Getty Images/iStockphoto
Stockage : Les 7 bonnes pratiques pour chiffrer un NAS
Les NAS sont les cibles privilégiées des attaques par ransomware. Il est donc particulièrement important de chiffrer leurs contenus. Cet article explique comment bien s’y prendre.
Le chiffrement est l’un des moyens les plus efficaces pour protéger les données stockées sur des NAS. Même si des cybercriminels parviennent à accéder aux disques ou à intercepter les communications à destination ou en provenance de ces équipements, le chiffrement rend les données illisibles pour quiconque ne dispose pas de la clé de déchiffrement. Accessoirement, le chiffrement contribue à se conformer aux exigences réglementaires, comme le RGPD.
En revanche, le chiffrement des NAS peut être un processus complexe. S’il n’est pas exécuté correctement, il peut mettre en péril des données sensibles. Cet article liste les sept bonnes pratiques à suivre pour réussir le chiffrement des NAS.
1/ Ne chiffrez que ce qui est nécessaire
Le chiffrement et le déchiffrement des données sont susceptibles de ralentir les performances, parfois de manière significative si le NAS ne dispose d’aucun dispositif d’accélération. Le chiffrement peut également rendre les techniques de réduction des données moins efficaces.
Par conséquent, ne chiffrez que les données qui ont besoin d’être protégées. Classez les données par ordre de priorité en fonction de leurs exigences en matière de confidentialité. Pour vous aider à les hiérarchiser, imaginez les répercussions que pourrait avoir la compromission de chaque type de données.
2/ Chiffrez les données sensibles « au repos »
Les données « au repos » font référence aux données stockées sur le NAS, par opposition aux données en cours de transmission entre deux appareils. Chiffrer ce qui est stocké sur les disques du NAS évite de devoir se soucier qu’un pirate parvienne à contourner les restrictions d’accès ou que quelqu’un dérobe le NAS lui-même.
Les NAS proposent tous des fonctions de chiffrement. Prêtez attention à choisir des niveaux de chiffrement validés par les réglementations auxquelles vos données sont soumises. Généralement, vous préférerez utiliser l’AES 256 bits. Pensez à chiffrer les métadonnées en même temps que les données auxquelles elles correspondent.
3/ Utilisez des protocoles de transfert chiffrés
Les données en transit sur les liens réseau sont exposées à des menaces comme l’écoute clandestine et le détournement des paquets TCP/IP. Si ces données ne sont pas chiffrées par le protocole de transmission, des cybercriminels peuvent y accéder avec plus de facilité.
Le chiffrement des données lors de leur transmission est généralement recommandé lorsque ces données sont communiquées au-delà du pare-feu qui protège le réseau de l’entreprise. Pour autant, il faut considérer que les menaces internes existent : sans même parler d’un collaborateur malhonnête, un collègue négligent constitue une faille de sécurité.
Chiffrer des données en mouvement revient à utiliser les bons protocoles au niveau de la couche de transport. Pensez par ailleurs, à fermer sur le NAS tous les ports des protocoles de communication que vous n’utilisez pas. Si les processus de sauvegarde utilisent leurs propres ports, veillez à ce qu’ils soient configurés pour utiliser eux aussi un protocole chiffré.
4/ Chiffrez les sessions administrateur
Les administrateurs accèdent régulièrement à leurs systèmes NAS pour configurer et contrôler les composants de stockage, en se connectant parfois aux systèmes à distance. Leur accès est tout autant vulnérable aux attaques que les autres types de communication. Les pirates peuvent intercepter les données de la session et accéder à l’environnement NAS lui-même, d’où ils modifieront les autorisations, voleront des informations sensibles, introduiront des logiciels malveillants ou détruiront les données.
Chiffrez toujours les sessions administrateur pour éviter les violations de données et autres risques, que les administrateurs se connectent via des API, des interfaces en ligne de commande ou d’autres outils clients.
5/ Utilisez des réseaux privés virtuels (VPN)
Un VPN fournit une connexion chiffrée aux accès qui transitent par Internet. Il dissimule les détails de la session et ajoute une couche supplémentaire de protection pour les systèmes clients qui communiquent à distance avec les NAS. Comme un VPN déguise l’identité et l’activité en ligne d’un utilisateur, il est plus difficile pour les pirates de voler des données ou de compromettre des systèmes – ou même de déduire le contenu d’une session ou le type de données. Les VPN ont gagné en importance depuis la pandémie de COVID-19, car ils servent idéalement les collaborateurs qui travaillent depuis leur domicile.
6/ Mettez en œuvre une gestion centralisée des clés
La plupart des méthodes de chiffrement reposent sur des clés cryptographiques pour le chiffrement et le déchiffrement des données. Par conséquent, il faut intégrer la gestion des clés dans la stratégie de chiffrement du NAS. Les clés cryptographiques doivent être correctement générées, distribuées, stockées et, le moment venu, détruites. Ce processus nécessite un système de gestion des clés centralisé qui conserve les clés et les protège contre tout accès non autorisé.
Sans ce système, les clés pourraient être compromises, ce qui permettrait à des personnes non autorisées de se faire passer pour des utilisateurs, d’accéder à des données sensibles, d’intercepter des messages ou d’effectuer toute une série d’autres actes répréhensibles. La gestion des clés doit également tenir compte des réglementations applicables, notamment les lois sur la protection des données et les lois relatives à l’importation et à l’exportation de technologies de chiffrement.
7/ Ne comptez pas uniquement sur le chiffrement pour protéger les données sensibles
Le chiffrement est l’un des principaux mécanismes disponibles pour protéger les données sensibles, mais ce n’est pas le seul outil. La protection des données nécessite plusieurs couches de sécurité pour se prémunir efficacement contre les compromissions.
En effet, si vous avez suivi toutes les bonnes pratiques qui précèdent, lorsque l’un de vos collaborateurs se connectera au NAS et accédera à ses données, celles-ci seront déchiffrées à la volée et présentées en texte clair afin qu’il puisse travailler dessus. Mais si un cybercriminel obtient d’une manière ou d’une autre les identifiants de connexion de cet utilisateur, alors il pourra accéder au réseau et consulter de la même manière toutes ses données, qu’elles soient chiffrées ou non.