Bulletins de l'Ilec

Nécessaire cryptage - Numéro 457

01/05/2016

Le stockage à distance n’offre de réelle sécurité contre les cyberattaques que si les données sont chiffrées. Entretien avec Jean-Luc Louazon, directeur stratégie et développement, Forecomm (solutions de publication sur mobiles)

Comment garantir confidentialité et sécurité aux entreprises qui échangent quotidiennement des documents numériques ?

Jean-Luc Louazon : La solution la plus efficace, pour des documents sensibles, est le chiffrement : il permet aux entreprises de s’assurer que le document envoyé est protégé dans n’importe quel environnement par lequel il transite, sécurisé ou non, avant d’arriver à son destinataire. La solution BlueFiles1 va plus loin, avec un chiffrement d’un bout à l’autre, qui permet d’échanger des informations sans jamais délivrer la version déchiffrée au destinataire (elle n’est que partiellement décryptée pour une lecture à la volée sur son ordinateur authentifié, et il ne peut en transmettre les droits de lecture).

Comment profiter d’un hébergement en nuage sans risques ?

J.-L. L. : Le Cloud est une infrastructure providentielle pour de nombreuses entreprises, car il augmente leur espace de stockage et facilite l’échange de documents hors de leur réseau interne, avec des partenaires ou des salariés en déplacement. Bien que de nombreux serveurs distants aient déjà subi une attaque, ils sont performants en termes de cybersécurité. Le principal problème des entreprises est qu’elles y stockent des données en clair. Si elles y sont à l’abri, rien n’empêche un employé ou toute personne ayant accès au dossier de les en sortir, sans autorisation. Le chiffrement évite ce problème, car une donnée chiffrée ne peut être consultée sans autorisation. Bien sûr, il doit s’inscrire dans la logique de travail de l’entreprise et être accessible aux employés.

La cybersécurité doit donc intégrer tous les salariés ? Et aussi les parties prenantes et les fournisseurs ?

J.-L. L. : Chaque employé informé des principaux risques de cybersécurité et de la meilleure façon de les éviter est une porte qui se referme au nez d’un pirate informatique. Il est essentiel de les impliquer tous dans la stratégie de cybersécurité : réunions, blog d’entreprise ad hoc, journées de formation, outils de cybersécurité, référentiel sur le degré de confidentialité des fichiers manipulés… Pourquoi investir dans de coûteux outils de cybersécurité si les partenaires, fournisseurs ou salariés utilisent les fichiers qu’on leur transmet dans des environnements non sécurisés ou contaminés (ordinateurs, serveurs ou mobiles) ? Cependant, il n’est pas toujours facile ni possible de mettre en place un système d’échanges sécurisés adapté à chaque partenaire. Il faut alors considérer que chaque employé peut être une porte d’entrée pour un pirate : si l’entreprise n’est pas en mesure de protéger l’ensemble des « chemins » (serveurs, routeurs, wi-fi…) et des « portes » (ordinateurs, clés USB, mobiles.) par lesquelles circulent les données, sécuriser les fichiers lui assurera un niveau de cybersécurité acceptable pour un coût raisonnable.

Un meilleur contrôle de la cybersécurité passe-t-il par des plates-formes d’information communes entre entreprises d’un même secteur ?

J.-L. L. : Il passe forcément par la propagation d’informations à tous les acteurs d’un secteur, et à tous les niveaux de l’entreprise. La mise en commun d’expériences, de questions et de cas pratiques ne peut qu’aider les entreprises à appréhender et à gérer leur cybersécurité. Mais il est impossible de s’assurer que tous les partenaires utilisent les mêmes protocoles : personne ne peut se baser uniquement sur la confiance entre partenaires pour la sécurité de ses données ; il lui faut s’assurer qu’elles demeurent sa propriété, dans tous les cas.

Faut-il attribuer à la cybersécurité une direction spécifique ?

J.-L. L. : Il est préférable de rattacher la cybersécurité à la direction générale, qui sera en mesure de juger de sa mise en œuvre et de son efficacité dans sa globalité. En revanche, la mise en place d’un audit spécifique destiné à la vérification du bon déroulement des processus et de la remontée à la direction générale de situations ou de points bloquants est une option non dénuée d’intérêt.

1. www.mybluefiles.com.

Propos recueillis par J. W.-A.

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à l'utiliser, nous considérerons que vous acceptez l'utilisation des cookies.