En France, le chiffrement protège de la loi... pas du ridicule
Une étude de Ponemon Institute, financée par Symantec, révèle un paradoxe français. Si les organisations déploient des solutions de chiffrement pour protéger leurs données, c'est avant tout pour se protéger du législateur. Pas pour renforcer la confiance des consommateurs et partenaires de l'entreprise. Car, en cas de perte ou vol de données, rien n'oblige une entreprise à prévenir quiconque de ses déboires.
Financée par Symantec, une étude du Ponemon Institute sur les pratiques en matière de cryptage dans les entreprises françaises détaille les motivations des organisations à déployer ce type de technologies. Sans surprise, et faute d'une loi obligeant les organisations à rendre publics leurs pertes ou vols de données, la conformité réglementaire - avant tout à la loi Informatiques et libertés - apparaît comme la principale raison poussant les entreprises hexagonales à mettre en place des mesures de chiffrement. Cette motivation est en effet avancée dans les trois-quarts des cas - 76 % -, loin devant la lutte contre les pertes de données (citée par 32 % des 420 managers IT ou techniciens interrogés). Cette dernière n'arrive qu'au quatrième rang des motivations dans les entreprises françaises, même si elle gagne 6 points en un an. En troisième position (à 39 %), figure, il est vrai, la volonté de protéger l'image de marque de l'entreprise en cas de vol ou perte de données.
Par contre, utiliser le chiffrement pour ne pas avoir à notifier des employés ou des clients d'une perte de données ne fait pas recette dans l'Hexagone. L'item, proposé par Ponemon, recueille... un beau 0 %. Comme l'explique Jamie Cowper, un ex-PGP (le spécialiste du chiffrement racheté en juin par Symantec), alors que 69 % des entreprises françaises ont connu une perte ou un vol de données au cours des 12 derniers mois - souvent consécutivement à la disparition d'un portable -, dans plus de neuf cas sur dix, l'entreprise concernée n'a prévenu... personne de ses déboires. Un chiffre qui reste stable par rapport à 2009. "C'est évidemment bien plus qu'aux Etats-Unis ou en Grande-Bretagne où des contraintes légales obligent les entreprises à dévoiler les pertes ou vol de données", explique Jamie Cowper.
Des menaces ressenties comme de plus en plus réelles
Du coup, 56 % des responsables IT français peuvent affirmer benoîtement que le chiffrement ne renforce pas la confiance des partenaires et des consommateurs. Ils sont tout de même 40 % à penser le contraire. Des proportions globalement stables par rapport à l'étude de 2009.
Ce constat ne signifie pas que les managers français sous-estiment les risques liés aux données. Ils sont ainsi près de 8 sur 10 à considérer la protection des données comme un élément important de la gestion des risques. Et leur perception des menaces laisse également apparaître des inquiétudes allant croissantes. Usage de plates-formes Cloud non sécurisées, connexion d'un terminal mobile corrompu sur les systèmes d'information, cyber-attaques, accès non autorisés de tiers sur des plates-formes virtualisées, espionnage économique : toutes ces menaces sont ressenties comme bien plus lourdes qu'en 2009 par les personnes interrogées. Et, globalement, les conséquences de ces événements sont perçues comme plus graves qu'en 2009 (notamment les cyber-attaques, l'accès de terminaux mobiles non sécurisés et l'espionnage économique).
Au cours de l'année écoulée, 85 % des entreprises françaises ont terminé au moins un projet de chiffrement, 4 points de plus qu'en 2009. Et 34 % des organisations ont mis sur pied un programme de déploiements concernant les technologies de chiffrement (+ 5 points en un an). Parmi les technologies déployées, le cryptage de bases de données demeure en tête, suivi de près par le chiffrement des serveurs de fichiers, l'utilisation de réseau privé virtuel (VPN) et le cryptage de disques et d'emails. Dans ces projets, les organisations considèrent que les sujets relatifs à la gestion des clefs de chiffrement sont centraux. La capacité à disposer d'une solution automatique pour administrer ces clefs est d'ailleurs citée par 60 % des personnes interrogées comme une des fonctions importantes des solutions de chiffrement.