Le chiffrement, une brique nécessaire dans l’édifice RGPD
Longtemps, le chiffrement est resté une technologie de niche, réservée à des données très confidentielles et à quelques secteurs sensibles, accoutumés à de telles précautions. Mais avec la généralisation du cloud, elle suscite un intérêt grandissant, que le RGPD vient encore renforcer. Le chiffrement, en effet, n’exonère pas l’entreprise de ses responsabilités mais la soulage considérablement en cas de violation des données personnelles, au point que certains ont pu y voir un remède miracle.
Disons le clairement : la cryptographie n’est pas la panacée. Elle n’est que l’un des éléments du dispositif de sécurité qu’il faut toujours envisager dans sa globalité. Par exemple, le chiffrement est étroitement lié à la gestion des identités et des accès, puisque chiffrer des données n’a aucun sens si tout le monde peut facilement se procurer la clé. Comme toujours en matière de sécurité, on débute donc par une cartographie des données sensibles et une analyse des risques associés de manière à déterminer les solutions les plus appropriées. Puis, là où le chiffrement apparaît pertinent, on évalue avant toute chose l’impact de sa mise en œuvre. Cette approche permet en particulier d’éviter l’erreur fréquente qui consiste à vouloir tout chiffrer. Sans même parler des coûts, le chiffrement pèse de manière sensible sur les performances. En abuser, c’est risquer de voir les utilisateurs excédés finir par le contourner et le rendre, de fait, inutile.
Centraliser pour gérer la diversité
L’une des spécificités du chiffrement dans le cadre du RGPD est qu’il concerne des types de données et d’environnements beaucoup plus variés que dans les contextes sécuritaires où il est traditionnellement employé. On aura éventuellement à chiffrer des données structurées et non structurées, des environnements virtualisés et d’archivage, des applications dans le cloud… Une autre particularité est que l’on ne chiffrera pas seulement des données dynamiques, pour les protéger lors de leurs transferts, mais aussi des données statiques, « at rest », en particulier dans les bases de données. Pour répondre à cette diversité de situations, la solution de chiffrement devra donc être suffisamment agile et agnostique. Elle s’appuiera en particulier pour cela sur les standards technologiques et tout l’écosystème des éditeurs de logiciels de manière à pouvoir s’insérer facilement dans le système d’information de l’entreprise.
Pour maximiser cette souplesse, on optera plutôt pour une plateforme centralisée, qui deviendra la ressource de confiance unique pour tout le SI, que pour des solutions attachées aux différents systèmes à protéger comme on l’observe parfois. La cryptographie et la gestion des clés sont des sujets ardus, difficiles à mettre en œuvre, qui nécessitent une expertise rare qu’il n’est pas possible de maintenir au niveau de plusieurs entités. En outre, ces approches au cas par cas sont cloisonnées et rendent plus difficile pour le RSSI d’en garantir la conformité. Avec une plateforme centralisée, le RSSI reprend le contrôle sur le chiffrement. Il en définit la politique, les périmètres d’application, les contrôles d’accès, les règles d’audit et de monitoring des actions de chiffrement/déchiffrement…
« Une plateforme matérielle, centralisée, installée dans son data center, sous son propre contrôle, demeure la solution la plus sûre, la plus commode et la plus claire en termes des responsabilités. »
La cryptographie, une technologie particulière
Au moment de choisir leur outil, le RSSI et l’entreprise ne doivent pas perdre de vue que la cryptographie n’est pas une solution tout à fait comme les autres et qu’elle ne tire pas toujours bénéfice des dernières tendances technologiques. Par exemple, la virtualisation présente un risque certain car, une fois virtualisées, les clés peuvent se retrouver dans un environnement insuffisamment sécurisé. En ce qui concerne le cloud, la prudence recommande également de ne pas mettre au même endroit les clés et les données qu’elles protègent. De même, bien que techniquement possible, mettre en place un « chiffrement as-a-service » demande beaucoup de réflexion et de prudence. Déléguer à un tiers la gestion et le contrôle des clés constitue une lourde responsabilité qui ne peut s’exercer que dans un cadre contractuel et opérationnel strictement maîtrisé. Conserver le sujet en interne, c’est aussi se ménager des possibilités de montée en compétences et d’amélioration continue. Enfin, la souveraineté constitue un enjeu particulier dont il faut tenir compte. Les technologies de chiffrement sont hautement sensibles et, comme l’a révélé l’affaire Snowden, des interférences étatiques ne sont pas à exclure. Mieux vaut donc recourir autant que possible à des solutions d’origine française ou européenne.
En matière de chiffrement, une plateforme matérielle, centralisée, installée dans son data center, sous son propre contrôle, demeure ainsi la solution la plus sûre, la plus commode et la plus claire en termes des responsabilités. En incitant à protéger davantage les données, le RGPD, mais aussi d’autres réglementations sectorielles dans la santé ou la banque par exemple, attirent aujourd’hui l’attention sur la cryptographie. Alors que son potentiel demeurait largement sous-employé, elle va ainsi prendre toute sa place dans la politique de sécurité des entreprises, en tant que brique en aucun cas suffisante mais assurément nécessaire.