La sécurité informatique est désormais un enjeu crucial pour toutes les entreprises y compris les plus modestes. Ce domaine couvre plusieurs aspects, allant de la confidentialité des données à la haute disponibilité. Aujourd’hui nous allons nous pencher sur la partie chiffrement de vos données en vous donnant quelques pistes pour renforcer la confidentialités de vos échanges.
Sécurisez vos communications
La première catégorie de chiffrement concerne les communications. En effet, la plupart du temps,vous ne pouvez pas garantir la confidentialité de vos échanges à travers un réseau, localement (votre LAN) ou globalement (Internet). De ce fait, vous devez nécessairement chiffrer vos communications réseaux pour garantir le secret de vos données. Cela passe alors par le chiffrement de vos applications, par lesquelles transitent vos échanges.
Quel Chiffrement pour quel Applicatif ?
On peut distinguer 2 type d’applicatifs: ceux accessibles via un navigateur et les autres, nécessitant un client lourd. Pour les premiers, le chiffrement passera par le passage au protocole HTTPS en lieu et place de HTTP. La plupart des solutions prennent en charge ce protocole : il suffit alors de leur fournir un certificat électronique et le tour est joué. Cependant, certains applicatifs ne supportent pas HTTPS. Dans ce cas, vous devez mettre en place un intermédiaire de chiffrement (un reverse proxy) qui assurera la communication chiffrée entre vous et l’applicatif. On pourra utiliser des outils comme Nginx ou HAProxy à cette fin.
Beaucoup de progiciels ne sont accessible en mode web, notamment dans le monde de l’ERP ou de la comptabilité. Si l’éditeur ne peut s’engager sur le chiffrement entre les clients et le serveur d’application, vous devez y pallier vous même. La manière la plus simple d’y parvenir est de déporter l’exécution de l’application à travers un bureau à distance, comme RDS ou Citrix. Ces dernières fourniront la couche de chiffrement manquant à vos applications, tout en vous offrant un accès distant sous contrôle.
Aussi, veillez bien à chiffrer les communication inter-applicatives, qui sont souvent oubliées. Par exemple, certains de vos applicatifs se connectent à votre base d’utilisateur via LDAP. Ou encore, vos bases de données fournissent leurs données selon un protocole non chiffré. Il faudra là aussi y remédier, soit en passant sur les versions chiffrées des protocoles (LDAPS par exemple), soit en utilisant un reverse proxy TCP (comme HAProxy là encore) permettant le chiffrement.
Vous avez dit “Certificat” ?
Il y a un point commun à tout cela: l’usage de certificats électroniques. Ces derniers forment la base de tout chiffrement de communication et vous devez les fournir pour assurer la confidentialité de vos échanges. Là encore, on distinguera 2 types de certificats : ceux servant à chiffrer vos communications internes et ceux servant pour vos communications externes.
Pour vos communication externes, vos devez posséder des certificats approuvés par tout le monde (du moins par les navigateurs). Pour cela, vous devez demander auprès d’une autorité de certification reconnue un certificat à votre nom. Cette dernière vous demandera des preuves de votre identité avant de vous délivrer le précieux sésame. Il vous en coûtera classiquement plusieurs centaines d’euros par an. Si votre besoin est essentiellement “web”, vous pouvez aussi obtenir gratuitement, au prix d’un peu de mise en place infra-structurelle, un certificat auprès de Let’s Encrypt.
Pour vos échanges internes, votre certificat n’a besoin d’être approuvé que par votre entreprise. Du coup, vous pouvez générer vous mêmes vos certificats. Si vous disposez d’un Active Directory (AD), il vous suffit de rajouter la fonctionnalité Infrastructure à Clé Publique (PKI) pour transformer votre AD en autorité de certification. Le principal avantage à cela, est que tous les équipements appartenant à l’Active Directory approuveront automatiquement vos certificats. Si vous ne possédez pas d’Active Directory, vous pouvez toujours générer et déployer manuellement vos certificats grâce à des outils comme OpenSSL. Néanmoins, la gestion des certificats (révocation, renouvellement, …) sera extrêmement fastidieuse. Nous vous recommandons d’opter tout de même pour un outil PKI dédié.
Le chiffrement de vos données
Vos communications sont désormais chiffrées et confidentielles. Mais quid de vos données sur vos serveurs ou sur votre poste ? Comment garantir la confidentialité de vos données en cas de vol ?
Là encore, le chiffrement est la clé et vous devez chiffrer vos données où qu’elles soient. Les équipements les plus “problématiques” vis à vis de la sécurité informatique sont vos matériel de travail: postes, portables, smartphones, tablettes. Il est impératif de chiffrer vos outils. A l’heure actuelle, tous les système d’exploitation offrent des possibilité de chiffrements:
- Windows via bitlocker
- Linux via dm-crypt
- Android depuis sa version 3. Le contenu de votre smartphone est même automatiquement chiffré depuis la version 6
- IOS, qui chiffre lui aussi automatiquement depuis sa version 8.
Concernant les serveurs, et notamment les serveurs de fichiers, vous devez là aussi activer le chiffrement des ressources. Le protocole d’échanges de fichier du monde Windows, SMB, intègre nativement le chiffrement depuis sa version 3. En couplant cette fonctionnalité avec un Active Directory, vous vous assurez que seuls les postes et les utilisateurs authentifiés peuvent utiliser la ressource fichier. Si vous ne pouvez pas chiffrer directement le protocole d’échange comme le permet SMB 3.0, vous devez vous rabattre sur le chiffrement du système de fichiers de vos serveurs. Windows propose EFS et Linux utilise dm-crypt (via LUKS) pour y parvenir.
Chiffrez vos sauvegardes
Vos données et vos échanges sont à présents chiffrés et confidentiels. Malheureusement, un point est souvent oublié dans les stratégies de chiffrement: les sauvegardes. En effet, ces dernières doivent restituer vos données de façons intelligibles et contournent pour cela le chiffrement mis en production. Pire, elles stockent parfois leurs jeux de sauvegardes sans protection. Ainsi, vous devez être vigilant dans votre politique de sauvegarde et dans le choix de la solution choisie.
Les principes précédents s’appliquent naturellement aux sauvegardes: les communications internes de votre logiciel de sauvegarde doivent intégrer du chiffrement (échanges entre les agents et le serveur, entre le serveur et le dépôt de données, entre l’interface de gestion et le serveur,…). Une fois de plus, si l’éditeur ne fournit pas un tel chiffrement, vous pourrez probablement vous en sortir avec des reverses proxy voire des tunnels SSH pour les protocoles propriétaires. Néanmoins, cela impactera grandement le fonctionnement – et la garantie ! – de votre solution. Il sera sûrement plus simple de changer d'éditeur.
Enfin, assurez-vous que les données de sauvegardes sont bien chiffrées. Les jeux de sauvegardes des solutions du commerce sont certes dans un format particulier, mais on peut les reconstruire avec un simple utilitaire de restauration. Alors pour assurez un chiffrement de bout en bout de votre système d’information, appliquez un chiffrement aussi à vos données sauvegardés, via une fonctionnalité de la solution, un système de fichier chiffré (comme vu précédemment) ou en chiffrant vous même les fichiers de sauvegarde avec VeraCrypt et consorts.
Vous connaissez désormais les 3 clés d’un chiffrement efficace pour votre activité. VeryFrog vous accompagne également sur la meilleure stratégie de chiffrement pour votre activité. Contactez-nous pour assurer la confidentialité de vos données d’entreprise.