En ce qui concerne le chiffrement, dites non au statu quo

Je ne le ferais pas' La vie ne serait-elle pas tellement plus facile si vous n'aviez pas à verrouiller la porte d'entrée de votre entreprise lorsque vous rentriez chez vous le soir ? Vous n'aurez jamais à craindre de perdre vos clés. Ou, peut-être que le propriétaire pourrait s'accrocher à vos clés pour vous. Vous comptez alors sur le gestionnaire de l'immeuble pour déverrouiller la porte pour vous tous les matins et la refermer lorsque vous partez.

Évidemment, les deux scénarios sont ridicules et aucune entreprise n'envisagerait sérieusement l'un ou l'autre. Pourtant, si cela est vrai, pourquoi tant d'entreprises permettent-elles à leurs services informatiques de fonctionner au jour le jour sans se soucier de « verrouiller » et de sécuriser leurs actifs numériques, qu'ils soient hébergés sur site ou dans le cloud ?

Voir aussi : L'attaque Dyn DDoS met en lumière le problème croissant de l'IoT

Ne vous y trompez pas ; le premier scénario est exactement ce qui se passe lorsque le service informatique ne parvient pas à déployer le chiffrement pour protéger les données importantes. Et lorsque les services informatiques confient à un fournisseur de services cloud la possession de leurs clés de chiffrement privées, plutôt que d'en conserver le contrôle exclusif, ce n'est guère différent du deuxième scénario à haut risque.

Le problème du cryptage inadéquat mérite d'être soulevé. Une violation de données importante pourrait potentiellement être des milliers de fois plus dommageable que si les voleurs nettoyaient simplement le bureau physique. Une brèche de l'ampleur de celle récemment révélée par Yahoo, dans laquelle jusqu'à un milliard de dossiers de clients auraient été volés, serait ruineuse pour la plupart des entreprises.

Malheureusement, un cryptage inadéquat est le statu quo pour de nombreuses entreprises. Par exemple, une enquête récente commandée par HyTrust a révélé que 28 % des clients du cloud public ne chiffraient pas les données. Et c'est dommage, car trop souvent, la décision de ne pas crypter est alimentée par quelques mythes persistants.

Mythe n°1 :Le cryptage est trop lourd

Au début du chiffrement, la technologie restait hors de portée de nombreuses organisations. Des solutions telles que le chiffrement intégral du disque étaient coûteuses, difficiles à gérer et pouvaient entraîner des pénalités de performances inacceptables. Pour bien faire les choses, il fallait souvent faire appel à des experts en cryptographie, et il n'y en a qu'un nombre limité.

Aujourd'hui, cependant, ce n'est plus le cas. Les solutions de chiffrement modernes sont en grande partie transparentes et ne nécessitent pas d'experts pour se déployer et gérer. De plus, les avancées technologiques dans d'autres domaines, telles que les instructions d'accélération de chiffrement intégrées à tous les processeurs Intel modernes, signifient qu'il n'y a pratiquement aucun impact sur les performances du système.

Mythe n°2 :Le chiffrement de votre fournisseur de services cloud est suffisant

La plupart des principaux fournisseurs de cloud proposent un ou plusieurs services de chiffrement de données intégrés. En effet, l'enquête HyTrust a révélé que parmi les clients du cloud qui chiffrent, 44% utilisaient ces services. Mais non seulement ces services sont souvent limités dans leur fonctionnalité, mais ils sont également problématiques pour plusieurs raisons.

Tout d'abord, ils exigent généralement que vous partagiez votre clé de chiffrement privée avec le fournisseur de cloud, ce qui nous ramène au deuxième scénario que nous avons mentionné plus tôt. Lorsque vous ne conservez pas le contrôle total de vos clés, vous ne pouvez pas être sûr que personne d'autre n'a accès à vos données. Vos clés pourraient être volées si les systèmes de votre fournisseur sont compromis. Ou supposons que votre fournisseur reçoive une ordonnance du tribunal l'obligeant à divulguer vos données aux régulateurs ou à d'autres autorités ? Si votre fournisseur de cloud est en possession à la fois de vos données cryptées et des clés pour décrypter ces données, vous avez perdu le peu de contrôle que vous pensiez avoir.

Deuxièmement, les solutions de chiffrement fournies par le cloud ont tendance à être propriétaires et uniques à chaque fournisseur de cloud, ce qui entraîne un verrouillage du fournisseur de cloud. Une fois vos données cryptées, il devient difficile de les déplacer ou de les répliquer vers un autre fournisseur de cloud, sans d'abord déchiffrer et recrypter vos données dans le nouvel emplacement avec les clés du nouveau fournisseur de cloud - ce qui devient de plus en plus lourd en tant que stratégie multi-cloud devient la norme.

Les clés du succès

Lorsque vous pesez ces préoccupations, l'utilisation d'une solution de chiffrement tierce, avec la possibilité de conserver le contrôle des clés quel que soit l'emplacement des données, peut devenir votre nouvelle meilleure pratique. Que vous conserviez vos données sur site dans votre propre centre de données, dans le cloud public, ou dans les deux endroits via un cloud hybride.

Les solutions de chiffrement tierces modernes fournissent un chiffrement facile à configurer, hautes performances et facile à gérer. Mais surtout, l'utilisation d'une solution tierce qui s'exécute sur plusieurs hyperviseurs et sur plusieurs plates-formes cloud vous permet de découpler vos clés de votre environnement d'hébergement, ce qui permet de chiffrer facilement puis de déplacer vos données à partir de -des locaux au cloud, et de cloud à cloud.

Les autres options, de ne pas crypter du tout vos données ou de céder le contrôle de vos données et de vos clés à chaque fournisseur de cloud, auraient dû être écartées depuis longtemps. Avec l'augmentation des menaces en ligne, y compris les attaques d'acteurs parrainés par l'État, une entreprise avec des données non cryptées ou un contrôle inadéquat des clés est un scénario aussi ridicule que de laisser la porte grande ouverte.