aisés pour les administrateurs du SI.

Les étapes à respecter en amont et tout au long du déploiement

Tout d’abord, tout projet de sécurité doit commencer par une véritable phase de réflexion et de conception. Avant de se demander quelle solution utiliser, il est primordial de définir les cas d’usages souhaités, les critères auxquels va devoir répondre la solution, etc. Cette étape semble évidente, pourtant, elle est parfois négligée ! Il est plus qu’important de bien penser à concevoir une architecture, recenser les données à protéger ou encore prévoir l’accroissement du périmètre. Il est également nécessaire de faire attention à la compatibilité de la solution avec les applications métiers, qui fonctionnent parfois sur d’anciens serveurs.

A la suite de cela, l’entreprise peut commencer à réfléchir à la solution la plus adéquate pour répondre à ses besoins, puis l’intégrer, en passant par un Proof of Concept ou une phase pilote. Une phase de recette sera également indispensable avant de lancer le déploiement généralisé de la solution. Lors de cette phase pilote, l’entreprise doit vérifier que la solution répond bien aux attentes sur le périmètre ciblé. Les équipes de déploiement doivent également avoir un regard sur la gestion de la sauvegarde, la gestion des clefs et le recouvrement de la donnée. Des tests de recouvrement seront réalisés lors de la phase de recette, afin de s’assurer de son bon fonctionnement.

Une fois la recette terminée, la mise en production peut commencer. Néanmoins, le travail n’est pas fini pour autant ! En effet, l’entreprise devra assurer son maintien en condition opérationnelle pendant toute la durée de l’utilisation de la solution. Cela passe par la gestion des potentiels incidents, mais également par la mise à jour de la solution ou le renouvellement des clefs de chiffrement de manière périodique. Enfin, il est essentiel de prévoir une phase d’accompagnement à la conduite du changement, que ce soit au niveau des processus, mais également auprès des utilisateurs. Ces derniers sont souvent les plus impactés par la mise en place des solutions de chiffrement, et des sessions de sensibilisation et de formations peuvent être nécessaires pour les aider à prendre en main de nouvelles – et bonnes – habitudes.

Les acteurs de cette démarche

Lors de l’implémentation d’une solution de chiffrement, il est bien entendu important que l’équipe responsable de la sécurité du SI prenne part au projet – ne serait-ce que pour le choix de la solution ou des recommandations de sécurité. Mais en général, les équipes techniques en charge du SI doivent aussi être consultées. En effet, elles sont souvent de très précieux sachants sur les applications utilisées et leur avis peut se montrer important lors du choix d’une solution, notamment concernant son adhérence avec le SI.

Les équipes métiers ont, elles aussi, un rôle à jouer, car elles sont garantes du savoir relatif aux données utilisées et font également le pont avec les utilisateurs. Tout comme la direction, elles auront un rôle important dans l’adhésion des utilisateurs à la solution de chiffrement. Autant de points qui font de l’implémentation d’une solution de chiffrement, un projet à part entière de la sécurité de son SI.
___________________

par Brian Nicolas-Nelson, consultant sécurité opérationnelle chez Synetis


 

 

À lire également :

> Comprendre les principes de la cryptologie et du chiffrement

> Cyber-résilience 2022 : où en sommes-nous ?

> Les 4 grandes priorités des responsables infrastructures et sécurité réseaux en 2022

> Quel avenir pour la cybersécurité en 2022 ?