7 clefs pour comparer les outils professionnels de chiffrement de disque dur

Ce « mode d’emploi » revient sur les 7 critères qui permettent de déterminer quel produit de chiffrement complet de disque est le mieux adapté à votre entreprise.

Le chiffrement complet de disque (ou FDE pour Full disk encryption) est largement utilisé sur un grand nombre de systèmes d'exploitation de postes de bureau et d'appareils mobiles. Cette technologie chiffre l'intégralité des données d'un disque dur au repos pour sécuriser les informations importantes et empêcher les failles.

Il existe différents types de logiciels de chiffrement complet de disque. Certains sont couplés à un logiciel de sécurité, d'autres sont autonomes, et d'autres encore sont intégrés au système d'exploitation (OS, Operating System).

Le présent article traite des solutions non couplées (autonomes, intégrées au système d'exploitation). Pour autant, cela ne veut pas dire que les autres solutions sont moins intéressantes. En revanche, elles demandent plus de critères d'évaluation qu'une solution FDE seule.

Voici les cinq principaux produits FDE commercialisés : Check Point Full Disk Encryption, Dell Data Protection | Encryption, McAfee Complete Data Protection, Sophos SafeGuard et Symantec Endpoint Encryption (notez que le produit Dell peut être utilisé sur du matériel Dell et non Dell).

Il existe également plusieurs solutions FDE open source, comme DiskCryptor. Enfin, il existe des solutions intégrées au système d'exploitation, comme Apple FileVault 2 et Microsoft BitLocker.

Ces solutions FDE sont largement répandues. Quant aux produits FDE en général, ils existent depuis plusieurs années. Tous ces produits fournissent des fonctions FDE élémentaires permettant de protéger les données au repos sur les ordinateurs de bureau et portables, ainsi que sur certains périphériques mobiles.

Certains produits peuvent également s'utiliser sur des serveurs, mais leurs cibles principales restent les ordinateurs de bureau et portables. Le présent article couvre donc uniquement ces dernières plateformes.

Les entreprises peinent parfois à trouver la solution adaptée dans la multitude de produits FDE disponibles. Heureusement, nombre d'entre eux sont parvenus à maturité et sept critères permettent de départager les produits FDE.

Premier critère : déploiement des périphériques

On pourrait penser que la solution FDE intégrée au système d'exploitation présente un avantage certain pour le déploiement des périphériques, du fait de son installation au niveau de l'OS. Ce n'est pourtant pas le cas.

Dans un déploiement FDE, la configuration du logiciel, et par la suite le maintien du verrouillage de cette configuration, sont souvent bien plus compliqués que l'installation du logiciel.

Si des utilisateurs peuvent modifier la configuration FDE, ils peuvent, volontairement ou non, affaiblir voire désactiver la technologie, jusqu'à la rendre inutilisable. Les utilisateurs peuvent également commettre un déni de service contre leurs propres systèmes en supprimant les clés de chiffrage ou en modifiant la configuration d'une façon ou d'une autre.

Les produits FDE commerciaux (prêts à l'emploi) peuvent être déployés à distance, ce qui évite à l'administrateur système une manipulation directe sur le périphérique de l'utilisateur final.

Outre un gain de temps précieux, cela peut répondre à une nécessité pour des utilisateurs distants (comme les télétravailleurs ou les personnes en déplacement de longue durée). Le logiciel Microsoft BitLocker intégré au système d'exploitation peut être géré via la stratégie de groupe. A l'instar d'Apple FileVault 2, il est toutefois conçu pour la gestion locale.

Les produits open source doivent généralement être installés et configurés localement. Par ailleurs, ils partent du principe qu'aucun utilisateur ne modifiera la configuration FDE.

Deuxième critère : gestion du produit

La gestion FDE ne se limite pas strictement à sa configuration. Elle comporte d'autres aspects, comme le changement des clés, le changement des mots de passe, l'installation de patchs et les mises à jour du chiffrement (par exemple, des clés plus longues ou de nouveaux algorithmes).

Quote « Le principal coût n'est pas lié au logiciel lui-même, mais à son administration »

Dans le cas de déploiement FDE en entreprise, on ne surestime jamais assez l'importance de la gestion centralisée. En effet, le principal coût d'une solution FDE n'est pas lié au logiciel lui-même, mais à son administration et à sa prise en charge.

Une solution dont le coût initial est peu élevé ne se révèle pas forcément économique à long terme. Les solutions open source ne disposent généralement d'aucune fonctionnalité de gestion centralisée, ce qui explique qu'elles sont parfois particulièrement onéreuses à administrer et à prendre en charge, notamment dans une entreprise de grande envergure.

Aussi surprenant que cela puisse paraître, les produits FDE fournis avec le système d'exploitation sont souvent considérés comme difficiles à administrer et sont complétés par d'autres produits FDE.

Certains produits commerciaux présentés dans cet article, comme Dell Data Protection | Encryption, McAfee Complete Data Protection et Sophos SafeGuard, peuvent venir compléter les fonctions de gestion du FDE fourni avec le système d'exploitation.

Ce cas de figure peut se révéler avantageux en termes de performances, car il est alors possible d'utiliser des fonctions FDE natives, tout en garantissant l'existence d'une infrastructure de gestion centralisée unique et robuste qui administrera à la fois FileVault et BitLocker.

Troisième critère : compatibilité

En termes de compatibilité avec leur environnement, les entreprises doivent surtout se demander comment une solution FDE gère un périphérique (en général, un ordinateur portable) qui entre en veille ou en veille prolongée.

La question est importante en cas de perte ou de vol d'un ordinateur portable qui serait dans l'un de ces modes. Si la solution FDE ne protège pas correctement le stockage, les données confidentielles peuvent être compromises.

La compatibilité n'est pas la même d'un produit à un autre et d'un système d'exploitation à un autre (et probablement même d'un environnement à un autre). Les entreprises ont donc tout intérêt à tester leurs propres périphériques avec chaque solution FDE envisagée, qu'il s'agisse d'une solution intégrée au système d'exploitation (Microsoft BitLocker, Apple FileVault 2), d'une solution tierce (Check Point Full Disk Encryption, Dell Data Protection | Encryption, McAfee Complete Data Protection, Sophos SafeGuard et Symantec Endpoint Encryption) ou d'une solution open source (DiskCryptor).

Elles connaîtront ainsi le comportement des différentes solutions FDE pendant les périodes de veille et de veille prolongée dans leur environnement spécifique.

Des conflits peuvent également se produire entre le logiciel FDE et les applications qui accèdent directement au disque dur : si certaines sont évidentes, comme les utilitaires de disque, d'autres le sont moins, comme certains programmes de gestion des actifs.

Les entreprises ont tout intérêt à tester chaque produit FDE envisagé avec les applications susceptibles d'accéder directement au disque dur. Elles pourront ainsi identifier les éventuelles incompatibilités et demander une solution au fournisseur des produits concernés.

Quatrième critère FDE : intégration du service d'authentification

Les entreprises sont généralement invitées à utiliser l'authentification multifacteur (MFA, MutiFactor Authentication) pour FDE. Les produits qui se contentent simplement de réutiliser l'authentification par mot de passe du système d'exploitation ne sont généralement pas acceptables.

Le logiciel FDE doit avoir sa propre authentification ou utiliser une solution MFA d'entreprise, comme Active Directory, des cartes à puces ou des jetons de chiffrement (de préférence ces derniers).

Tous les produits commerciaux mentionnés ici prennent en charge l'authentification MFA, y compris les cartes à puces et les jetons de chiffrement.

Notons que le chiffrement Dell Data Protection | Encryption prend également en charge les systèmes biométriques. Les options du service d'authentification sont assez limitées pour Apple FileVault 2 et Microsoft BitLocker, à moins d'adjoindre à l'un ou l'autre un produit tiers pour leur ajouter une couche fonctionnelle, notamment la gestion centralisée.

Cinquième critère : récupération des clés

La récupération des clés de chiffrement est une fonction de gestion FDE particulièrement importante, car en cas d'échec ou d'impossibilité de récupération des clés, l'utilisateur concerné risque de perdre définitivement l'accès à toutes ses données stockées localement.

Seuls les produits complémentaires commerciaux fournissent des fonctions évoluées et centralisées de récupération des clés. FileVault fournit ce service : une clé de récupération est stockée auprès d'Apple, et l'utilisateur peut appeler pour la récupérer.

Cependant, le fait qu'un tiers conserve des clés de chiffrement peut enfreindre les règles de sécurité des entreprises. Les entreprises qui évaluent les produits doivent donc être bien conscientes de l'emplacement de stockage des clés de récupération. Utilisé seul, Microsoft BitLocker ne propose pas la gestion centralisée des clés.

Les produits commerciaux prennent en charge la récupération centralisée des clés par les administrateurs. Certains, comme Check Point Full Disk Encryption et Symantec Endpoint Encryption, gèrent également la récupération en libre-service pour les utilisateurs. Il faut soigneusement évaluer la sécurité des options de récupération.

Par exemple, les produits de récupération en libre-service peuvent comporter des questions aux utilisateurs, comme leur couleur préférée ou le nom de leur animal domestique. Les questions de ce type peuvent être exploitées pour accéder illégalement à un mot de passe utilisateur et pour contourner le chiffrement FDE sur le périphérique de cet utilisateur.

Lors de l'évaluation des options de récupération, les entreprises doivent d'abord chercher à savoir qui récupère les clés : les utilisateurs, les administrateurs, ou les deux.

Sixième critère : atténuation de la force brute

Les atténuations les plus courantes des attaques de mots de passe par force brute allongent le délai entre les tentatives d'authentification, ce qui suspend lesdites tentatives pendant un certain temps ou efface le contenu d'un périphérique après un trop grand nombre d'échecs.

Ces atténuations sont encore plus utiles avec l'authentification (par mot de passe) à un seul facteur.

Mis à part Check Point Full Disk Encryption et Symantec Endpoint Encryption, aucun autre produit mentionné n'utilise les atténuations des attaques par force brute. Contactez le fournisseur pour obtenir des informations complémentaires.

Septième critère: chiffrement

Au stade actuel des technologies de chiffrement, les produits FDE utilisent généralement l'algorithme AES (Advanced Encryption Standard), de préférence avec une clé de 256 bits. Tous les produits mentionnés ici utilisent AES et gèrent les clés de 256 bits.

Il est conseillé, voire requis par certaines entreprises, d'évaluer formellement les produits pour déterminer la robustesse de leur chiffrement.

Un autre aspect à étudier concerne l'emplacement de stockage des clés de chiffrement : localement ou à distance, et dans le premier cas, à quel emplacement sur le périphérique.

Dell Data Protection | Encryption et Microsoft BitLocker, par exemple, peuvent utiliser un module de plateforme sécurisée (TPM, Trusted Platform Module) local pour protéger le stockage de manière robuste.

Si les clés sont stockées localement et si le stockage n'est pas correctement sécurisé, les agresseurs peuvent récupérer les clés, contourner la protection FDE et pénétrer le périphérique.

Conclusion

Tous les logiciels passés en revue dans cet article sont des produits de chiffrement FDE élémentaires. Ce qui caractérise essentiellement les produits pour un usage en entreprise, ce sont ses capacités globales de gestion des logiciels.

Par exemple, de nombreuses entreprises disposent déjà d'un logiciel FDE fourni avec le système d'exploitation, mais achètent tout de même des produits FDE tiers, car elles se heurtent à des difficultés de gestion.

Parallèlement, certains produits open source fournissent gratuitement une fonctionnalité FDE, mais aucune capacité de gestion. Ils sont donc adaptés à un usage individuel et à des systèmes uniques, mais non à un déploiement standard en entreprise.

Peu de produits commerciaux sortent réellement du lot. Chaque entreprise doit analyser les produits et déterminer celui qui répond le mieux à ses besoins. Bien souvent, il s'agira d'acheter un produit auprès du fournisseur qui a fourni les autres produits de sécurité de l'entreprise. Les entreprises devraient être à l'aise avec tous les produits commerciaux prévus pour un déploiement FDE à leur échelle.

Pour approfondir sur Backup