Avez-vous déjà essayé de déployer un produit de chiffrement sans y parvenir ? Sans la bonne approche, il vous sera difficile de sécuriser vos données d’entreprise. Et si la moitié de votre société télétravaille et utilise des appareils non chiffrés, il suffit d’un seul téléphone volé pour mettre votre activité en péril.
Les fuites de données et les atteintes à la réputation qui en découlent ont poussé les petites et moyennes entreprises (PME) à commencer à adopter le chiffrement avant même l’entrée en vigueur du RGPD. Mais le segment des PME est vaste et englobe un large éventail de niveaux d’avancement en matière de cybersécurité et d’approches de gestion des données.
Le RGPD confère aux propriétaires d’entreprises et aux services informatiques la responsabilité légale de sécuriser les données personnelles des clients et des collaborateurs. La réglementation, qui suggère de chiffrer, d’anonymiser ou de détruire les données (après usage commercial), ainsi que le nombre croissant de fuites de données, incitent les PME à mettre en œuvre des technologies de protection des données.
Toutefois, dans cette course à la sécurisation, la validation appropriée des produits et les bonnes pratiques d’implémentation des solutions ont souvent fait défaut. Avec peu de temps à consacrer aux études de marché, et un secteur qui lui-même comprend une large sélection de services, il est difficile pour les dirigeants et décideurs de trouver la solution adaptée à leurs besoins.
Si vous êtes confronté à cette décision, voici les questions que vous devriez vous poser :
1. Quels appareils représentent le plus grand risque : sur site ou hors site ?
Prenons l’exemple des ordinateurs portables, car ils peuvent être considérés comme l’infrastructure physique de base de la plupart des PME. Le point suivant peut sembler évident, mais sachez que les appareils sont plus susceptibles d’être volés lorsqu’ils ne sont pas au bureau. Gardez cela à l’esprit avant de commencer à chercher une solution. Veillez à tester l’efficacité d’une solution notamment en anticipant les éventuels scénarios problématiques liés à vos utilisateurs distants. Si vous êtes satisfait des performances lorsque la solution est utilisée par des utilisateurs distants, vous aurez au moins déjà une présélection.
2. Pourquoi un produit bien conçu est-il si important ?
Design et fonction sont interconnectés. La possibilité de modifier rapidement la politique de sécurité, les clés de chiffrement, les fonctions et l’utilisation du chiffrement des terminaux à distance signifie que votre politique par défaut peut être à la fois robuste et stricte. Les exceptions ne doivent être utilisées qu’en cas de besoin et doivent pouvoir être annulées facilement, sans quoi vous serez obligés de laisser « une clé sous le paillasson », au cas où. Cela reviendrait à laisser des brèches dans votre politique de sécurité avant que le déploiement ne soit terminé.
3. Qu’en est-il du verrouillage et de l’effacement à distance des ordinateurs portables ?
Cette question pourrait devenir cruciale si un ordinateur portable d’entreprise avec chiffrement intégral du disque était volé en étant en mode veille ou avec son système d’exploitation lancé. La situation s’aggrave lorsque ces systèmes sont livrés avec le mot de passe de prédémarrage apposé sur une étiquette ou rangé dans la sacoche de l’ordinateur portable. Si une fonction de verrouillage ou d’effacement à distance n’est pas disponible, le système est soit laissé sans protection, soit sécurisé uniquement par le mot de passe du compte utilisateur. Dans les deux cas, le chiffrement est contourné.
Il est également important de savoir si la solution a été conçue pour s’adapter aux cas d’utilisation typiques, qui autrement mettraient à mal une politique de sécurité bien conçue.
4. Supports amovibles : la solution peut-elle les sécuriser sans avoir à tous les inscrire sur une liste blanche ?
La diversité des supports inscriptibles utilisés dans le cadre du travail quotidien fait qu’il est presque impossible pour les administrateurs de les inscrire tous sur une liste blanche, ou de décider s’il est permis de lire ou d’écrire dessus.
Il est beaucoup plus facile de définir une politique au niveau des fichiers, en faisant la distinction entre les fichiers qui ont besoin d’être chiffrés et ceux qui n’en ont pas besoin, et de protéger les fichiers souhaités chaque fois qu’ils passent d’un poste de travail ou d’un réseau d’entreprise à un support amovible.
Ainsi, si vous connectez une clé USB personnelle, la solution ne devrait pas vous obliger à chiffrer vos données privées. Par contre, tout fichier copié à partir du système de votre entreprise doit être chiffré. Il s’agit d’un principe simple, mais qui permet de sécuriser n’importe quel appareil sans avoir à recourir à une liste blanche.
En fin de compte, la flexibilité et la facilité d’utilisation sont les garants d’un déploiement réussi de la technologie de chiffrement des terminaux.
Vous devez donc déterminer si la solution que vous souhaitez utiliser est réellement facile à déployer. Si la configuration prend trop de temps et nécessite des outils supplémentaires pour fonctionner, cela ne fera que compliquer la tâche des administrateurs, créant ainsi de nouveaux risques pour la sécurité.
Notre conseil
Adoptez une solution facile à déployer qui ne nécessite pas d’expertise informatique avancée, et qui préserve à la fois vos finances et la productivité de vos ressources humaines. Si un déploiement facile est suivi d’une expérience utilisateur positive, le personnel informatique ne sera pas davantage sollicité en cas de problème des utilisateurs, de pertes de données ou de tout autre problème de fonctionnement.
Les technologies de chiffrement du commerce ont fait leurs preuves depuis un moment déjà. Toutefois, un nombre important de fuites de données signalées concernant des ordinateurs portables et des clés USB égarées ou volés se sont produites dans des entreprises qui avaient acheté et déployé des produits de chiffrement. Les notes consignées pour ces incidents révèlent plusieurs choses : la capacité d’adapter la solution à l'environnement de l’entreprise et à ses pratiques de travail, ainsi que la facilité d’utilisation pour les utilisateurs quotidiens, semblent incarner les principaux défis.
