Vie Privée

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé.
Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée.

Gestion de vos cookies

Notre site Web utilise des cookies. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies » .

Cookies nécessaires

Ceux-ci sont indispensables à la navigation de l’utilisateur et permettent de donner accès à certaines fonctionnalités comme les accès aux zones sécurisées. Sans ces cookies, il ne sera pas possible de fournir le service.
Matomo en auto-hébergement

Cookies marketing

Ces cookies sont utilisés pour vous proposer des publicités plus pertinentes, limiter le nombre de fois que vous voyez une publicité ; aider à mesurer l’efficacité de la campagne publicitaire ; et comprendre le comportement des individus après avoir vu une publicité.
Vie Privée Adobe | Vie Privée Marketo | Vie Privée MRP | Vie Privée AccountInsight | Vie Privée Triblio

Cookies de réseaux sociaux

Ces cookies sont utilisés pour mesurer l’efficacité des campagnes sur les réseaux sociaux.
Vie Privée de LinkedIn

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée

Passer au contenu principal

Le chiffrement, une brique nécessaire dans l’édifice RGPD


Publié le: 24 avril 2018 par Noémie Vasche

Longtemps, le chiffrement est resté une technologie de niche, réservée à des données très confidentielles et à quelques secteurs sensibles, accoutumés à de telles précautions. Mais avec la généralisation du cloud, elle suscite un intérêt grandissant, que le RGPD vient encore renforcer. Le chiffrement, en effet, n’exonère pas l’entreprise de ses responsabilités mais la soulage considérablement en cas de violation des données personnelles, au point que certains ont pu y voir un remède miracle.

Disons le clairement : la cryptographie n’est pas la panacée. Elle n’est que l’un des éléments du dispositif de sécurité qu’il faut toujours envisager dans sa globalité. Par exemple, le chiffrement est étroitement lié à la gestion des identités et des accès, puisque chiffrer des données n’a aucun sens si tout le monde peut facilement se procurer la clé. Comme toujours en matière de sécurité, on débute donc par une cartographie des données sensibles et une analyse des risques associés de manière à déterminer les solutions les plus appropriées. Puis, là où le chiffrement apparaît pertinent, on évalue avant toute chose l’impact de sa mise en œuvre. Cette approche permet en particulier d’éviter l’erreur fréquente qui consiste à vouloir tout chiffrer. Sans même parler des coûts, le chiffrement pèse de manière sensible sur les performances. En abuser, c’est risquer de voir les utilisateurs excédés finir par le contourner et le rendre, de fait, inutile.

Centraliser pour gérer la diversité

L’une des spécificités du chiffrement dans le cadre du RGPD est qu’il concerne des types de données et d’environnements beaucoup plus variés que dans les contextes sécuritaires où il est traditionnellement employé. On aura éventuellement à chiffrer des données structurées et non structurées, des environnements virtualisés et d’archivage, des applications dans le cloud… Une autre particularité est que l’on ne chiffrera pas seulement des données dynamiques, pour les protéger lors de leurs transferts, mais aussi des données statiques, « at rest », en particulier dans les bases de données. Pour répondre à cette diversité de situations, la solution de chiffrement devra donc être suffisamment agile et agnostique. Elle s’appuiera en particulier pour cela sur les standards technologiques et tout l’écosystème des éditeurs de logiciels de manière à pouvoir s’insérer facilement dans le système d’information de l’entreprise.

Pour maximiser cette souplesse, on optera plutôt pour une plateforme centralisée, qui deviendra la ressource de confiance unique pour tout le SI, que pour des solutions attachées aux différents systèmes à protéger comme on l’observe parfois. La cryptographie et la gestion des clés sont des sujets ardus, difficiles à mettre en œuvre, qui nécessitent une expertise rare qu’il n’est pas possible de maintenir au niveau de plusieurs entités. En outre, ces approches au cas par cas sont cloisonnées et rendent plus difficile pour le RSSI d’en garantir la conformité. Avec une plateforme centralisée, le RSSI reprend le contrôle sur le chiffrement. Il en définit la politique, les périmètres d’application, les contrôles d’accès, les règles d’audit et de monitoring des actions de chiffrement/déchiffrement…

« Une plateforme matérielle, centralisée, installée dans son data center, sous son propre contrôle, demeure la solution la plus sûre, la plus commode et la plus claire en termes des responsabilités. »

La cryptographie, une technologie particulière

Au moment de choisir leur outil, le RSSI et l’entreprise ne doivent pas perdre de vue que la cryptographie n’est pas une solution tout à fait comme les autres et qu’elle ne tire pas toujours bénéfice des dernières tendances technologiques. Par exemple, la virtualisation présente un risque certain car, une fois virtualisées, les clés peuvent se retrouver dans un environnement insuffisamment sécurisé. En ce qui concerne le cloud, la prudence recommande également de ne pas mettre au même endroit les clés et les données qu’elles protègent. De même, bien que techniquement possible, mettre en place un « chiffrement as-a-service » demande beaucoup de réflexion et de prudence. Déléguer à un tiers la gestion et le contrôle des clés constitue une lourde responsabilité qui ne peut s’exercer que dans un cadre contractuel et opérationnel strictement maîtrisé. Conserver le sujet en interne, c’est aussi se ménager des possibilités de montée en compétences et d’amélioration continue. Enfin, la souveraineté constitue un enjeu particulier dont il faut tenir compte. Les technologies de chiffrement sont hautement sensibles et, comme l’a révélé l’affaire Snowden, des interférences étatiques ne sont pas à exclure. Mieux vaut donc recourir autant que possible à des solutions d’origine française ou européenne.

En matière de chiffrement, une plateforme matérielle, centralisée, installée dans son data center, sous son propre contrôle, demeure ainsi la solution la plus sûre, la plus commode et la plus claire en termes des responsabilités. En incitant à protéger davantage les données, le RGPD, mais aussi d’autres réglementations sectorielles dans la santé ou la banque par exemple, attirent aujourd’hui l’attention sur la cryptographie. Alors que son potentiel demeurait largement sous-employé, elle va ainsi prendre toute sa place dans la politique de sécurité des entreprises, en tant que brique en aucun cas suffisante mais assurément nécessaire.

Partager


Qui est Noémie Vasche
Tous les articles de Noémie Vasche
Business Developer - Cryptographic products & Cybersecurity
Noémie Vasche est en charge du Business développement et des activités Presales pour l’offre de produit de chiffrement de données d’Atos. Elle intervient dans un contexte international auprès des clients d'Atos pour les orienter dans le choix des solutions les plus adaptées à leur besoins de protection de la donnée. Depuis 9 ans chez Bull puis Atos, Noémie accompagne les clients et prospects dans leur stratégie de sécurisation des données et de la confiance numérique. Son expérience à l’international en tant que professional services et avant-vente dans différents secteurs dont le bancaire, lui permettent d’appréhender les problématiques clients et les challenges associés. Noémie est diplômée de ENSI Caen.

 
Tous les articles

Sur le même thème

La cybersécurité est-elle encore un métier d’avenir ?
Cybersécurité : les 10 menaces à surveiller en 2023
Télémédecine : une solution aux enjeux de la santé ?
Se déplacer autrement : comment le MaaS aide à décarboner nos transports

Catégories