Le chiffrement commence à trouver sa place dans le paysage de l'entreprise. L'actualité foisonne d'exemples liés à la perte de données. En effet, qui n'a pas entendu parler de la perte d'un PC, de CD-Rom ou d'autres matériels ayant conduit à la divulgation de millions d'informations personnelles (de clients, d'employés...).
Aux Etats Unis, 43 Etats ont voté une loi imposant aux entreprises d'informer leurs clients dès lors qu'elles découvriraient que des données personnelles de clients sont compromises. Dans ces Etats, la préoccupation première est de faire en sorte que les données stockées sur bandes (et autres supports de sauvegarde) sont chiffrées afin d'être considérées comme irrécupérables dans le cas où la bande serait perdue ou volée.
Le chiffrement à lui seul ne devrait pas être considéré comme suffisant pour statuer sur le fait qu'une donnée soit irrécupérable ou non. Certains Etats ont ainsi ajouté que les entreprises devaient disposer d'une politique appropriée de gestion des clés de chiffrement. Ceci afin de garantir que les données ne puissent pas être déchiffrées même si un individu réussissait à obtenir à la fois le support de sauvegarde et la clé utilisée pour le chiffrer.
La question consistant à savoir si une politique de gestion de clé est appropriée ou non reste entière.
Le chiffrement de données peut être opéré lors de plusieurs étapes du processus de sauvegarde, chacune ne demandant rien de plus qu'un mot de de passe. Il est donc difficile d'évaluer si une entreprise est conforme à ces règlementations dès lors qu'elle a mis en place une solution de chiffrement ou un dispositif de gestion de clés.
Que l'on vise la conformité réglementaire, la protection des données de ses clients ou de son patrimoine, le volet "gestion de clés" doit faire l'objet de toutes les attentions. S'il existe des mots de passe faibles qui ne permettent pas de bloquer l'accès à un poste de travail, il existe aussi de mauvaises clés de chiffrement. Il n'est donc pas inutile de faire un parallèle entre authentification et chiffrement en matière de gestion des secrets.
Edit de l'équipe Orange Business : Christophe a quitté le groupe Orange depuis ses derniers articles