3 entreprises du 10 chiffrent largement leurs données, mais crypter des données au travers d'implantations fragmentées demeure un challenge pour la DSI, et un risque de non respect des règles de gouvernance en cas de vol de données.
Le chiffrement des données s'impose de plus en plus… dans la douleur. Nous revenons sur la dixième étude « Global Encryption and Key Management Trends Study » (lire « Sécurité IT 2015 - Crypter plus, mais dépenser moins »), réalisée début 2015 par Ponemon Institute pour Thales e-Security, pour compléter notre vision de l'usage de la cryptographie dans les organisations.
Rappelons tout d'abord que 64 % des entreprises disposent d'une stratégie de chiffrement. 34 % l'appliquent globalement sur l'ensemble de l'entreprise, un chiffre en progression, et 26 % l'ajustent selon le type d'application et de donnée.
Chiffrer dans la douleur
Ce que l'étude a également révélé, c'est que le chiffrement s'accompagne d'une gestion des clés et des certificats qui se révèle douloureuse pour un DSI sur deux. Une problématique amplifiée par l'isolement et la fragmentation des systèmes, en particulier au sein des grandes organisations. C'est ainsi que le plus grand défi pour la DSI se révèle être l'identification et la localisation des données les plus sensibles au sein des réseaux.
L'étude met également en cause le manque d'équipements et d'outils adéquates dans l'entreprise, alors que les DSI entendent principalement miser sur le chiffrement matériel, malgré des budgets en baisse, comme notre précédant article l'indiquait. Le résultat est inquiétant, face à ces difficultés, certaines zones de données sensibles du SI sont oubliées par la stratégie de cryptage, bases de données, cloud, données volumiques, stockage back-end, ou encore archives.
Chiffrer pour détourner la gouvernance
Pourquoi pratiquer le chiffrement des données ? Les trois principales causes du déploiement du cryptage sont la conformité avec les mandats de protection des données ; faire face aux menaces de sécurité spécifiques ; et réduire la portée des vérifications de conformité.
Concrètement, nous assistons à deux dérives :
- Avec le chiffrement des données, près de la moitié des entreprises se croient dispensées de la nécessité de divulguer une violation, c'est à dire de l'obligation d'information des personnes touchées par un vol ou une violation de données.
- Elles relâchent également la pression sur les utilisateurs, alors que, par manque de formation sur l'identification des données sensibles, leurs employés disposent peu du sentiment de ce qui est vraiment risqué. Sans oublier que dans certains cas, ces employés peuvent être malveillants et être à l'origine du vol des informations.
Le chiffrement s'impose, et son usage progresse rapidement. Mais il reste du chemin à parcourir, à la fois pour sensibiliser les utilisateurs, et pour simplifier la vie de la DSI qui déploie encore trop souvent dans la douleur la stratégie de cryptographie de l'entreprise.