Dossier : Le chiffrement parviendra-t-il à se généraliser ?  

Dossier : Le chiffrement parviendra-t-il à se généraliser ?

C’est le dernier exemple en date : la très sérieuse institution Morgan Stanley a perdu des données personnelles de 34 000 de ses clients. Avant elle, au premier trimestre, il y avait eu les vastes piratages de RSA, Sony, Lockheed Martin, Citigroup, des administrations publiques. Avec une conséquence connue : l’accroissement de l’intérêt des entreprises pour l’assurance contre le risque de fuites de données sensibles. Mais ça, d’une certaine manière, c’est pour l’après, une fois que l’incident de sécurité est survenu. Avant cela, mais après l’intrusion réussie dans le système d’information, il existe un dernier rempart avant le vol de l’information : son chiffrement. L’an passé, le Clusif estimait que seulement 54 % des entreprises françaises chiffraient les données locales des postes de travail. Mais le plus étonnant est peut-être cette étude du Ponemon Institute, pour Symantec, qui soulignait, en décembre dernier, qu’en France, le chiffrement est plus utilisé pour protéger l’entreprise des risques légaux que de celui du vol de données. Une spécificité française liée à l’absence d’obligation légale de déclarer un tel incident. Ce contexte réglementaire pourrait bien changer. Et ce ne serait peut-être pas un luxe : selon une récente étude du Ponemon Institute pour Check Point Software, 70 % des entreprises françaises ont subi une perte de données en 2010. Et, dans 51 % des cas, ce sont des données clients qui ont été compromises. 

Une machine Enigma, utilisée par l'armée allemande pour sécuriser ses transmissions pendant la seconde guerre mondiale

Mais alors que la culture de la protection des données personnelles peine à se généraliser en France - et, avec elle, celle du chiffrement -, le périmètre à couvrir s’étend, rapidement et de manière largement incontrôlée. C’est en tout cas ce que l’on peut être tenté de retenir d’une récente étude de YouGov pour Citrix Online : selon celle-ci, dans 61 % des PME françaises, les salariés ont recours à leurs terminaux mobiles personnels alors que seulement 32 % des entreprises ont une connaissance complète des terminaux utilisés par leurs collaborateurs. Selon une autre étude, réalisée en Europe par Vision Critical pour Fortinet, entre mai et juin derniers, la mobilité et la consumérisation de l’IT ne sont cités comme facteurs de changement de stratégie de sécurité que par 18 % et 9 % des sondés respectivement. Dans 16 % des cas, aucune stratégie n’accompagne d’ailleurs l’utilisation des terminaux mobiles et, dans 26 % des cas, c’est l’utilisateur qui est seul responsable de la sécurité de son appareil mobile. Dans 18 % des cas, l’utilisation d’un terminal personnel dans l’entreprise est interdite. Mais quid du contrôle de l’application effective d’une telle règle ?

L’impréparation dépasse toutefois probablement les frontières de l’Hexagone : aux Etats-Unis, selon une étude de Canalys pour BullGuard, 86 % des entreprises n’a pas de logiciel de sécurité en standard pour les smartphones. 

Signe toutefois de l’intérêt croissant pour le chiffrement, plusieurs opérations significatives ont eu lieu au cours des dernières années : en juin 2009, Sophos a lancé sa suite de chiffrement du poste de travail, en concurrence directe de McAfee et de Check Point, à l’issue du rachat d’Ultimaco en août 2008. Plus récemment, Symantec a racheté PHP et GuardianEdge, afin de renforcer sa propre offre de sécurisation des postes clients. En novembre 2010, c’est Trend Micro qui a racheté Mobile Armor, un spécialiste de la protection et du chiffrement des données. Et que préfigure encore le rachat de McAfee par Intel à l’été dernier ?