Méthode efficace pour assurer la protection des données, le chiffrement peine pourtant à s’enraciner au sein des entreprises et des organisations. Chiffrement, mais pourquoi tant de peine ? Focus sur une problématique majeure de la sécurité informatique.
En France, moins d’une entreprise sur deux applique systématiquement des mesures de chiffrement dans le cadre de sa stratégie de protection des données sensibles. Un chiffre exact de 46%, issu d'une étude d'Entrust, qui peut sembler satisfaisant, mais qui doit en fait alerter. En effet, cela revient à dire qu'une entreprise sur deux n'applique pas de stratégie de chiffrement de données de manière systématique...
Faut-il encore rappeler aujourd’hui que le chiffrement est un des piliers de toute politique de sécurité informatique ? C’est un moyen simple et efficace pour assurer la protection des données, en garantissant que celles-ci ne seront pas consultées ou volées par des tiers malveillants. Et pourtant, la systématisation de ces méthodes fait encore défaut à de nombreuses entreprises. Explications.
Le chiffrement des données à l’aube de 2023
Pour commencer, qu’est-ce que c’est le chiffrement ? Le chiffrement est une technique qui, pour protéger les données, les rend illisibles. Seules les personnes autorisées pourront alors récupérer les clés d’accès pour déchiffrer et prendre connaissance du contenu. Le chiffrement peut être de surface (au niveau des disques d'un terminal par exemple) ou unitaire (au niveau d’un fichier). En la matière, il existe un certain nombre de bonnes pratiques à mettre en place, comme le souligne Guillaume Boisseau, Responsable des services professionnels chez Stormshield : « Un bon principe à suivre est de chiffrer toutes ses données sensibles, c’est-à-dire celles qui sont vitales pour l'entreprise et son fonctionnement. Je pense ici aux données sensibles comme les appels d'offres et toutes sortes d’informations sur les clients, les fournisseurs ou les sous-traitants. »
Avec l’avènement de l’informatique et la multiplication des échanges à partir des années 1980, une partie du grand public et des entreprises ont commencé à s’intéresser aux méthodes de chiffrement. Plus récemment, les nouveaux usages mobiles et l’utilisation massive d’outils collaboratifs ont remis sur le devant de la scène la question de la protection des données et les besoins de chiffrement. Mais cet élan a été freiné avec les promesses de chiffrement natif qui ont fleuri dans les applications de messagerie comme Telegram, Signal ou WhatsApp, ou dans les plateformes collaboratives Microsoft 365 et Google Workspace. Si « un ensemble d’acteurs proposent aujourd’hui des solutions natives de chiffrement, précise Joseph Graceffa, Président du CLUSIR Nord de France, il faut bien avoir en tête que cela revient à confier les clés d’accès à ces mêmes acteurs ». Car dans la mise en place d'une protection des données sensibles, les accès à ces informations ont le même niveau de criticité que les données qu’elles protègent. Dès que la gestion des clés d’accès est confiée à un tiers, il est primordial pour une entreprise d’en garder le contrôle. Le contrôle de ces clés d’accès est d’autant plus important quand le tiers de confiance héberge également les données sensibles puisqu’il pourrait, lui aussi, facilement y accéder. La maîtrise des clés de chiffrement assure donc que les serveurs de stockage ne voient jamais les données en clair, ni la clé à utiliser pour les déchiffrer. Des notions simples d’hygiène numérique des entreprises pour assurer sécurité et confidentialité des données sensibles. Mais dans les faits, le chiffrement peine à se mettre en œuvre dans les entreprises – tant sur les plateformes utilisées qu’au niveau des données stockées dans les terminaux et dans les serveurs.
Le difficile déploiement du chiffrement en entreprise
La donnée est aujourd’hui partout et s’échange à l'intérieur comme à l’extérieur de l’entreprise. Selon l’étude de 2021 de l’institut Ponemon pour la société Entrust, seules 50% des entreprises interrogées déclarent avoir mis en place un plan de chiffrement global appliqué à l’ensemble de l’entreprise, 37% déclarent n’appliquer qu’une politique de chiffrement limitée à quelques applications, lorsque 13% déclarent ne pas avoir du tout de politique de chiffrement des données. Les résistances à la généralisation des méthodes de chiffrement des données informatiques sont donc patentes. Mais comment expliquer ces réticences face au chiffrement de données ?
Les raisons de cette faible adoption s'apparentent à des problématiques organisationnelles et opérationnelles plutôt qu’à un choix de technologies. La première difficulté, organisationnelle, tient à la définition d'une politique de gestion des données, pourtant essentielle pour assurer leur protection, respecter la règlementation en vigueur (CNIL, RGPD...), voire capitaliser sur leur analyse. Niveau opérationnel ensuite, il faut avoir les compétences pour piloter ce projet et aller jusqu’à déployer une réelle PKI (Public Key Infrastructure, infrastructure à clés publiques). Cet outil fondamental pour le chiffrement en entreprise est un ensemble de composants physiques, de procédures humaines et de logiciels destinés à gérer les clés des utilisateurs/collaborateurs. Une gestion des clés d'accès qui va de la génération à la distribution et mise à disposition en passant par la gestion de l'obsolescence et le renouvellement. « Ces problématiques de déploiement d’outils de gestion et d’utilisation des clés de chiffrement sont souvent au cœur du problème », souligne Joseph Graceffa. En complément, la classification des données est une problématique à prendre au sérieux pour appréhender les différents niveaux de sensibilité des données. Toujours dans cette partie organisationnelle, la sensibilisation des utilisateurs va enfin de pair avec un processus clair de classification. Car la mise en place d'une protection efficace des données commencera toujours par la personne qui génère la donnée critique. C'est là tout l'enjeu de la sensibilisation : faire naître une prise de conscience par les utilisateurs pour une bonne application du processus de classification. Autant de problématiques internes qui n'incluent même pas le sujet de l'interopérabilité.
Outre ces difficultés pour les équipes informatiques et de sécurité, il est de coutume de dire que le chiffrement des données informatiques est sacrifié sur l’autel de l’habitude et du confort d’usage. Pour éviter cet écueil, les solutions de chiffrement doivent être simples, faciles et transparentes pour les utilisateurs comme les administrateurs. D'un côté, les RSSI doivent réfléchir à des stratégies pour permettre à leurs collaborateurs de concilier leurs usages quotidiens avec un niveau élevé de sécurité, via du chiffrement unitaire au-delà du chiffrement global de surface. Et de l’autre, les éditeurs de logiciels ont un rôle de conseil mais aussi d’accompagnement opérationnel à assurer. « C’est à la solution de se plier au quotidien de l’utilisateur, et non l’inverse », soutient Guillaume Boisseau. Supprimer les zones de friction et optimiser le parcours utilisateur est donc la voie à suivre pour que les équipes intègrent ces nouvelles méthodes dans leur routine d’hygiène numérique. « Les outils doivent être exploitables pour les collaborateurs qui manipulent des données sensibles tous les jours autant que pour l’utilisateur lambda. C’est alors aux équipes chargées de développer et celles chargées de déployer la solution de se poser les bonnes questions », insiste Guillaume Boisseau. L’adage anywhere, anytime doit également s’appliquer et les solutions de chiffrement doivent pouvoir se déployer sur tous les terminaux, du poste de travail à l’ordinateur portable ou la tablette.
La question du chiffrement des données informatiques en entreprise se pose donc de manière particulièrement aiguë dans un contexte de généralisation de la menace cyber. Si les entreprises ont déjà mis en œuvre un certain nombre de méthodes, notamment lorsqu’il est question de propriété intellectuelle, de données de paiement ou de données financières, le chiffrement de l’ensemble des données sensibles en entreprise demeure une problématique de premier plan. D’autant qu’à l’horizon, se présente une menace encore plus pressante : l’avènement de l’informatique quantique. Une fois cette révolution technologique en marche, il ne sera plus question uniquement de chiffrement, mais de chiffrement post-quantique. D’ici là, des efforts sont encore à fournir pour assurer un niveau optimal de sécurité pour toutes et tous.