Même si la plupart des employés utilisent les dossiers réseau ou l’infonuagique (« le cloud ») pour sauvegarder des documents de travail, il arrive que certains employés sauvegardent des documents localement sur leurs appareils (un ordinateur, une tablette, etc.), parfois pour des raisons de commodité (télétravail, voyage d’affaires, etc.).
Les menaces qui ciblent les organisations sont omniprésentes et de nombreux incidents survenus récemment, tels que la perte ou le vol d’un équipement informatique, représentent pour plusieurs organisations un risque qui met en cause la sécurité de l’information. En se basant sur ce risque, plusieurs entreprises décident à mettre en place des contrôles de sécurité TI pour assurer la confidentialité des données stockées localement sur ce type d’équipement.
Certaines questions se posent par toute organisation qui souhaite se prémunir contre les menaces associées au vol ou à la perte d’un équipement informatique contenant de l’information sensible :
- Quelle est la cible et quel appareil veut-on protéger ?
- Quelle solution permet de se protéger des menaces réelles visant ce type d’équipement informatique ?
- Quels sont les contrôles TI nécessaires en termes de sécurité de l’information ?
- Est-ce que les objectifs de sécurité définis sont alignés sur une norme de bonne pratique ?
Appréhendée de façon large, la cible concerne tous équipements informatiques avec lesquels un employé exerce des activités professionnelles. Ces derniers peuvent effectivement être fournis par l’employeur ou personnel.
Pour les organismes qui autorisent l’utilisation de matériel personnel (la forme BYOD), il sera nécessaire d’intégrer dans leur démarche de sécurité les équipements personnels utilisés dans le cadre professionnel.
Les équipements de travail les plus fréquemment utilisés et susceptibles d’être volés ou perdus en milieu de travail sont les ordinateurs portables. Afin de protéger ce type d’équipement, les organismes optent majoritairement pour le chiffrement des disques durs. Ainsi protégé, les personnes non autorisées seront dans l’incapacité d’accéder au contenu des équipements informatiques volés.
Le chapitre 10 de la norme ISO 27002:2013 couvre le sujet de la cryptographie dans sa généralité et propose deux grandes mesures, la première est relative à la politique d’utilisation des mesures cryptographiques alors que la deuxième adresse la gestion efficace des clés cryptographiques afin de garantir la confidentialité et l’intégrité de l’information.
Les organismes souhaitant mettre en œuvre un contrôle de sécurité TI pour le chiffrement des disques durs en s’alignant avec cette norme doivent sélectionner les contrôles nécessaires permettant la mise en place d’une sécurité TI efficaces et qui répond aux attentes de l’organisation en termes de sécurité.
Parmi les recommandations de sécurité proposés dans le chapitre 10, on peut en citer trois liées aux chiffrements des disques durs permettant une conception et une implémentation adéquate.
- L’utilisation d’une technique de chiffrement reconnue en vue de protéger les données transportées au moyen d’un support sur des appareils amovibles (réf. : 10.1.1c)
- La définition d’encadrements permettant une gestion efficace des clés, notamment les méthodes à utiliser pour protéger les clés de chiffrement et récupérer des informations chiffrées en cas de perte, de compromission ou d’endommagement des clés (réf. : 10.1.1d)
- Sauvegarde, protection et utilisation des clés cryptographiques (réf. : 10.1.2d).
Les équipements informatiques utilisés dans le cadre professionnel contiennent la plupart du temps des données sensibles et le chiffrement du disque dur est une des meilleures mesures pour les protéger. Pour assurer l’efficacité opérationnelle du chiffrement, le département de sécurité au sein des organismes doit déployer une solution technique accompagnée d’une liste des contrôles de sécurité TI et des directives pour faire face aux mesures mentionnées dans le chapitre 10 de la norme ISO 27002. La liste suivante présente une série de recommandations à considérer :
- S’assurer que le chiffrement est appliqué sur l’ensemble des ordinateurs utilisés pour réaliser des activités professionnelles. Minimalement, la solution de chiffrement déployée devrait se synchroniser avec la liste des ordinateurs inscrits auprès du contrôleur de domaine afin de couvrir tout le parc d’ordinateurs professionnels. La synchronisation permet de garantir que tous ordinateurs ajoutés dans le contrôleur de domaine seront chiffrés d’une façon automatique. Tout ordinateur chiffré doit avoir un agent installé pour assurer la communication avec le serveur d’administration et de chiffrement.
- S’assurer de la disponibilité en continu des clés de récupération, le stockage automatique et en temps réel des clés de chiffrement dans deux endroits différents (ex. : une base de données SQL et le contrôleur de domaine). Effectuer des copies de sauvegarde à une fréquence déterminée pour permettre la restauration des clés en cas de perte, de compromission ou d’endommagement des clés.
- Protéger les clés contre tout accès, modification, perte, suppression accidentelle ou non autorisée. Définir les rôles et les responsabilités ainsi que la liste des intervenants. Élaborer les procédures nécessaires pour assurer le bon fonctionnement et la sécurité de la solution du chiffrement. Ces procédures doivent être rendues accessibles à tous les intervenants concernés ainsi que les privilèges et les accès qui doivent être approuvés par le dirigeant principal.
Il y a plusieurs défis en termes de sécurité de l’information dans un milieu d’affaires dynamique. Le principe de chiffrement des disques durs est une technique de sécurité qui permet de mitiger les risques résultant des pertes ou des vols des ordinateurs professionnels.
Cependant, pour assurer l’efficacité opérationnelle de la solution, les solutions cryptographiques ne peuvent répondre à elle seule à l’ensemble des besoins en matière de protection de l’information : il faut également mettre en œuvre d’autres contrôles TI tels que le mécanisme de stockage automatique, la disponibilité des copies de sauvegarde, l’attribution et la gestion des droits d’accès, etc.