L’usage du chiffrement progresse
Une étude réalisée par l’institut Ponemon pour Thales montre une progression significative du recours au chiffrement dans les entreprises. Mais la posture française n’est pas rassurante.
Avec un indice moyen d’effectivité de la sécurité de 0,12, la France ne brille pas. Cet indicateur peut prendre des valeurs de moins deux à deux et vise à renseigner sur la capacité d’une organisation à trouver un équilibre entre efficacité et effectivité de la sécurité. Avec leur score, les entreprises de l’Hexagone se rangent loin derrière leurs homologues britanniques (0,61), américains (0,8), voire allemands (1,25). C’est l’une des conclusions d’une étude réalisée par l’institut Ponemon fin 2013, pour Thales, auprès de 4 800 professionnels en entreprise répartis dans huit pays.
Celle-ci montre également que 33 % des entreprises françaises disposent d’une stratégie de chiffrement, contre 53 % des allemandes, ou encore 40 % aux Etats-Unis, pour une moyenne mondiale de 35 %. En 2005, la moyenne n’était que de 15 %. Dans 35 % des cas, cette stratégie est pilotée par l’exploitation IT. Mais l’influence de celle-ci s’est réduite en huit ans au profit de celle des métiers, passée de 12 % en 2005, à 26 % l’an passé. Les auteurs de l’étude n’excluent pas là un effet du BYOD et le « consumérisation générale de l’IT. » Et de relever que l’influence de la RSSI sur le sujet n’a que très peu évoluée dans le temps, à 15 % à la fin de l’an passé.
Mais la mise en place d’une stratégie du chiffrement ne se traduit pas forcément par son utilisation systématique. C’est encore en Allemagne que le recours au chiffrement est le plus étendu. Les entreprises du secteur des services financiers arrivent en tête, un usage largement répandu pour 43 % d’entre elles, devant celles des services, des transports, et des technologies et du logiciel, dans l’ordre.
Dans 27 % des cas, c’est le risque d’erreur individuelle d’un employé - la fuite involontaire - qui est perçu comme la principale menace justifiant l’utilisation du chiffrement, devant le cadre légal et réglementaire (15 %). Le risque de piratage n’arrive qu’en quatrième position des motivations, à 13 %, tout juste devant celui de la malveillance interne (10 %). Mais en termes de motivation concrète, le recours au chiffrement vise surtout, à 46 %, à minimiser l’impact d’une fuite ou d’un vol de données. Le respect des engagements de l’entreprise envers la confidentialité des données n’arrive qu’en troisième position, à 42 %, devant la conformité réglementaire. Sauf en France et aux Etats-Unis où le cadre juridique arrive très nettement en première position.
Sans surprise, et comme pour de nombreux projets de sécurité, découvrir où résident les données sensibles méritant chiffrement apparaît comme le principal frein, pour 61 % des sondés, devant le déploiement effectif de la technologie (50 %), et la classification des données (37 %). Et c’est au final sur les sauvegardes que le chiffrement est le plus généralisé.
Les auteurs de l’étude alertent sur le risque associé à la gestion des clés et des certificats de chiffrement. 70 % des sondés ont en effet recours à au moins cinq outils de chiffrement différents. Et la gestion des clés automatisée est considérée comme une fonction clé par 52 % des sondés. Des professionnels qui s’inquiètent ouvertement de la lourdeur de cette gestion et de son coût. Seulement 22 % des entreprises françaises lui accordent des ressources dédiées aux pratiques bien définies.