Getty Images
Optimiser le chiffrement et la gestion de clés en 2024
Une étude ESG met en évidence les problèmes de chiffrement auxquels les entreprises sont confrontées, notamment l’absence de chiffrement, les insuffisances de l’infrastructure cryptographique, etc.
Alors que la croissance du volume de données des entreprises s’accélère et que les organisations déploient de nouvelles applications pour soutenir les initiatives de leurs compagnies, la nécessité de sécuriser les données sensibles devient de plus en plus critique. Le chiffrement reste un élément essentiel de la sécurité des données, mais toutes les organisations ne sont pas préparées à gérer les tenants et les aboutissants du chiffrement.
Une nouvelle étude sur le chiffrement et la gestion des clés menée par ESG (Enterprise Strategy Group, Cabinet d’analyse IT BtoB filiale de TechTarget, tout comme LeMagIT) explique comment les entreprises sécurisent leurs entrepôts de données sur site et dans le cloud. Voici quelques informations clés qui vous aideront à optimiser vos stratégies pour une meilleure sécurité.
Le chiffrement : une activité stratégique de sécurité dont les budgets augmentent
L’étude d’ESG montre que près des trois quarts des organisations ont désormais adopté un programme cryptographique formel. En outre, plus de huit organisations sur dix disposent d’une équipe ou au moins d’une personne dédiée au chiffrement, à la gestion des clés et à la gestion des certificats. La majorité des DSI interrogées déclarent que ces personnes ou ces équipes relevaient directement de la direction de l’entreprise.
Outre le fait que le chiffrement est une initiative stratégique, on s’attend à ce que les dépenses augmentent encore. Près de neuf organisations sur dix déclarent ainsi qu’elles prévoient d’augmenter leurs dépenses en technologies de chiffrement par rapport à d’autres domaines de la cybersécurité au cours des 12 prochains mois, et près d’un tiers d’entre elles qualifient cette augmentation d’importante.
Reconnaissant que le chiffrement, en particulier la migration vers la cryptographie post-quantique, doit être mis en œuvre uniformément dans toute l’organisation pour obtenir des résultats optimaux en matière de sécurité, de nombreuses organisations ont déclaré qu’elles sont en train de modifier leurs stratégies de gestion des clés.
L’absence de cryptage est l’un des principaux facteurs de perte de données
Une personne interrogée sur cinq déclare que son organisation a perdu des données sensibles au cours des 12 derniers mois… mais encore plus préoccupants sont les 26 % qui soupçonnent que leur organisation a perdu des données sensibles, mais n’en sont pas sûrs parce qu’ils ne disposent pas des outils ou de l’expertise nécessaires pour le savoir.
Les coupables les plus courants de ces pertes de données sensibles sont l’absence de chiffrement des données sensibles en temps voulu et l’exfiltration de données non cryptées par des acteurs malveillants, ce qui témoigne de la faiblesse des contrôles d’accès. Parmi les autres lacunes, citons les politiques de sécurité incorrectes ou insuffisantes, les applications non autorisées et les données fantômes, ainsi que les clés de chiffrement de taille insuffisante.
Comment les équipes chargées du chiffrement sont confrontées à des problèmes opérationnels
Les organisations qui migrent leur infrastructure cryptographique vers le cloud se heurtent également à des problèmes de fonctionnement interne. Plus particulièrement, plus d’un quart des organisations cite le manque de personnel dédié à la cybersécurité. Parmi les autres difficultés rencontrées, citons les dépenses et les problèmes budgétaires, la complexité et les efforts requis, ainsi que le fait de reléguer le chiffrement au second plan en raison d’autres priorités à assumer.
En outre, il est souligné que pour fonctionner correctement, l’infrastructure cryptographique doit interagir avec une myriade d’appareils, de systèmes et d’applications dans un environnement informatique de plus en plus complexe.
La découverte et la catégorisation des données sont nécessaires
Bien que les résultats de l’enquête montrent que les organisations ont confiance dans la localisation de leurs données, les personnes interrogées ont indiqué qu’elles attribuaient la perte passée de données sensibles à des données fantômes non découvertes. Plus précisément, 94 % des personnes interrogées ont déclaré qu’elles étaient plutôt ou tout à fait confiantes dans la capacité de leur organisation à découvrir et à identifier les données sensibles. Cependant, 18 % des organisations attribuent une perte de données sensibles au cours de l’année écoulée à des données fantômes non découvertes, 27 % déclarant avoir perdu des données à cause d’applications et de services fantômes.
Cette dynamique rejoint celle relevée dans l’enquête 2024 sur les priorités IT des DSI menées conjointement par ESG et TechTArget et à laquelle participe LeMagIT. Celle-ci met en avant que la gestion de la posture de sécurité des données figure dans le top 10 des technologies de protection et de confidentialité pour 2024. Les stocks de données sensibles augmentent avec l’accroissement des charges de travail résidant dans le cloud, et les équipes chargées du chiffrement ont du mal à identifier les flux de données sensibles pour les sécuriser.
Améliorer le chiffrement en 2024
L’avenir du chiffrement et de la gestion des clés réside dans l’efficacité et l’optimisation. La sécurité des données sous forme de chiffrement et de gestion des clés doit ainsi devenir un pilier essentiel de la stratégie de sécurité des données de toute organisation. Elle protège les données sensibles, contribue à assurer la conformité réglementaire et répond aux obligations contractuelles et de gouvernance des données dans les infrastructures sur site et en cloud.
Les équipes de sécurité sont soumises à des pressions pour améliorer l’efficacité et fournir plus, souvent sans se voir affecter les ressources correspondantes à une telle demande. Les résultats de l’enquête font état de la rationalisation, de la mise à jour et de l’optimisation de la stratégie de chiffrement d’une réorganisation afin de tirer le meilleur parti des investissements mis en œuvre. Dans l’équilibre sans cesse renouvelé entre les pools de technologies de chiffrement proprement dit et l’appel à des plates-formes consolidées, les entreprises prévoient de favoriser ces dernières qui offrent une gestion unifiée des clés et permettent une gestion globale et intégrée des différents sujets.