Je me rends compte que le chiffrement est plus ou moins accepté dans les organisations. On décide selon des critères bien différents de chiffrer ou de ne pas chiffrer. Il peut arriver que l’on considère notre réseau sécuritaire, de ce fait, on décide de chiffrer seulement ce qu’on juge dangeureux. Cela peut varier d’un individu à l’autre, d’un organisation à l’autre.
Mon objectifs est d’avoir votre opinion sur ce qu’on devrait chiffrer et la raison!
- la communication web avec des mots de passe ? (intranet, internet)
- la communication web avec des données confidentielles ?
- des fichiers confidentiels dans un réseau interne ?
- les backups que l’on place en voute ?
- des échanges de fichiers (FTP) ? le fichier ou l’échange ?
- les clés USB ?
- des tables contenants des données confidentielles dans les bases de données ?
- les bases de donnée (OUCH, ça fait mal… les DBA n’aiment pas ça)
- les postes portable, Assitants numériques personnels, BlackBerry, iPhone ?
- les messages SOAP, les files de messages MSMQ ?
Ah oui, je ne veux pas de réponse en rapport à la performance…est-ce que c’est important ce qu’on veut protéger, si oui, lâcher moi avec la performance.
HERMES CONSEILS 
Question que tu dois te poser. Pas dans l’ordre…Peut-être répétitif
1. Est-ce que quelqu’un de plus important que moi ( un patron) s’intéresse à ce chiffre?
2. Est-ce que ce chiffre rendra mon travail plus productif dans le future?
3. Est-ce que ce chiffre permettra d’augmenter la performance ou la productivité de mon entreprise?
4. Est-ce vraiment utile comme donnée?
5. Dans quel environnement (Prod, Dev, Test) sera-t-il le plus utilisé?
6. Est-ce que je peux faire une piastre avec ça?
7. Est-ce que une brèche de sécurité non-monitorisé pourrait brisé la confiance client?
Bref, j’ai shooté des points comme ça en l’air.
J’avais 5 minutes, alors voici une partie de ma réflexion sur le sujet. Ça vaut ce que ça vaut…
CHIFFREMENT DES DONNÉES
La première question à se poser, avant de décider de chiffrer, que ce soit la communication ou la donnée elle-même, est : quelle est le niveau de sensibilité de cette donnée? Cette question semble farfelue car évidemment si on pense à chiffrer, c’est qu’on se doute que la donnée est confidentielle. Mais on oublie souvent que la catégorisation du niveau de confidentialité n’est pas de la responsabilité des experts en sécurité informatique; elle est plutôt celle du détenteur de l’information. Donc, avant de décider si on chiffre ou non, il faut évidemment s’assurer que la donnée en cause est sensible. Beaucoup d’experts en sécurité définissent le niveau de sécurité d’une donnée basée sur leur propre catégorisation de celle-ci. Pourtant, il arrive fréquemment qu’une donnée qui semble à première vue non confidentielle soit catégorisée de confidentialité élevée par son détenteur ou encore par le service juridique de l’entreprise. À l’inverse, certaines données à première vue sensibles peuvent être d’une confidentialité moindre.
Donc, RÈGLE #1 : Un exercice de catégorisation des actifs informationnels, et technologiques, doit être entrepris tôt dans la vie d’une entreprise, de façon à diriger les politiques/normes/règles/exigences/etc en sécurité qui sont à la base de la sécurisation de ces actifs. En récurrence, tous nouveaux actifs devraient faire l’objet d’une catégorisation en bonne et due forme. À ce titre, le personnel de la direction, le détenteur ainsi que le responsable de la sécurité de l’information devraient être impliqué dès le départ.
Une fois qu’on a obtenu la catégorisation de la donnée, il est possible de décider du type de protection à apporter et ce à tous les niveau.
Si la catégorisation met à l’évidence que des données nominatives sont en cause, aucune question supplémentaire à se poser : on doit les protéger « de la meilleure façon que possible ». Encore une fois, drôle de réflexion. C’est pourtant « en bref » ce que la loi sur la protection des renseignements personnelle dans les organismes publics stipule selon l’article 63.1 : « Un organisme public doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. » La loi pour les organismes privés quant à elle le fait selon l’article 10 : « Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. » La loi concernant le cadre juridiques des technologies de l’information stipule elle, à l’article 25 : « La personne responsable de l’accès à un document technologique qui porte un renseignement confidentiel doit prendre les mesures de sécurité propres à en assurer la confidentialité, notamment par un contrôle d’accès effectué au moyen d’un procédé de visibilité réduite ou d’un procédé qui empêche une personne non autorisée de prendre connaissance du renseignement ou, selon le cas, d’avoir accès autrement au document ou aux composantes qui permettent d’y accéder. » Peu explicite non? Quelle est donc la meilleure façon possible? Le chiffrement est probablement la meilleure réponse, si on ne veut pas prendre de chance avec la loi… Je dirais alors qu’il y a 2 cas possibles lorsqu’on manipule des données nominatives.
1- On échange des données avec un client ou partenaire
Encore une fois, à moins qu’il y ait des règles claires dans l’entreprise, avant de décider si on doit chiffrer la communication ou les données elles-mêmes, il faut idéalement obtenir un avis juridique. Pourquoi? Parce que si, comme dans certains cas, l’entente avec le partenaire dicte que les données, une fois livrées, sont de la responsabilité de ce partenaire, notre rôle ne consistera qu’à « les livrer » de façon sécuritaire. Une fois à destination, ce sera au partenaire de gérer leur sécurité. Dans ce cas, un chiffrement de la communication est suffisant et empêche qu’on déploie des efforts à entretenir un système avec données chiffrées à la source ou toute une panoplie de clés de chiffrement pour chaque partenaire. On livre de façon confidentielle et intègre et le tour est joué.
Si par contre l’entreprise demeure responsable des données une fois livrées, ou encore que les données transitent par un tiers sur un serveur dont on doute de la robustesse, le chiffrement à la source est de mise.
2- On échange des données à l’intérieur de notre propre organisation
Celle-là est plus difficile à répondre et je ne me prononcerai pas trop sur le sujet. En fait, ça dépend de la confiance que l’entreprise a envers ses employés… Par expérience, dans le milieu public, il est très difficile, voir même impossible, de convaincre la direction que la majeure partie des attaques proviennent de l’interne. Essayez d’apporter ce point en réunion pour rire. De mon côté, plus jamais. Ceci dit, si on a confiance en nos employés (tout le monde est gentil), la réponse sera évidemment de ne pas perdre de temps à chiffrer sur le réseau local. Attention! Je ne suis pas en train de dire que je partage cette opinion, mais après avoir tenté à maintes reprises de convaincre les gens qu’on doit protéger davantage les données de mission à l’intérieur même de l’entreprise, j’ai abandonné… Remarquez que sur la plate-forme centrale, de façon générale, les données sont sécurisées correctement. Mais de plus en plus de données de mission se retrouvent entreposées sur la plate-forme intermédiaire. MA PROPRE CONCLUSION serait davantage: ne faites confiance à personne. Si les technologies et les ressources en place le permettent, chiffrer à la source toutes les données confidentielles.
Donc, RÈGLE #2 : pour éviter les problèmes avec la loi sur la PRP (et être respectueux des clients), chiffrer les données nominatives aussitôt qu’elles quittent le domaine de confiance, par chiffrement de la communication si elles voyagent de point à point et qu’on n’est plus responsable une fois livrées, ou par chiffrement à la source si on transite par un tiers ou qu’on demeure responsable même après livraison. On chiffre aussi dès qu’on copie les données confidentielles sur des périphériques externes. Si le budget et la technologie le permet, chiffrer à la source en tout temps, et on ne se pose plus de question par la suite…
Si la catégorisation met à l’évidence des données confidentielles, mais non nominatives, je serais porter à suivre la même règle. Du moins, lors qu’on les transmet. Les données confidentielles non nominatives sont souvent catégorisées ainsi parce qu’elles sont de nature stratégique. Par exemple : un plan complet du réseau de l’entreprise, la configuration de composantes de sécurité, des « secrets de compagnie », etc. Certaines de ces données pourraient même aider les plus habiles à accéder à d’autres données elles plus importantes. Ceci dit, si ces données doivent sortir de l’entreprise, elles doivent être protégées de la meilleure façon que possible… Eh oui! On chiffre. Évidemment. Localement par contre, je me garderais une petite gêne. Je suis d’avis qu’une sécurité locale (NTFS, centrale, applicative, etc.) est suffisante localement. Mais encore là, c’est discutable… On pourrait par exemple penser à utiliser un système de gestion documentaire avec droits numériques pour les documents de ce type. Mais on embarque dans un autre sujet. Je m’égare.
Donc, RÈGLE #3 : suivre les mêmes règles pour les données confidentielles « stratégiques » que pour les données nominatives si elles doivent sortir de l’entreprise : sur clé USB, un portable, en accès à distance, etc. À l’interne, on protège efficacement, mais on peut omettre le chiffrement. De toute façon, on n’arrivera jamais à convaincre quelqu’un du contraire, alors… Attention aux administrateurs et administrateurs de domaine par contre. Pas besoin de vous dire qu’ils ont accès à tous et qu’il y en a toujours trop.
CHIFFREMENT DES INFORMATIONS D’IDENTIFICATION/AUTHENTIFICATION
Celle-là est facile à répondre : évidemment que ces informations doivent être protégées. Une des premières étapes lors d’une attaque est justement de s’emparer d’un code d’utilisateur et du mot de passe correspondant. Même si le code en question n’a aucun droit, il est toujours possible de tenter une élévation de privilèges. Donc, peu importe que ce soit sur le Web, l’Intranet, l’Extranet, à l’intérieur d’une application maison ou d’un progiciel, il faut, à 90% du temps, que ces données demeurent protégées. À 90% parce que, évidemment, il y a des exceptions. Si la mesure à mettre en place pour chiffrer dépasse en coût et effort la valeur du risque, on peut passer outre. Par exemple, des ordinateurs de formation sont configurés avec ouverture de session automatisée. Les codes de formation n’ont accès à rien, sauf quelques répertoires locaux. Une restriction empêche les codes d’ouvrir des sessions ailleurs que sur les postes pour lesquels ils ont été configurés. Si le poste est débranché du réseau, pas de connexion possible au domaine. Etc, etc, etc. Enfin, il y a plus de 500 postes de ce type dans l’entreprise, dispersés sur plusieurs sites tous protégés par système d’alarme. À la moindre tentative d’intrusion, l’alarme est déclenchée et l’entreprise, et le service de la sécurité, sont avertis en moins de 2 minutes et les codes sont désactivés. Dans ce cas, le risque faible ne justifie sûrement pas le temps et les efforts pour configurer et maintenir le chiffrement sur ces 500 postes.
Donc, RÈGLE #4 : on chiffre toujours les informations d’identification/authentification. À moins que… Coût/effort/risque et bla bla bla…
Bon… ça fait le tour pour le moment. Il manque de l’info, mais j’avais 5 minutes à perdre…
P.S. En passant, j’ai la solution ultime à tous les problèmes de sécurité. Toutes informations devraient être considérées publiques! De cette façon, finis les problèmes de protection de l’information…