PGP a commandé à l’institut Ponemon une enquête sur les tendances françaises en matière de chiffrement (inscription obligatoire). Un bilan tiré d’un panel d’un peu plus de 400 professionnels de la sécurité ou de l’informatique. Etude d’autant plus intéressante que les entreprises Françaises, contrairement à leurs voisines anglo-saxonnes, n’ont pas d’obligation légale de divulgation en cas de fuite ou de perte de données. Et, par conséquence, pas de statistiques fiables quant à l’ampleur des pertes réelles. C’est donc là une étude sur le « ressenti » des utilisateurs et administrateurs plus qu’un état des lieux, ressenti toutefois marqué par la nécessité de devoir répondre à certaines contraintes règlementaires Européennes ou internationales lorsque les personnes interrogées appartiennent à une grande entreprise tournée vers l’extérieur.
Qu’est-ce qui fait courir les partisans du chiffrement en France ? Tout d’abord quelques faits avérés. Telle que la disparition d’une moyenne de 733 portables chaque semaine dans la zone aéroportuaire de Charles de Gaulle. Ensuite les rumeurs d’une loi paneuropéenne souhaitée par l’EDPS (European Data Protection Supervisor). La Cnil surtout, qui représente pratiquement la seule instance liée à la gestion des fichiers nominatifs en France. La Loppsi ensuite, avec le spectre d’une chasse à tout ce qui pourrait entraîner ou être lié à une usurpation d’identité. Les autres motivations quittent le domaine du factuel et relèvent parfois du « on dit ». Ainsi, le cadre punitif d’Hadopi, techniquement dépassé au moment de son adoption, mais certes plus contraignant pour les entreprises qui doivent s’en protéger que pour les individus que cette loi prétend pourfendre. Les grandes affaires relayées par les médias également, telles que les vols de données de Deutsche Telekom et de l’administration fiscale britannique. Ce qui, au passage, fait dire au rapporteur du Ponemon « La France n’a, jusqu’à présent, pas connu de violation de données aussi sérieuses que celles-ci »… la France n’a strictement aucun outil de détection qui permette de connaître l’existence d’accidents semblables. Il serait bien étrange que, tels les nuages radioactifs, le vol de données se contente de faire pendre son linge sur la ligne Siegfried*.
Cette absence de contrainte de publication est d’ailleurs assez bien illustrée par les motivations d’usage du chiffrement :
– conformité : 65% des avis
– respect de la confidentialité : 55%
– protection de la marque et de l’image : 43%
– éradication des violations de données : 28%
– craintes liées à la notification de violation : 0%
Ce qu’en Berrichon l’on pourrait traduire par « faute inavouée n’est pas à pardonner ».
Que doit-on protéger et contre qui ?Là encore, quelques réalités et beaucoup de fantasmes. Interviewées sur le degré de gravité des causes de fuite d’information, les personnes interrogées évoquent en premier lieu l’indélicatesse d’un collaborateur, l’espionnage industriel, le manque de fiabilité des services « cloud computing » et de la virtualisation, les équipements mobiles… autant de causes qui sont généralement citées dans 50 à 60% des cas. Les troyens ne sont considérés comme grave que dans 22% des cas, score le plus faible. Or, un Zeus ou un Conficker fait plus de dégâts financiers immédiats qu’un fichier commercial dérobé par un technico-commercial sur le départ (lorsque ce fait est avéré). Mêmes craintes à propos des équipements mobiles –téléphones, portables-, de plus en plus susceptibles de comporter des informations confidentielles. Reste que si la crainte des « fuites mobiles » et « fuites Smartphones/PDA » (par perte ou par exfiltration) sont élevées, elles ne représentent aujourd’hui respectivement que 9 et 7% du chiffrement par secteur d’application. Les sauvegardes, quand à elles, sont déclarées chiffrées dans 22% des réponses.
Mais paradoxalement, alors que les motivations poussant au chiffrement sont parfois discutables ou relèvent de la crainte fantasmée, la conscience des difficultés techniques qu’entraîne une politique de chiffrement sérieuse est véritablement réelle. Surtout auprès des entreprises ayant eu à déplorer une moyenne de plus de 2 violations par an. A partir de cette limite, les stratégies partielles sont totalement abandonnées au profit d’une stratégie d’entreprise. L’étude du Ponemon insiste sur le fait que l’absence de divulgation des vols est un facteur important d’imprécision statistique. Mais une observation corollaire peut être tirée de cette tendance : plus une société parle de stratégie de chiffrement globale, plus on peut estimer qu’elle a déjà essuyé un certains nombre de revers du genre. D’autres écueils techniques sont évoqués par les personnes interrogées. A commencer par la complexité et surtout le prix des outils de gestion de clef. Cette gestion (reporting, déploiement, gestion du cycle de vie des clefs, activation des comptes, mise en œuvre…) pèse en moyenne 23 % du budget chiffrement. Des coûts qui, espèrent les répondants, seront amortis par la disparition des pertes elles-mêmes. Un prix et une complexité qui poussent d’ailleurs les principaux intéressés à opter plus majoritairement pour des solutions de chiffrement uniques, mono-fournisseur et s’étendant à toute la politique d’entreprise.
*NdlC, Note de la Correctrice : Paroles de Paul Misraki, interprété par Ray Ventura et son orchestre