BFM Business

Il faut chiffrer ses données avant même qu’elles ne sortent de l’entreprise

Les responsables de la sécurité informatique doivent alerter les directions métiers et décider avec elles, quelles données doivent être cryptées.

Les responsables de la sécurité informatique doivent alerter les directions métiers et décider avec elles, quelles données doivent être cryptées. - -

Les dernières révélations dans l’affaire Snowden montrent à quel point il est important de savoir où sont localisées les données vitales de l’entreprise. Mais pour atteindre une sécurité maximale, tout en utilisant le cloud, mieux vaut aussi désormais chiffrer ses informations avant même qu’elles ne quittent l’entreprise.

Une entreprise qui fait appel à des services externalisés de clouds publics ou hybrides est souvent confrontée aux problèmes de localisation de ses données. Depuis la publication de la loi américaine dite "Patrioct Act", les services de renseignements américains peuvent en effet, sous certaines conditions, accéder à toutes sortes d’informations si leur demande concerne des entreprises dont les serveurs dépendent de la loi américaine. Toutefois, si les serveurs sont installés en dehors du territoire américain, ils peuvent répondre à la législation particulière du pays où ils se situent géographiquement. Cette situation a poussé certains acteurs tels que Microsoft à placer les données de leurs clients européens dans des datacenters situés à Dublin et Amsterdam.

Mais cela ne suffit pas toujours à garantir un bon niveau de confiance. Les technologies cloud utilisées reposent souvent sur une mutualisation de ressources diverses implantées en différents points de la planète. De fait, si une entreprise souhaite optimiser la sécurité de ses données, l'une premières règles à appliquer dans le cadre d'un projet Cloud est d'isoler et de chiffrer ses données. Celles-ci doivent ainsi être cryptées avant même de sortir de l’entreprise. Cela implique que les responsables de la sécurité veillent à une bonne gestiondes clés de chiffrement et de décodage. La deuxième règle porte sur la prévention de la perte de données. Inutile de tout sécuriser au niveau maximal. Il faut sensibiliser les directions métiers et mettre en place avec elles, des règles de protection des données, qui agissent selon le niveau d'importance des informations.

Jean Philippe Bichard