Entre la libéralisation autorisant l’usage de clés plus efficaces et les quelques attaques récentes très médiatisées, les entreprises prennent désormais conscience de l’importance de la protection des données. Hélas, si à petite échelle l’avantage du chiffrement est évident, son utilisation en entreprise prend bien souvent des airs de casse-tête. On trouve des offres qui répondent à un besoin de sécurité des données stockées, d’autres à celui de protection des données en transit, d’autres enfin tentent de faire les deux. Certaines offres utilisent des certificats X. 509 et d’autres pas, toutes font appel à des algorithmes différents, bien que standards, et l’interopérabilité n’est pas toujours au rendez-vous !
Une abondance d’offres hétéroclites
Dans ces conditions, le déploiement du chiffrement se réduit à un empilage logiciel. Check Point, BullSoft ou Computer Associates intègrent les coupe-feu aux RPV, Oracle chiffre ses bases de données, tandis que Bull, Compaq ou Intel proposent des accélérateurs de chiffrement matériels pour les serveurs web. Les données sont chiffrées sur le disque dur grâce à des logiciels comme Security Box, de MSI, ou PGP. La messagerie peut être sécurisée par l’utilisation de S/Mime et ses peudo-certificats, ou en ayant recours à un service externe, comme l’offre de la société Thumbleweed. En ce qui concerne les RPV, enfin, des fabricants tels que F-Secure, Bull ou Cisco tentent d’imposer tour à tour des RPV matériels ou logiciels. Cette abondance d’offres hétéroclites nuit le plus souvent à la bonne gestion de l’ensemble. Une étude d’Arthur Andersen montre que dans 71 % des entreprises concernées, chaque utilisateur dispose de 4 à 20 mots de passe différents. Pis, les clés PGP des utilisateurs peuvent être stockées sur des serveurs que la société ne maîtrise pas, et la gestion des clés de chiffrement symétriques est loin d’être une sinécure. Une solution existe, toutefois, qui tend à unifier le chiffrement et à permettre une gestion globale des clés : l’infrastructure à clés publiques (PKI). Baltimore, mais aussi ID2, RSA Security, Entrust et Tivoli proposent tous de déployer ces infrastructures, considérées par les spécialistes comme une panacée : “Avec la PKI, on peut presque tout faire, s’enthousiasme Alan Doutre, de Bull. Chiffrer des e-mails, signer des documents, s’authentifier, chiffrer des échanges HTTP, etc. , et tout ça avec la même paire de clés. Seul le chiffrement de fichiers sur le disque ne se fait pas systématiquement, mais cela ne saurait tarder. La PKI permet vraiment de gérer le chiffrement à grande échelle en entreprise.” Cependant, la panacée se paie. “La PKI est un vrai projet d’entreprise”, explique Jean-Philippe Isckia, responsable du département conseil sécurité chez CF6. D’ailleurs, il y a encore peu de déploiement de PKI dans le monde. Sa complexité fait peur, même si Arthur Andersen constate dans une étude que 23 % des responsables de la sécurité reconnaissent qu’un tel projet est en cours de déploiement ou à l’étude dans leur entreprise. La technologie, en effet, est prête, et n’attend plus que le bon vouloir des entreprises : “La PKI est mûre en termes de technologie, explique Jean-Philippe Isckia. Mais les entreprises ne le sont pas en termes d’organisation.”
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
