Dossier : Le chiffrement parviendra-t-il à se généraliser ?

Le premier semestre 2011 a été marqué par plusieurs fuites de données hautement médiatisées. Presque une première. Mais si la pratique du chiffrement permet, in fine, de protéger les données les plus sensibles du système d’information, celle-ci ne semble pas encore généralisée. Pire, selon certains, elle pourrait même apparaître en recul compte tenu de l’extension régulière du périmètre concerné, avec la multiplication des dispositifs nomades embarquant des données sensibles. Et souvent sans la moindre protection spécifique.

C’est le dernier exemple en date : la très sérieuse institution Morgan Stanley a perdu des données personnelles de 34 000 de ses clients. Avant elle, au premier trimestre, il y avait eu les vastes piratages de RSA, Sony, Lockheed Martin, Citigroup, des administrations publiques. Avec une conséquence connue : l’accroissement de l’intérêt des entreprises pour l’assurance contre le risque de fuites de données sensibles. Mais ça, d’une certaine manière, c’est pour l’après, une fois que l’incident de sécurité est survenu.

Avant cela, mais après l’intrusion réussie dans le système d’information, il existe un dernier rempart avant le vol de l’information : son chiffrement. L’an passé, le Clusif estimait que seulement 54 % des entreprises françaises chiffraient les données locales des postes de travail. Mais le plus étonnant est peut-être cette étude du Ponemon Institute, pour Symantec, qui soulignait, en décembre dernier, qu’en France, le chiffrement est plus utilisé pour protéger l’entreprise des risques légaux que de celui du vol de données.

Une spécificité française liée à l’absence d’obligation légale de déclarer un tel incident. Ce contexte réglementaire pourrait bien changer. Et ce ne serait peut-être pas un luxe : selon une récente étude du Ponemon Institute pour Check Point Software, 70 % des entreprises françaises ont subi une perte de données en 2010. Et, dans 51 % des cas, ce sont des données clients qui ont été compromises.

Enigma
Machine
Enigma

Mais alors que la culture de la protection des données personnelles peine à se généraliser en France - et, avec elle, celle du chiffrement -, le périmètre à couvrir s’étend, rapidement et de manière largement incontrôlée. C’est en tout cas ce que l’on peut être tenté de retenir d’une récente étude de YouGov pour Citrix Online : selon celle-ci, dans 61 % des PME françaises, les salariés ont recours à leurs terminaux mobiles personnels alors que seulement 32 % des entreprises ont une connaissance complète des terminaux utilisés par leurs collaborateurs. 

Selon une autre étude, réalisée en Europe par Vision Critical pour Fortinet, entre mai et juin derniers, la mobilité et la consumérisation de l’IT ne sont cités comme facteurs de changement de stratégie de sécurité que par 18 % et 9 % des sondés respectivement. Dans 16 % des cas, aucune stratégie n’accompagne d’ailleurs l’utilisation des terminaux mobiles et, dans 26 % des cas, c’est l’utilisateur qui est seul responsable de la sécurité de son appareil mobile. Dans 18 % des cas, l’utilisation d’un terminal personnel dans l’entreprise est interdite. Mais quid du contrôle de l’application effective d’une telle règle ? L’impréparation dépasse toutefois probablement les frontières de l’Hexagone : aux Etats-Unis, selon une étude de Canalys pour BullGuard, 86 % des entreprises n’a pas de logiciel de sécurité en standard pour les smartphones. Signe toutefois de l’intérêt croissant pour le chiffrement, plusieurs opérations significatives ont eu lieu au cours des dernières années : en juin 2009, Sophos a lancé sa suite de chiffrement du poste de travail, en concurrence directe de McAfee et de Check Point, à l’issue du rachat d’Ultimaco en août 2008. 

Plus récemment, Symantec a racheté PHP et GuardianEdge, afin de renforcer sa propre offre de sécurisation des postes clients. En novembre 2010, c’est Trend Micro qui a racheté Mobile Armor, un spécialiste de la protection et du chiffrement des données. Et que préfigure encore le rachat de McAfee par Intel à l’été dernier ? 

Méthodes de chiffrement : sécuriser les terminaux émergents

Bien que cela n’ait rien de trivial, le chiffrement des portables d’entreprise est devenu une pratique courante pour les utilisateurs devant manipuler des données sensibles. En associant cela à d’autres bonnes pratiques telles que l’authentification forte et la protection standard contre les logiciels malveillants, les entreprises peuvent effectivement protéger leurs ordinateurs portables bien mieux qu’avant. 

Toutefois, avec l’émergence de terminaux à bas coût et hautement mobiles tels que les tablettes et l’iPad, tout un ensemble de terminaux informatiques non conventionnels apparaît dans les entreprises, les amenant à choisir des méthodes de chiffrement spécifiques. Alors que ces terminaux se sont multipliés au cours des deux dernières années, de nombreuses personnes ont posé la même question : la pratique du chiffrement devrait-elle leur être étendue ou le coût, les ressources de calcul limitées et l’unicité des plateformes induisent-ils d’autres stratégies de protection des données ? J’ai une réponse toute faite pour ces questions : « vous posez les mauvaises questions !». 

Le chiffrement est un contrôle de sécurité centré sur les données: il interdit à un individu d’accéder illégitimement à des informations mais ne protège pas un terminal physique. Le chiffrement ne sera d’aucune utilité pour prévenir une tentative de piratage sur un système dont le pare-feu est mal configuré. Mais il pourra stopper quelqu’un qui parvient à accéder à un terminal et l’empêcher de fouiller dans des données sensibles. Partant, la question du chiffrement n’est pas «quels terminaux devrais-je sécuriser ?» mais «quelles données dois-je protéger ?» La plupart des organisations devraient dès lors disposer de règles de classification des données qui leur facilite l’identification du niveau de sensibilité des informations stockées dans chaque terminal. Si un terminal contient des éléments considérés comme sensibles suivant les règles internes à l’entreprise, alors il est vital de les chiffrer. 

Le chiffrement des terminaux mobiles est multiple

Les terminaux mobiles en général (et les plus mobiles d’entre eux en particulier) présentent un défi supplémentaire : ils ont une propension naturelle à être volés ou perdus, plus importante que celles des ordinateurs de bureau. Après tout, il est bien plus facile d’oublier une clé USB sur l’ordinateur d’un client que d’oublier son ordinateur portable. Ces terminaux hautement mobiles méritent donc une protection qui dépasse celle mise en oeuvre pour les ordinateurs portables. La conscience des questions de sécurité liées aux appareils portables a fortement progressé, entraînant, avec elle, la demande pour des équipements intégrant nativement des dispositifs de sécurité. Les constructeurs ont présenté de multiples produits pour répondre à cette demande. La plupart des constructeurs de disques à mémoire flash, tels que Lexar et SanDisk, proposent désormais des appareils chiffrés répondant aux standards très stricts, FIPS, du gouvernement américain. Il existe également des appareils à hautes performances tels que ceux d’IronKey ou encore des clés USB comme celle de McAfee qui intègrent chiffrement et lecteur d’empreintes digitales pour faciliter l’authentification biométrique. Et l’acquisition de matériels spécifiques intégrant le chiffrement n’est pas envisageable, il est possible de recourir au chiffrement logiciel - intégré au système d’exploitation ou apporté par des logiciels tiers. En voici quelques exemples :

  • Microsoft Windows 7 intègre BitLocker et EFS, qui peuvent être tous deux utilisés pour sécuriser les données de disques durs.
  • Le package gratuit et Open Source TrueCrypt permet également de chiffrer des disques durs, des disques à mémoire flash, de manière transparente, sous Windows, Linux et Mac OS X.
  • De nombreux outils de compression tiers comme 7Zip et WinZip proposent nativement un chiffrement AES bien adapté au transport de fichiers.
  • Le package GNU Privacy Guard (GPG) utilise le standard OpenPGP pour chiffrer de manière sûre des fichiers.

Il existe pléthore de méthodes et d’options de chiffrement de données sur le marché. Il n’y a donc pas vraiment d’excuse pour laisser des données sensibles sans chiffrement sur un support de stockage mobile. 

Garder les fondamentaux en mémoire 

La conclusion est que les contrôles de sécurité devraient être principalement motivés par la sensibilité des informations stockées sur un appareil plutôt que sur la nature de l’appareil lui-même. Des appareils très mobiles comme les clés USB et les netbooks renforcent le risque de vol. Et cela mérite un examen approfondi pour déterminer si oui ou non il est acceptable qu’y soient stockées des données sensibles. Par chance, il existe de très nombreuses méthodes et technologies de chiffrement pour aider à stocker de manière sûre des données sensibles sur n’importe quel type de terminal. Par Mike Chapple, CISA, CISSP, professionnel de la sécurité IT à l’Université de Notre Dame, aux Etats-Unis. Il a notamment collaboré avec la NSA et l’US Air Force. Initialement publié par SearchSecurity.com

Chiffrement des clés USB : logiciels et règles de sécurité

La prolifération des appareils USB a été un avantage pour les entreprises et les particuliers, en simplifiant la synchronisation, le transport et la sauvegarde de données. Selon le Santa Clara Research Group, près de 190 millions de clés USB ont été livrées en 2009, avec une moyenne de 8 Go par appareil. Mais ces petits outils ont une tendance alarmante à glisser des poches et des sacs, menaçant ainsi les données qu’ils recèlent. 

Lorsqu’un disque perdu, volé ou emprunté tombe entre de mauvaises mains, le chiffrement permet d’éviter que les fichiers qu’il contient ne soient consultés, copiés ou simplement parcourus dans la clé. Le chiffrement de disque complet utilisé sur le disque interne d’un ordinateur portable ou de bureau utilise un code local pour chiffrer ou déchiffrer les données. Mais les clés USB déplacent les fichiers d’un appareil à l’autre, au bureau, à la maison, sur l’ordinateur de collègues... Les clés USB profitent ainsi d’une approche embarquée du chiffrement : un disque qui contient à la fois des données chiffrées et un exécutable portable capable de monter/démonter et lire/écrire les données. 

Avec les éditions Business et Ultimate de Windows 7, BitLockerToGo permet de chiffrer les clés USB. Et cette fonction crée toute une série de fichiers sur la clé : le lecteur BitLockerToGo.exe, un fichier d’autoexécution pour lancer le lecteur à l’insertion de la clé, et les fichiers système permettant de créer un volume chiffré en AES. Les documents copiés sur le disque sont stockés dans ce volume chiffré qui ne peut être ouvert que sur un PC sous Windows XP/Vista/7 à l’aide du mot de passe défini par l’utilisateur. 

Répondre aux besoins métiers 

Des logiciels gratuits tels que BitLockerToGo, TrueCrypt (en mode Traveler Disk), et CryptArchiver Lite permettent à des individus de protéger aisément leurs clés USB. Les entreprises peuvent également définir comment ces outils peuvent être utilisés. Par exemple, les entreprises peuvent utiliser les règles de BitLockerToGo pour interdire la copie de fichiers depuis un poste de travail sur des clés USB non chiffrées. Et même définir des règles de complexité minimales pour les mots de passe utilisés pour le chiffrement. 

Toutefois, les entreprises devraient s’intéresser aux programmes commerciaux pour répondre aux besoins de vastes équipes transportant des données sensibles sur des clés USB. Des produits d’entreprise pour la sécurité des médias amovibles capables de chiffrer n’importe quelle clé USB sont proposés notamment par BitArmor Systems, Check Point Software, Credant Technologies, GuardianEdge Technologies, McAfee, PGP, Sophos, Symantec, etc. D’autres proposent même des clés USB embarquant directement le chiffrement : Corsair, IronKey, Kanguru Solutions, Kingston Technology, SanDisk, Verbatim, etc. Les prix, performances et fonctions associés à ces produits d’entreprise varient largement. Voici une série de question à poser avant d’acheter :

  1. Sécurité physique : avez-vous besoin de disques durcis, dans des boîtiers anti-effraction ? Les règles internes ou les standards réglementaires imposent-ils certaines origines géographiques pour les composants ou l’assemblage ?
  2. Chiffrement : le produit utilise-t-il un chiffrement matériel ou logiciel ? Quels sont les algorithmes et les longueurs de clés supportés ? Avez-vous besoin d’une certification FIPS 140-2 ou Common Criteria EAL ?
  3. Clés : comment les clés de chiffrement sont-elles générées, stockées, révoquées et récupérables ? Peuvent-elles être stockées dans un coffre-fort physique ? Si les clés sont diffusées par Internet, sont-elles protégées d’une éventuelle interception ? Est-ce que la révocation fonctionne hors ligne ?
  4. Authentification : le conteneur peut-il être verrouillé par un code personnel, un mot de passe, une carte à puce, une authentification forte, un SSO ? Quelles règles peuvent être appliquées ? Comment peut-on lutter contre des attaques en force brute ou des enregistreurs de frappe clavier ? (par exemple : effacement à distance, clavier virtuel, etc.).
  5. Périmètre : le chiffrement s’applique-t-il à tous les fichiers du disque ou simplement à des dossiers sécurisés ? Les utilisateurs doivent-ils partager précisément des dossiers ou des fichiers chiffrés avec d’autres utilisateurs et groupes identifiés ?
  6. Utilisation : est-ce que les utilisateurs peuvent fournir un accès en lecture uniquement à des tiers ? Ont-ils besoins d’un accès en lecture et en écriture dans un environnement sécurisé auto-contenu ? Acceptez-vous l’idée d’un accès hors ligne non supervisé aux données, et pour quelle durée ?
  7. Intégrité : le disque peut-il fournir une protection intégrée contre les logiciels malveillants, que ce soit contre l’infection ou la propagation, indépendamment de l’hôte ?
  8. Portabilité : quels sont les systèmes d’exploitation et de fichiers supportés pour l’initialisation du disque chiffré, pour la création ou la suppression de fichiers, la lecture et l’écriture de données, ou pour l’exécution des utilitaires associés ?
  9. Initialisation : des outils sont-ils proposés pour accélérer et simplifier la détection de clés USB, leur activation et leur provisioning ? Avez-vous besoin d’autoriser ou d’interdire l’activation d’un disque suivant son type, sa marque, son modèle, son numéro de série, l’utilisateur ou son groupe, et tout autre critère dans vos règles de sécurité ?
  10. Administration : est-ce que le produit permet de centraliser l’audit et/ou la mise à jour des règles de chiffrement sur les appareils, les clés de chiffrement, le firmware ?
  11. Reporting : le produit peut-il envoyer à un serveur central des relevés d’état sur le disque, les règles, les données, pour vérification de la conformité et à des fins de reporting ? L’état de chiffrement est-il suffisant ou les règles internes ou légales nécessitent-elles de suivre et de rapporter sur les activités relatives aux fichiers et aux dossiers ?
  12. Intégration : comment le produit de chiffrement s’intègre-t-il à l’infrastructure existante - comme les dossiers des postes de travail - et à d’autres outils de sécurité - contrôle des ports, chiffrement du disque du poste de travail, etc. - en place dans l’entreprise ?

Chaque entreprise a des besoins différents. Par exemple, l’authentification Active Directory est critique pour certaines alors que c’est un non-sens pour d’autres. Toutefois, des questions telles que celles évoquées ici peuvent aider toutes les entreprises à choisir une solution de chiffrement des clés USB adaptée, qu’elle soit conçue pour les besoins d’un particulier, d’une PME ou d’une grande entreprise. Par Lisa Phifer, présidente de Core Competence, un cabinet de conseil sur l’utilisation des technologies réseau et de sécurité émergentes. Initialement publié par SearchSecurity.com Adapté de l’anglais par la rédaction

Le chiffrement des clés USB pourrait soigner l’inattention des utilisateurs

Un parcours rapide des annonces sur eBay montre que l’on peut désormais acquérir une clé USB d’entrée de gamme de 32 Go pour quelques dizaines d’euros. Ne parlons même pas des modèles 4 Go ni des 1 Go qui sont quasiment donnés. Mais cela cache un problème : les clés USB sont si peu chères que, dans l’esprit de chacun, en perdre une n’est pas bien grave; c’est comme perdre un stylo à bille; cela ne vaut même pas le coup de le chercher. Mais si les clés USB, en elles-mêmes, n’ont quasiment plus aucune valeur vénale, les données qu’elles recèlent peuvent avoir une valeur considérable - informations clients, données médicales, propriété intellectuelle... Ajoutons à cela le danger qu’une clé USB infectée par un logiciel malveillant peut faire courir à une organisation en étant connectée à l’un des postes de travail et le cocktail devient très préoccupant. 

Le fabricant suédois de clés USB BlockMaster a conduit, en 2010, une étude auprès de 1000 travailleurs de bureau à Londres au sujet de leurs habitudes vis-à-vis des clés USB : les trois quarts des sondés ont indiqué que s’ils trouvaient une clé USB quelque part, ils la brancheraient sans hésiter sur leur poste de travail, quitte à ouvrir le réseau de l’entreprise à un éventuel logiciel malveillant. Et 20 % des sondés ont indiqué avoir perdu une clé USB contenant des données sensibles non protégées. «C’est inquiétant alors que de nombreux virus peuvent s’exécuter automatiquement depuis une clé USB dès qu’elle est branchée à une ordinateur... et ainsi causer de vastes dégâts sur le réseau de l’entreprise », expliquait alors Anders Kjellander, directeur sécurité de BlockMaster. 

«Et même si les clés USB non protégées ne sont pas infectées par des virus ou par des vers, elles peuvent contenir des données sensibles.» 

Mais où finissent les clés perdues ? Des études antérieures suggèrent qu’un bon nombre d’entre elles terminent sur les banquettes arrières des taxis, parmi de nombreux téléphones, agendas électroniques et ordinateurs portables. Mais une autre étude lève le voile sur une autre facette des utilisateurs de clés USB. 

Credant Technologies, qui se spécialise dans la sécurité du terminal, a sondé 500 teinturiers au Royaume-Uni entre décembre 2010 et janvier 2011. Le pays en compte 4 500 en tout et les résultats de l’étude ont été extrapolés à partir de la base initiale. Au final, plus de 17 000 clés USB auraient atterri chez des teinturiers en 2010, outre-Manche. 

Ces deux études soulignent un problème qui pourrait s’avérer très onéreux pour les entreprises, tant en termes de réputation que d’amendes prononcées par la Cnil britannique si des données personnelles venaient à être découvertes sans protection suffisante sur des portables, des clés USB ou tout autre appareil perdu. 

En février 2011, la Cnil britannique a ainsi prononcé des amendes contre deux conseils régionaux ayant manqué à leur devoir de protection de données personnelles sur des ordinateurs portables. L’un d’entre eux s'est même s’engagé par écrit à renforcer les politiques de sécurité appliquées aux données personnelles. Par Ron Condon, responsable du bureau britannique de SearchSecurity.com Adapté de l’anglais par la rédaction.

Banca Etruria chiffre les données de ses postes les plus sensibles

photo

«Nous avions besoin d’augmenter le niveau de sécurité de données de la banque, en interne comme en externe,» explique très simplement Carlo Bernardini, co-directeur de la sécurité des systèmes d’information de Banca Etruria, à Arezzo, près de Florence. Un besoin notamment lié au développement d’une nouvelle population au sein de la banque : «des consultants équipés d’un ordinateur portable contenant des informations sensibles et qui vont en clientèle. Il nous fallait sécuriser ces données alors qu’elles sont en outre susceptibles de transiter sur des réseaux ouverts.» 

Mais ce n’est pas tout. L’arrivée de la mobilité dans l’entreprise a amené une révision de l’approche de la sécurité sur certains postes de travail fixes et un serveur de fichiers : «la proximité physique de la machine, dans les murs de l’entreprise, pouvait donner l’impression de sa sécurité. Mais il s’agit de machines qui sont connectées au réseau de l’entreprise et nous devions donc mettre également ces données en sécurité.» Là, c’est donc quelques postes de travail et le serveur de fichiers du secrétariat général de l’entreprise qui sont sécurisés, le tout dans le cadre d’une démarche plus globale de développement de la culture interne de la sécurité informatique. 

Tout a commencé en 2007, à l’occasion d’un audit qui a joué le rôle de catalyseur : c’est à ce moment-là qu’est né «le bureau de la sécurité informatique. Avant notre approche était purement technique, matérielle et logicielle et n’intégrait pas la question des normes et des règlements ». Et encore moins celle de la culture des outils personnels. «Dès 2008, nous avons étendu notre approche avec l’objectif de transférer la culture de la sécurité aux processus métiers, progressivement, en faisant en sorte que chacun se l’approprie », explique Carlo Bernardini. 

Le chiffrement, comme rempart ultime

 p1090666

Le chiffrement a alors été retenu en raison de la «volonté de protéger les données les plus sensibles des attaques internes et externes, physiques comme logiques ». Ce sont les solutions du français Prim’X qui ont été retenues : «nous voulions une solution qui soit rapide à déployer et à prendre en main. Nous avons évalué plusieurs solutions, dont une avec protection par empreintes digitales. Mais c’était la machine qui était protégée; pas les données. ZoneCentral nous permet de cibler précisément les données à chiffrer et d’en verrouiller l’accès par carte à puce. Et l’ergonomie de la solution répond bien aux besoins, notamment en termes d’ergonomie pour les utilisateurs finaux.» 

Pour les ordinateurs portables des populations nomades, une autre solution de Prim’X a été retenue, ZoneExpress. Et celle-ci répond à un autre besoin : «chiffrer les données mais s’assurer que la machine reste disponible pour d’autres utilisateurs sans qu’ils puissent accéder aux données sensibles. Cela nous permet de banaliser les machines », explique Carlo Bernardini. D’autres points ont séduit ses équipes : «la possibilité de réinitialiser le mot de passe à distance, en self-service, sans avoir besoin de ramener la machine à Arezzo.» 

Pas de SSO... pour des questions de perception 

A ce jour, le chiffrement concerne relativement peu de postes - 6 postes fixes et 120 portables. Et s’il sont raccordés à un domaine de l’annuaire ActiveDirectory de l’entreprise, les politiques de sécurité «sont gérées poste par poste à partir d’un master. La gestion intégrée des politiques viendra plus tard ». La principale difficulté a concerné l’accompagnement des utilisateurs : «ils ont été confrontés à un nouveau mot de passe pour le chiffrement. Il a fallu l’expliquer et, surtout, faire passer l’idée de la robustesse du mot de passe. Il y a eu une phase d’apprentissage, pas à pas. Mais aujourd’hui, nous n’avons plus aucun souci.» Pourquoi alors ne pas avoir misé sur du SSO ? «On l’utilise déjà pour nos applications. Mais pas pour le chiffrement : la séparation des mots de passe contribue à renforcer la perception de la sécurité.» Une approche qui, si elle n’a pas le mérite de simplifier la vie des utilisateurs, a au moins celui de renforcer leur prise de conscience.

Pour le Clusif, la sécurité des SI des entreprises progresse « laborieusement »

Deux ans après, le Club de la Sécurité de l’Information Français (Clusif), continue de peiner à exprimer le moindre optimisme. Certes, « les entreprises continuent d’avancer dans la prise en compte de la Sécurité des Systèmes d’Information »... mais les « changements concrets se font à petits pas ». Le ton est ainsi donné pour une édition 2010 de l’étude bi-annuelle du Clusif sur les pratiques de sécurité informatique des entreprises de l’hexagone. Une étude dont certains retiendront un signe négatif : celui du rattachement croissant du RSSI à la DSI plutôt que directement à la direction générale. 

En juin 2008, à l’occasion de la présentation des résultats de l’étude du Clusif sur les pratiques des entreprises françaises en matière de sécurité des systèmes d’information (SSI), Laurent Bellefin, directeur de la practice Sécurité de Solucom, soulignait « un inquiétant sentiment de stagnation », par rapport à l’édition 2006 de cette même étude. 

Deux ans plus tard, la prise de conscience espérée ne semble pas avoir eu lieu, malgré les appels répétés, y compris de la part de l’Etat, par la voix de sa jeune agence dédiée, l’Anssi. Pour son étude, la Clusif s’est appuyé, cette année, sur un échantillon comparable à celui de l’édition précédente : 350 entreprises de plus de 200 salariés sondées entre janvier et février 2010. Ces entreprises se veulent à peu près représentatives du tissu économique français, selon les statistiques de l’Insee, avec, seulement, une représentation un peu plus forte des entreprises de plus de 1000 salariés côté Clusif, et un peu plus faible de celles de 200 à 499 salariés. Le secteur d’activité des transports et des télécoms est en outre un peu plus représenté dans l’échantillon du Clusif que dans le tissu économique national. 

Dépendants mais... inconscients ?

Le premier enseignement de l’étude n’est pas surprenant : 80 % des sondés se disent fortement dépendants de l’informatique en matière de sécurité - contre 1 % faiblement et 19 % modérément -, avec un budget informatique moyen de 1,45 M€. Le premier bémol tombe là : 30 % des sondés ne sont pas capables d’indiquer la part de la sécurité dans leur budget informatique. 

Pour autant, pour la majorité des cas, le budget SSI est perçu comme stable. Avec néanmoins un sentiment d’augmentation pour 61 % des sondés des entreprises du BTP, et 43 % dans le secteur des transports et des télécoms. Pour autant, à 45 %, les sondés évoquent le manque de budget comme premier frein à la conduite de leurs missions de sécurité, suivi des contraintes organisationnelles, à 30 %, et encore de la réticence de la hiérarchie, des services ou des utilisateurs, à 24 %. Sans un certaine pointe d’humour, le Clusif insiste sur la contrainte budgétaire, lançant : « nous n’avons pas fini de nous alarmer...»

Le Cloud « n’est donc pas encore mature... »
Le Cloud, un simple buzz word ? Pour l’heure, oui, du moins pour les entreprises françaises et selon le Clusif. De fait, 64 % des sondés n’ont pas placé ne serait-ce qu’une partie de leur SI sous contrat d’infogérance, contre 63 % en 2008... Mais, pour ceux qui ont décidé d’externaliser une partie de leur SI, la maturité progresse : 66 % des personnes concernées exercent un suivi régulier de cette infogérance par des indicateurs de sécurité, contre 58 % il y a deux ans. Mais les audits restent limités : 43 % des sondés concernés n’en effectuent aucun.
Cliquez pour dérouler

Mais si les moyens ne suivent pas, la formalisation des politiques de sécurité est-elle au moins au rendez-vous ?  Oui, majoritairement, à 63 % - contre 55 % en 2008. Mieux, elles sont totalement soutenues par la direction générale dans 73 % des cas, contre 59 % il y a deux ans. Mais, dans la définition de ces politiques, c’est encore l’amateurisme qui domine : ces politiques ne s’appuient sur aucune norme dans 41 % des cas. Il faut tout de même relever la forte poussée des normes ISO 2700x, exploitées dans 24 % des cas, contre 17 % il y a deux ans.

Le véritable blocage tient peut-être à l’organisation. Dans 51 % des cas, la fonction de RSSI n’est pas clairement identifiée et attribuée - contre 61 % il y a deux ans. Et lorsque la mission SSI est identifiée, mais qu’il n’existe pas de RSSI, la mission est tantôt confiée au DSI, tantôt à un autre membre de la direction informatique, pour l’essentiel. Et si, il y a deux ans, le RSSI était, dans 45 % des cas, rattaché à la direction générale, il ne l’est plus que dans 34 % des cas. Dans 36 % des cas, il rapporte à la DSI voire, dans 12 % des cas, à la direction administrative et financière.

Enfin, si le Clusif se satisfait de constater que « près de 80 % des entreprises ont en permanence une équipe sécurité [...] dans 61 % des cas, le RSSI est encore un homme ou une femme seul(e) ou en binôme seulement. » Bref, pour le Club, c’est clair, « les moyens humains [...] apparaissent en retrait de ce qui pourrait être attendu au regard de la dépendance exprimée [...] vis-à-vis du SI». 

Le lourd défi d’inventaire

 Mais ce n’est pas tout. Sans qu’il soit possible de savoir si c’est le fruit d’un manque de moyens ou de lourdeurs organisationnelles, force est de constater que seuls 30 % des sondés ont totalement inventorié leurs informations et identifié leurs propriétaires. Contre 34 % qui n’ont pas même commencé. Surtout, selon l’étude, « une grande majorité utilise une échelle [de classification de l’information selon son niveau de sensibilité, NDLR] disposant d’un nombre impair de niveaux, ce qui offre toujours la possibilité d’utiliser un niveau médian, donc non signifiant».

La culture du secret, ce mal français...
Selon l’étude du Clusif, 52 % des entreprises disposent d’une cellule de collecte et de traitement des incidents de sécurité. C’est mieux qu’il y a deux ans - 39 % -, mais encore peu. Reste que « les incidents liés à l’informatique sont en quasi-totalité collectés (94 %) » mais 90 % des entreprises se refusent encore à porter plainte suite à des incidents liés à la sécurité de l’information... : «le dépôt de plainte comporte un risque d’atteinte à l’image des entreprises qui souhaitent éviter de défrayer la chronique avec des incidents de sécurité impliquant parfois les données de leurs clients, employés, fournisseurs ou partenaires», souligne le Clusif. En attendant, 40 % des sondés disent avoir été infectés par des virus, 8 % avoir subi une intrusion, 6 % avoir été victime d’une attaque logique ciblée, ou encore 3 % de fraudes informatiques. Là, la bonne nouvelle, c’est l’amélioration de qualité du code informatique : seulement 24 % des sondés se déclarent avoir été soumis à un incident de sécurité lié à des erreurs de conception, contre 34 % en 2008, et 58 % en 2006.
Cliquez pour dérouler

Faut-il y voir un lien ? Toujours est-il que, plus loin, le Clusif s’inquiète de « l’absence d’évolution du côté du contrôle des accès » logiques. Et relève même une « léthargie étonnante » sur le terrain de la gestion des habilitations. Pas étonnant, dans ce contexte, que 74 % des sondés déclarent ne pas utiliser de solution de DLP - prévention des fuites de données.

Pas étonnant, non plus, qu’en l’absence de connaissance et de maîtrise sur les flux de données internes et leur légitimité, l’entreprise française ait des airs de bunker : dans 69 % des cas, l’accès au SI par un poste non contrôlé est interdit; de même, dans 46 % des cas, depuis un PDA ou un smartphone; ou encore, dans 43 % des cas, via WiFi. Les messageries instantanées sont prohibées dans 75 % des cas. La ToIP et la VoIP restent interdites dans 43 % - contre 63 % il y a deux ans, tout de même. Quoiqu’il en soit, pour un jeune technophile - la fameuse génération Y -, rien de tout cela ne risque de sembler très attractif... 

Une protection encore limitée

Il faut dire que, outre les traditionnels anti-virus et antispam, la protection du poste de travail semble pour le moins négligée... Le contrôle des périphériques n’est pas exploité par 50 % des sondés; le chiffrement des échanges par 44 %; le pare-feu personnel par 62 %, le chiffrement des données locales par 54 %... De là à dire que le poste de travail français est une passoire... Plus préoccupant, le réseau, s’il est largement protégé par un pare-feu, ne semble pas extrêmement mieux loti. Certes, l’adoption des IDS/IPS a progressé en deux ans. 

Comme le relève le Clusif, le chemin à parcourir reste important avec 48 % des entreprises qui restent fermées aux IDS, ou encore 54 % aux IPS. Restent quelques points positifs, comme la forte progression de la veille et de la formalisation des procédures de déploiement des correctifs de sécurité - qui atteint désormais 64 %. 

Au final, c’est un tableau relativement sombre que dresse le Clusif. Et de souligner, en particulier, que 33 % des entreprises «ne disposent toujours pas d’un plan de continuité de l’activité pour traiter les crises majeures», ou encore que la conformité avec les «obligations CNIL» doit encore faire l’objet de «progrès» - 68 % des entreprises se conforment; 20 % limitent la conformité aux traitements de données sensibles... -. Enfin 25 % des entreprises «ne font toujours pas d’audit de sécurité» et «seulement» 34 % des entreprises disposent d’un tableau de bord de la sécurité du SI. 

En France, le chiffrement protège de la loi, pas du ridicule

Une étude de Ponemon Institute, financée par Symantec, révèle un paradoxe français. Si les organisations déploient des solutions de chiffrement pour protéger leurs données, c'est avant tout pour se protéger du législateur. Pas pour renforcer la confiance des consommateurs et partenaires de l'entreprise. Car, en cas de perte ou vol de données, rien n'oblige une entreprise à prévenir quiconque de ses déboires. 

Financée par Symantec, une étude du Ponemon Institute sur les pratiques en matière de cryptage dans les entreprises françaises détaille les motivations des organisations à déployer ce type de technologies. Sans surprise, et faute d'une loi obligeant les organisations à rendre publics leurs pertes ou vols de données, la conformité réglementaire - avant tout à la loi Informatiques et libertés - apparaît comme la principale raison poussant les entreprises hexagonales à mettre en place des mesures de chiffrement. 

Cette motivation est en effet avancée dans les trois-quarts des cas - 76 % -, loin devant la lutte contre les pertes de données (citée par 32 % des 420 managers IT ou techniciens interrogés). Cette dernière n'arrive qu'au quatrième rang des motivations dans les entreprises françaises, même si elle gagne 6 points en un an. En troisième position (à 39 %), figure, il est vrai, la volonté de protéger l'image de marque de l'entreprise en cas de vol ou perte de données. Par contre, utiliser le chiffrement pour ne pas avoir à notifier des employés ou des clients d'une perte de données ne fait pas recette dans l'Hexagone. L'item, proposé par Ponemon, recueille... un beau 0 %. 

Comme l'explique Jamie Cowper, un ex-PGP (le spécialiste du chiffrement racheté en juin par Symantec), alors que 69 % des entreprises françaises ont connu une perte ou un vol de données au cours des 12 derniers mois - souvent consécutivement à la disparition d'un portable -, dans plus de neuf cas sur dix, l'entreprise concernée n'a prévenu... personne de ses déboires. Un chiffre qui reste stable par rapport à 2009. "C'est évidemment bien plus qu'aux Etats-Unis ou en Grande-Bretagne où des contraintes légales obligent les entreprises à dévoiler les pertes ou vol de données", explique Jamie Cowper. 

Des menaces ressenties comme de plus en plus réelles 

Du coup, 56 % des responsables IT français peuvent affirmer benoîtement que le chiffrement ne renforce pas la confiance des partenaires et des consommateurs. Ils sont tout de même 40 % à penser le contraire. Des proportions globalement stables par rapport à l'étude de 2009. Ce constat ne signifie pas que les managers français sous-estiment les risques liés aux données. Ils sont ainsi près de 8 sur 10 à considérer la protection des données comme un élément important de la gestion des risques. 

Et leur perception des menaces laisse également apparaître des inquiétudes allant croissantes. Usage de plates-formes Cloud non sécurisées, connexion d'un terminal mobile corrompu sur les systèmes d'information, cyber-attaques, accès non autorisés de tiers sur des plates-formes virtualisées, espionnage économique : toutes ces menaces sont ressenties comme bien plus lourdes qu'en 2009 par les personnes interrogées. Et, globalement, les conséquences de ces événements sont perçues comme plus graves qu'en 2009 (notamment les cyber-attaques, l'accès de terminaux mobiles non sécurisés et l'espionnage économique). 

Au cours de l'année écoulée, 85 % des entreprises françaises ont terminé au moins un projet de chiffrement, 4 points de plus qu'en 2009. Et 34 % des organisations ont mis sur pied un programme de déploiements concernant les technologies de chiffrement (+ 5 points en un an). 

Parmi les technologies déployées, le cryptage de bases de données demeure en tête, suivi de près par le chiffrement des serveurs de fichiers, l'utilisation de réseau privé virtuel (VPN) et le cryptage de disques et d'emails. Dans ces projets, les organisations considèrent que les sujets relatifs à la gestion des clefs de chiffrement sont centraux. La capacité à disposer d'une solution automatique pour administrer ces clefs est d'ailleurs citée par 60 % des personnes interrogées comme une des fonctions importantes des solutions de chiffrement. 

Prise en main : le disque dur chiffré Globull de Bull 

Lancé il y a trois ans, Globull, c’est la réponse de Bull, l’industriel français, aux besoins de sécurisation des données de certains professionnels [ et notamment de fonctionnaires français semble-t-il, NDLR]. Dans l’encombrement d’un disque dur externe 2,5 pouces, Globull embarque en fait un disque dur 1,8 pouces de 60 Go. Le reste de l’espace interne est consacré à l’électronique de chiffrement/déchiffrement, une puce programmable FPGA qui assure le chiffrement/déchiffrement AES 256 bits du contenu du disque, à la volée, avec un débit utile de 100 Mbps sur l’interface USB.

 p10http://beta.lemagit.fr/wp-content/uploads/2012/04/fprglu3v5bluqijrsc3aji27zxozvr2q.jpg

Un mot de passe à saisir directement sur l’appareil

Simple disque dur ou ressource plus évoluée, Globull se distingue de bon nombre de disques externes sécurisés en imposant une saisie directe du mot de passe sur l’appareil, via quatre petites touches sensitives avec lesquelles l’utilisateur déplace un curseur sur l’écran du disque dur. Ce dernier affiche pendant ce temps un clavier virtuel. La validation de la saisie de chaque caractère du mot de passe se fait en appuyant sur une cinquième touche sensitive : le mot « globull ». « Un bon moyen de se protéger des logiciels malveillants de type keylogger », explique Emmanuel Forgues, chef de produit Globull : « on n’installe rien sur le poste de travail, ni DLL, ni logiciel pour s’authentifier, etc. » 

La saisie du mot de passe doit se faire dès la connexion du disque dur à un ordinateur. Faute de quoi son contenu restera inaccessible – « chaque secteur du disque est chiffré avec une clé AES 256 bits différente », explique Emmanuel Forgues. Le mot de passe peut être personnalisé par l’utilisateur. Mais, en premier lieu, il est défini par l’administrateur système, qui procède à la première personnalisation de l’appareil via un logiciel, sur son poste de travail. L’administrateur dispose d’un mot de passe pour accéder aux données de l’appareil et permettre à l’entreprise de répondre à ses impératifs légaux de recouvrement. « Mais les objets stockées dans le processeur de crytographie, les clés, les certificats, etc. » restent inaccessibles à l’administrateur. 

Comme un disque de démarrage 

Le Globull est un support de stockage, mais il peut également être utilisé comme support de démarrage pour PC acceptant de fonctionner à partir d’un périphérique USB. Dès la mise sous tension, le Globull demande alors à son utilisateur son mot de passe, son code PIN. Une fois entré le sésame, le logiciel d’amorçage bien connu des utilisateurs de Linux, Grub, prend le relais : il active un environnement d’exécution portable, installé sur le disque dur, et disposant de plusieurs profil de connexion réseau pour bien s’adapter à différents contextes d’utilisation – bureau, maison, itinérance, etc. 

Mais cet environnement de travail, quel est-il ? C’est Windows XP… sous VirtualBox [La licence Windows XP n’est pas fournie par Bull, NDLR], l’outil gratuit de virtualisation de Sun pour poste de travail, et complété par l’anti-virus DoctorWeb. L’instance de Windows XP en question est bien exécutée à partir du Globull ; il ne s’agit pas du Windows éventuellement installé sur l’ordinateur hôte. Notons également que Globull peut démarrer un PC sous Linux, avec la distribution Mandriva, qu’il embarque (Mandriva One avec KDE 3.5). Mais Emmanuel Forgues assure qu’il est également possible de préparer l’appareil sous Mac OS X pour l’utiliser comme disque de démarrage externe chiffré pour un Macintosh. 

A noter que c’est l’administrateur, au moment de la personnalisation de l’appareil, qui définit les différents volumes logiques – jusqu’à 4, avec des propriétés spécifiques (public, privé, protégé en écriture, etc.) - que devra présenter le Globull au système hôte. Même les volumes dits publics, à savoir accessibles sans mot de passe, sont chiffrés sur le disque dur.

 p10http://beta.lemagit.fr/wp-content/uploads/2012/04/gfmyviwoqqqsn72wwlzkgcvwol7eiuou.jpg

D’abord une ressource de chiffrement 

Pour Bull, Globull reste d’abord et surtout une ressource de chiffrement. « On peut y stocker tous ses certificats, des clés », explique Emmanuel Forgues, chef de produit Globull : signatures MD5, SHA-1, PSS, etc. Globull peut aussi générer des clés RSA, DES3, AES, SHA-1… Pour stocker des objets dans la mémoire du processeur cryptographique, il faut une application compatible PKCS11. 

Surtout, basé sur une puce FPGA, le Globull est susceptible d’évoluer pour offrir et supporter de nouvelles fonctionnalités. Déjà, son logiciel interne supporte le reverrouillage des volumes logiques privés lors d’une simple éjection logicielle – sans coupure de l’alimentation –, une capacité rare sur le marché et qui était absente de la précédente version.

 

A lire, sur le même sujet...
Clé USB sécurisée de MXI : prise en main Les clés USB sécurisées ne connaissent pas la crise Bull tente de populariser le concept de disque dur nomade sécurisé

Pour approfondir sur Protection du terminal et EDR