in Government, IT & Data security, Enterprise
,

Où se sont envolées vos données ?

Un employé civil de la police désactive les caméras de sécurité d’un entrepôt et vole des bandes d’enregistrement, mettant en danger les numéros d’identité et les données bancaires de 80 000 policiers ; un spécialiste important de l’informatique coupe un outil de sécurité électronique protégeant les informations personnelles de plus 13 000 personnes et apporte à sa société une amende de 275 000 $ de la US Federal Trade Commission. Ce ne sont pas seulement des scénarios cauchemardesques mais bien de réelles infractions provenant des récents rapports régulièrement ajoutés à une chronologie de violations recensées par la Privacy Rights Clearinghouse.

Le cryptage, qui constitue depuis longtemps un élément essentiel de la sécurité électronique, transforme du texte ordinaire en motifs illisibles (cryptogrammes) pour le protéger d’une visualisation et utilisation non autorisées. Le récepteur du texte crypté utilise une « clé » pour le retransformer sous sa forme de texte clair d’origine.

« La perte et le vol d’ordinateurs portables constituent la première cause de violation de données », déclare Tim Matthews, directeur senior du marketing produit chez PGP Corporation, qui propose une gamme étendue de technologies de protection de données. « Si les mots de passe et codes du bâtiment se trouvent dans les ordinateurs volés, ce qui est tout à fait concevable, la sécurité physique du bâtiment est alors compromise. »  

Mais le cryptage ne constitue qu’une couche d’un plan global de sécurité des données, observe Ashley Richards, directeur de la communication institutionnelle chez Absolute Software. « Cela ne protègera pas une entreprise contre la personne qui note son mot de passe sur un Post-It et qui le colle sur son ordinateur portable. Une solution de gestion et tracking IT peut vous aider à savoir où se trouvent vos ordinateurs et qui les utilise, tout en générant des alarmes en cas d’activité suspecte sur ceux-ci, comme l’installation d’un logiciel non autorisé. »  

Besoin d’une stratégie de cryptage
Une nouvelle série de rapports présentés par le Ponemon Institute, cabinet de recherche en gestion privé, examine l’utilisation du cryptage de données sur la base d’études menées auprès de directeurs informatiques et de chefs d’entreprise dans cinq pays. 85 % des participants américains, 80 % des Britanniques, 69 % des Australiens, 67 % des Français et 53 % des Allemands ont déclaré au moins une infraction pendant l’année précédente (sans compter que, naturellement, de nombreuses violations ne sont pas reportées). D’une manière générale, les chercheurs de Ponemon ont décelé un besoin commun et croissant d’un cryptage plus robuste, avec la majorité des sociétés ayant déjà mis en place une stratégie de cryptage.  

Bien que chaque violation de données entraîne des coûts combinés différents, notamment la perte de clients, le processus d’information des clients et, de plus en plus, les organismes gouvernementaux habilités à donner des amendes exorbitantes amènent les entreprises à payer en moyenne 1,7 million £ par infraction au Royaume-Uni, contre 6,6 millions $ par infraction aux Etats-Unis. Une seule infraction pourrait donc constituer un véritable coup de massue dans le budget de sécurité d’une société.  

En plus de vouloir se protéger contre la criminalité ordinaire, les participants de tous les pays concernés ont également partagé une inquiétude par rapport au « risque que des données clients de haute valeur sortent avec des employés mécontents dans le contexte de crise économique actuelle ». M. Matthews de PGP ajoute : « De la même manière que les professionnels de la sécurité installent des serrures et des alarmes pour empêcher les cambriolages, des « verrous de données », c’est-à-dire le cryptage, doivent être installés sur les informations sensibles qui quittent chaque jour le bâtiment dans les sacoches ou les poches des employés. »  

« Il devient tout aussi important de savoir comment les partenaires commerciaux protègent de leur côté ces mêmes données », poursuit M. Matthews, en citant la statistique de Ponemon selon laquelle plus de 40 % de l’ensemble des violations de données sont dues à un fournisseur ou partenaire tiers, comme le traitement des salaires ou prestations. « Même si c’est un fournisseur tiers qui est à blâmer, c’est pourtant la société elle-même qui peut être redevable d’amende et perdre des revenus importants. »  

Protection des informations mobiles
Selon les études de Ponemon, le besoin de crypter les données sur les équipements mobiles est également de plus en plus fort. M. Matthews se penche sur les technologies montantes comme le Smart Phone (téléphone multifonction) et le Cloud Computing (informatique dans les nuages) : « Ces deux technologies étendent la portée de la sécurité IT en élargissant l’exposition potentielle des données. Les utilisateurs de Smartphone peuvent accéder et transférer des documents sensibles pendant leurs déplacements, ce qui est certes pratique, mais ces équipements peuvent être perdus ou volés encore plus facilement que les ordinateurs portables. Et aujourd’hui, en plus de se préoccuper de ses propres serveurs et équipements clients, la sécurité IT doit gérer le Cloud Computing qui étend les données vers des fournisseurs distants, chargés d’héberger des applications et de stocker des données sur des sites situés dans le monde entier. Le cryptage assure que les données sont cryptées où qu’elles se situent. Les sociétés d’hébergement sont un bon exemple d’entreprise regroupant de fortes concentrations de données confidentielles. Elles doivent donc allier une sécurité d’accès physique et un cryptage solide pour la protection des données. »  

Et quand il s’agit de crypter des données qui sont soit en cours d’utilisation, soit en repos, soit en déplacement, tant sur site qu’à distance, de nombreux pays se tournent vers le choix de la plateforme. Les bénéfices cités pour l’approche de la plateforme (par rapport à des méthodes qui combinent diverses options matérielles ou logicielles) incluent des coûts d’acquisition réduits, la possibilité de déployer et gérer de manière centralisée des applications de cryptage, l’élimination des tâches administratives redondantes et la capacité d’ajouter des applications futures.

Richards de Absolute Software nous rappelle qu’il est toujours important de garder à l’esprit l’élément humain pour comprendre le pourquoi et le comment des violations de données. « Les responsables de la sécurité physique doivent continuer à former le personnel à reconnaître des situations, motivations et comportements susceptibles de conduire des personnes non autorisées à obtenir un accès dans le but de voler ou d’entrer sur des ordinateurs. »  

Comment

You must be logged in to post a comment.