Devez-vous opter pour le chiffrement des données de votre entreprise ?

Prochain article

Ce que vous devez impérativement savoir

Dans le cadre du RGPD, il existe aujourd’hui différentes approches concernant la cybersécurité et la gestion des données pour le segment des PME. Depuis son entrée en vigueur en mai 2018, le RGPD contraint les responsables de sociétés à veiller légalement à la sécurité des données personnelles des employés et des clients de l’entreprise.

Il est notamment conseillé pour les PME d’opter pour l’implémentation de technologies de protection des données telles que le chiffrement, l'anonymisation puis la destruction de ces données personnelles (une fois qu’elles ne sont plus utiles à la société) afin de mieux faire front au nombre toujours plus croissant de fuites et vols de datas.

Grâce à notre outil de vérification de conformité, vérifiez-en 1 clic si votre entreprise remplit bien les conditions de réglementation de données personnelles :

Cliquez ici

Les fuites de données ont des répercussions irrémédiables sur l’image et la fiabilité d’une entreprise. C’est aussi pour cette raison que de nombreuses PME ont adopté une stratégie de chiffrement des données bien avant l’arrivée du RGPD. Toutefois, en raison de l’urgence à vouloir sécuriser rapidement les données de l’entreprise, beaucoup de PME n’ont pas forcément eu le temps de s’assurer que la technologie choisie correspondait à 100% à leurs besoins, ni même pu se servir d’enseignements d’autres sociétés pour en tirer parti.

Le choix de produits de sécurité est pléthorique, et le temps alloué pour rechercher le bon logiciel sur le marché est limité. Ce sont donc principalement pour ces deux raisons que les responsables d’entreprises ont des difficultés à trouver la technologie qui soit adaptée à leurs attentes.

De nombreuses sociétés ont tenté en vain de déployer efficacement une solution de chiffrement. Si vous êtes face à cette décision pour la première fois, ou que vous souhaitez vous donner une seconde chance (la première tentative ayant échoué), lisez attentivement ce qui va suivre afin d’éviter d’éventuelles déconvenue.

Quels appareils sont les plus sujets aux risques de vol de données ? Le risque est-il plus important sur le lieu de travail, ou au contraire en dehors ?

Prenons l’exemple des ordinateurs portables : ils sont bien souvent les piliers du parc informatique des PME. Quant aux périphériques, ils s’avèrent plus vulnérables aux vols de données lorsqu’ils sont en dehors de l’entreprise. Dès lors que vous en êtes conscient, il est plus facile de chercher une solution puis de la mettre en place.

Assurez-vous de tester l’efficacité d’une solution sous différents cas de figure avec des utilisateurs à distance. Si les retours de performances vous conviennent, votre choix est quasi-défini.

Contrôle à distance : Votre système de chiffrement remplit-il les besoins de votre service informatique ?

La plupart des produits de chiffrement des Endpoints offrent la possibilité de gérer à distance les appareils. Mais nous vous conseillons de regarder de plus près leurs conditions. Un certain nombre d’entre eux nécessitent une connexion entrante ouverte vers une zone démilitarisée (DMZ) sur votre serveur ou une connexion VPN. Cela demande une haute expertise informatique (ce qui peut vite devenir onéreux) et qui, pour fonctionner correctement, peut nécessiter à l’utilisateur d’établir une connexion. Mais rien de tout ceci ne vous sera utile en cas d’employé malhonnête ou d’ordinateur volé.

Un logiciel correctement pensé vous permettra de gérer l’accès à distance sans connaissance particulière en informatique et surtout sans dépense additionnelle auprès d’un spécialiste en la matière.

Pourquoi l’architecture d’un logiciel est-elle si primordiale ?

L’architecture d’un logiciel et ses fonctionnalités sont intrinsèquement liées. La possibilité de modifier en quelques clics la politique de sécurité, les clés de chiffrement, les fonctionnalités et le fonctionnement du chiffrement à distance des Endpoints, font partis des atouts efficaces d’une politique de sécurité. Si toutefois vous deviez créer des exceptions, celles-ci ne devraient être opérationnelles que pendant le laps de temps nécessaire au bon déroulement des opérations, puis supprimées tout aussi rapidement une fois la tâche terminée. Si vous ne procédez pas de façon aussi rigoureuse, votre politique de sécurité risque d’être compromise avant même de l’avoir déployée.

Qu’en est-il du verrouillage et de l’effacement des clés à distance ?

En cas de vol d’un ordinateur portable de l’entreprise avec un chiffrement intégral du disque alors que celui-ci est en veille ou avec le système d’exploitation démarré, la situation peut devenir critique. Les choses peuvent même s’empirer si le mot de passe de démarrage est inscrit sur un papier ou collé dans la housse de l’ordinateur. Si le verrouillage ou l’effacement à distance n’est pas configuré, le système est alors dénué de toute protection ou sécurisé seulement à l’aide du mot de passe de l’OS. Dans un cas comme dans l’autre, le chiffrement peut, quant à lui, être facilement contourné.

Par ailleurs, il est essentiel de vous assurer que la solution choisie a bien été configurée pour répondre aux cas de figure les plus fréquents et que celle-ci est correctement paramétrée afin de ne pas compromettre votre politique de sécurité.

Votre solution a-t-elle la capacité de sécuriser les médias amovibles sans pour autant mettre sur liste blanche tous les éléments ?

La diversité des périphériques inscriptibles utilisés au quotidien dans la sphère professionnelle ne permet pas aux administrateurs de tous les inscrire sur liste blanche. De même, il est difficile d’autoriser ou non la permission d’effectuer certaines actions telles que la lecture, l’écriture à un utilisateur particulier, ou de refuser l’accès total à un appareil.

Une solution plus simple consiste à configurer la politique concernant les fichiers, en distinguant ceux qui nécessitent un chiffrement et ceux qui n’en ont pas besoin. Puis ensuite, il convient de sécuriser ceux qui doivent être protégés afin qu’ils le restent même lorsqu’ils sont déplacés sur un réseau de l’entreprise ou même sur un périphérique portable.

En d’autres termes, si vous connectez une clé USB personnelle, la solution ne vous obligera pas à chiffrer vos données. Toutefois, tout ce qui sera en provenance du système de l’entreprise sera crypté sans que les clés ne soient intégrées sur votre appareil.

L’idée est simple mais permet de sécuriser correctement les Endpoints sans pour autant avoir besoin d’une liste blanche. En somme, ce sont à la fois la flexibilité et la facilité d’utilisation qui permettent à cette technologie de se déployer avec efficacité.

La première chose à faire est donc de décider de sélectionner une solution qui soit facile à déployer. Si l’administration s’avère trop complexe, elle risque de vous mobiliser plusieurs heures voire jours, de nécessiter des outils annexes et de créer confusion et agacement pour vos administrateurs informatiques. Ce qui finit irrémédiablement par créer des failles de sécurité.

Choisissez une solution simple à déployer, qui ne nécessite pas de connaissances avancées en expertise informatique, et qui vous permettra d’y gagner sur le plan financier et de ne pas mobiliser inutilement vos ressources internes.

Une expérience utilisateur positive sera aussi un gain de temps et d’énergie pour les équipes informatiques, qui n’auront plus à gérer les verrouillages intempestifs d’utilisateurs, les pertes de données et autres soucis liés à la sécurité.

Les produits de chiffrement sont reconnus comme étant particulièrement efficaces depuis quelques temps. Pourtant, il n’empêche qu’un nombre significatif des vols de données enregistrés concernent des ordinateurs portables et des lecteurs USB perdus ou volés alors même que les entreprises concernées avaient investi et déployé dans des logiciels de chiffrement.

Les conclusions de ces incidents indiquent que les principaux défis consistent à trouver une solution qui corresponde à la fois à l’environnement, aux différents processus de travail de l’entreprise, et qui soit simple d’utilisation pour l’ensemble des utilisateurs.

Découvrez nos articles d’experts pour en savoir plus sur la sécurité en Entreprise

Notre blog

RGPD : le rôle du chiffrement