Mercredi 13 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Cinq étapes pour un chiffrement réussi

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 26/11/2003 - indexel.net
 

Si la cryptographie est bien l´un des outils les plus sûrs pour protéger les données de l´entreprise, encore faut-il savoir comment la mettre en oeuvre. Une opération plus simple qu´il n´y parait - même dans les plus petites structures - qui ont souvent beaucoup à y gagner.

 

Le recours au chiffrement n´est pas l´apanage des grandes entreprises, qui seraient les seules capables d´investir dans une infrastructure à clés publiques et, surtout, disposeraient de l´équipe de spécialistes pour la faire fonctionner. Bien au contraire ! Dans une petite structure - qui ne dispose pas forcément des moyens d´une grande pour protéger son réseau des intrusions - le chiffrement est la dernière ligne de défense. Il est en effet peut-être facile de voler l´ordinateur d´un commercial ou de s´introduire sur le poste de travail d´un utilisateur. Mais si les documents dérobés sont correctement chiffrés, ils seront réellement inutilisables. Concrètement, il ne faudra pas très longtemps à une petite structure pour mettre du chiffrement en oeuvre, à condition d´aborder le projet avec un peu d´organisation.

1. Discuter, sensibiliser, informer

Dans une petite structure, chiffrer s´entend sur le poste de travail. La démarche consiste alors en réalité à offrir à chaque employé le moyen de mettre ses données à l´abri sur son poste. Elle ne se conçoit donc pas sans un travail de sensibilisation préalable, qui sera d´autant plus simple à réaliser que l´entreprise est de taille réduite. L´objectif est de faire comprendre l´importance des données stockées sur les postes de travail et, en retour, d´expliquer que cela n´exigera guère de nouvelles manipulations (voire aucune, en fonction du produit utilisé). Beaucoup de projets de sécurité, y compris dans les grandes entreprises, échouent à ce stade : la meilleure sécurité au monde est inutile si personne n´a envie de l´utiliser ou n´en comprend l´intérêt.

2. Choisir la solution

Les solutions de chiffrement sur le poste de travail (par opposition à celles dédiées aux flux de données) sont généralement peu chères et très simples d´utilisation. Mais cela ne signifie pas pour autant qu´il faut aller télécharger n´importe quel logiciel gratuit (il en existe des centaines). Le choix doit se porter sur des produits dont l´entreprise peut être sûre qu´ils exploitent des algorithmes reconnus (les "solutions innovantes" sont à fuir !) et que ces derniers sont correctement mis en oeuvre. A défaut de disposer d´un expert en interne, il faudra faire confiance à des éditeurs réputés sur ce marché : Finmatica-MSI, IdealX, Calyx-Netsecure, Cryptogram, TheGreenBow, PGP Corp... Leurs produits sont vendus quelques dizaines d´euros par utilisateur, voire offerts dans le cas de Cryptonit, le chiffreur en Open Source de IdealX (disponible au 30 novembre 2003). Outre l´aspect essentiel de la gestion des clés (voir ci-dessous), le choix du chiffreur idéal se fera sur la base de sa richesse fonctionnelle.

3. Se poser les bonnes questions

Comment sera utilisé le produit ? La solution la plus transparente consiste à chiffrer automatiquement, dès le démarrage de Windows, le contenu d´un répertoire ou d´un disque virtuel. Tout ce qui y est déposé est chiffré automatiquement, et tout ce qui en est extrait (ou lu) est déchiffré à la volée. Si l´utilisateur manipule des fichiers situés dans des répertoires trop différents, il est alors nécessaire de pouvoir les chiffrer individuellement. Dans ce cas, l´outil offre-t-il un accès rapide au chiffrement via un clic droit de la souris ? Quelle est la richesse du menu contextuel ?Les fichiers devront-ils être échangés avec des correspondants hors de l´entreprise ? Si c´est le cas, il convient de prendre en compte leur choix éventuel d´un outil de chiffrement afin d´être compatibles (une étape facilitée par l´utilisation d´un produit respectant les standards PKCS appropriés), ou bien de choisir un produit qui permette la création de fichiers auto-déchiffrables, qui peuvent être envoyés à n´importe qui (selon les systèmes d´exploitation reconnus). Les fichiers seront-ils envoyés par email ? Si oui, il est possible de choisir un produit qui dispose d´une extension logicielle afin de fonctionner avec le client email de l´entreprise : le chiffrement des pièces jointes sera alors automatique (il s´agit d´une fonction pourtant peu utilisée : il est souvent plus simple de chiffrer directement le document avant de le joindre au courrier !)

Le produit permet-il de chiffrer pour plusieurs correspondants à la fois ? Permet-il de passer d´une identité à une autre avant de chiffrer (dans le cadre d´utilisateurs ayant plusieurs fonctions au sein de l´entreprise). Permet-il la co-signature ? Dispose-t-il de fonctions d´installation verrouillée, qui permette à l´administrateur de fixer une fois pour toute les algorithmes utilisés, la longueur des clés, etc, sans qu´il ne soit possible à l´utilisateur d´intervenir sur ces réglages ? Quels standards reconnaît-il ? Est-il compatible avec les normes du chiffrement asymétrique (PKCS), gage de simplification dans la gestion des clés à plus grande échelle ?Lire la suite de l´article

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages