Bon nombre de préjugés empêchent encore les entreprises d’adopter des solutions de chiffrement pour protéger leurs données. Une réticence qui peut coûter cher à l’heure des fuites de données massives ! Retour sur 5 mythes récurrents autour du chiffrement des données.
« Chiffrer ces données, ça coûte mais ne rapporte rien »
Le chiffrement de ses données, c’est un peu comme un contrat d’assurance. C’est lorsqu’on a un problème qu’on en perçoit vraiment l’utilité. Et pourtant, les chiffres parlent d’eux-mêmes. Selon l’étude « 2018 : Cost of data breach study : global overview » menée par Ponemon Institute pour IBM, le coût d’un vol de données s’élève en moyenne à 3,54 millions d’euros en France, soit une hausse de 8,2 % par rapport à 2017.
Le coût d’un vol de données s’élève en moyenne à 3,54 millions d’euros en France
Comme le souligne le livre blanc de Stormshield, « Transformation numérique des entreprises : et la sécurité dans tout ça ? », le nomadisme des salariés, les services de partage de documents dans le cloud et l’émergence des objets connectés sont autant de sources potentielles de nouvelles vulnérabilités à ne pas négliger. Et qui peuvent, elles, coûter très cher.
« Le chiffrement, c’est trop compliqué à mettre en œuvre »
Middleware, PKI, carte cryptographique et autre politique de certification… Il y a encore quelques années, la complexité des procédures de protection des données avait de quoi décourager les plus téméraires.
Mais aujourd’hui, les éditeurs proposent des solutions ne nécessitant plus la mise en œuvre d’une infrastructure ultra-complexe. Que ce soit pour l’utilisateur final ou l’administrateur, ces nouvelles solutions permettent de rendre plus transparente la mise en place et la gestion d’un système de chiffrement. Comme par exemple en mode SaaS, avec des coûts d’infrastructures et de maintenance encore plus sensiblement allégés.
« Face au chiffrement, il existe d’autres solutions aussi efficaces »
Souvent, la notion de chiffrement est associée à la mise en place de réseaux privés virtuels (VPN) – utile pour protéger les flux de données en transit sur Internet., Cependant, une telle protection ne garantit pas leur intégrité, comme par exemple en cas de vol du terminal.
D’autre part, au-delà des VPN, firewall et droits d’accès, le chiffrement de surface des terminaux s’avance comme une autre piste possible. Ici, c’est bien le terminal qui est protégé, pour répondre notamment à cette problématique de vol. Mais non plus les données échangées.
Ces solutions, complémentaires, peuvent et devraient être envisagées aux côtés d’une solution de chiffrement des données, comme véritable triptyque d’une politique de sécurité informatique. Dès lors, peu importe qui a accès au poste, au serveur, au partage de réseau ou de cloud : seul l’utilisateur ayant le droit de déchiffrement pourra les exploiter.
« Pas besoin du chiffrement, les cyberattaques n’arrivent qu’aux autres »
« Je ne suis pas concerné », « Je n’ai pas de données sensibles à protéger »… Ce type de remarque est plus courante qu’on ne le croit et pas seulement au sein des associations ou collectivités locales. Il n’incombe pas aux seuls secteurs sensibles de protéger les données qu’ils gèrent. Le RGPD (Règlement Général sur la Protection des Données) rappelle ainsi à ceux qui en doutaient encore que tout le monde est responsable des données de quelqu’un.
L’amende de 250 000 € infligée en juin 2018 par la CNIL à Optic Center pour avoir insuffisamment sécurisé les données de ses clients témoigne que la négligence peut aussi avoir un coût. Or la menace est omniprésente : récemment encore, le géant du conseil en technologie Altran a été victime d’une cyberattaque.
« Si je chiffre mes données, je risque de ne pas les récupérer »
Reste une crainte récurrente, celle de perdre des données parce que l’on a oublié son mot de passe ou qu’un collaborateur a quitté la société sans transmettre le sien. Des technologies permettent d’éviter ce genre de désagrément, tels que le recouvrement de données qui autorise une ou deux personnes dans l’entreprise à y avoir accès en cas de besoin impérieux. Ou encore la technique du séquestre, une base de données (chiffrée, bien entendu !) de toutes les clés de chiffrement de la société.
En résumé, parce que les conséquences d’un vol de données sont bien plus coûteuses que les moyens de protection ; parce que les technologies se sont simplifiées ; parce que personne n’est à l’abri du risque et, enfin, parce que le chiffrement reste l’une des protections les plus efficaces, plus rien aujourd’hui ne devrait empêcher une entreprise de se doter de solutions de chiffrement dignes de ce nom.
