Les entreprises ont beau ériger des forteresses contre les pirates informatiques, elles continuent de subir des attaques massives. Alors que s’ouvrent mercredi, à Monaco, les Assises de la sécurité, les professionnels continuent de chercher la parade. Le chiffrement, une pratique longtemps utilisée dans un cadre militaire ou gouvernemental, connaît un succès grandissant. « Il permet de protéger la confidentialité des données et de s’assurer de leur intégrité, en vérifiant qu’elles n’ont pas été modifiées », indique Loïc Guézo, expert chez Trend Micro. Dans le grand public, en représailles aux pratiques de surveillance massive de la NSA, les géants du Net, comme Google ou Yahoo, ont donné le ton en chiffrant une grande partie du trafic Internet.
Au tour des fournisseurs de solutions de tenter de conquérir les entreprises. Microsoft a inclus dans Windows 10 un outil permettant de chiffrer les données sur son ordinateur. La semaine dernière, il a également annoncé un partenariat avec Thales, afin de chiffrer les pièces jointes issues d’Office et échangées entre deux messageries Outlook, ou stockées dans le cloud. Le logiciel de protection se télécharge sur l’Office Store et coûte 2 euros par utilisateur et par mois. « Nous ciblons en priorité les entreprises visées par la loi de programmation militaire, mais aussi les sociétés classiques et les PME », explique Jean-Marie Letort, vice-président stratégie et marketing chez Thales. En France, cette loi votée fin 2013 oblige les opérateurs d’importance vitale (dont l’activité est jugée critique pour la France), comme les banques ou les énergéticiens, à mieux se protéger. Elle encourage, de fait, le chiffrement.
Clefs de chiffrement
Malgré une croissance rapide, le chiffrement est loin d’être généralisé en entreprise. « La difficulté, c’est d’abord la gestion des clefs de chiffrement. Comment déterminer qui accède à quoi et où l’on stocke ces clefs ? Pour l’utilisateur, cela reste complexe », décrypte Gérôme Billois, expert chez Solucom. Autre problème : l’implémentation des systèmes. « Est-ce que la serrure n’est pas fixée sur une porte en contreplaqué ? » s’interroge Gérôme Billois. Le site de rencontres adultères Ashley Madison, qui vient de subir une attaque de grande ampleur, croyait avoir protégé les mots de passe de ses utilisateurs en les chiffrant. Mais les pirates ont très facilement réussi à les déchiffrer. « La question est de savoir si tout le parcours du document est chiffré, du stockage à l’exécution. Sinon, il peut y avoir un faux sentiment de sécurité », dit Mathieu Poujol, de chez Pierre Audouin Consultants. « Les entreprises sont réticentes, car s’il y a un bug, elles savent qu’elles perdent leurs données », analyse Loïc Guézo. Le chiffrement navigue donc entre deux écueils : mal fait, il s’avère inefficace ; trop complexe, il décourage les utilisateurs, qui s’en détournent, à l’image des hommes politiques qui ne déballent jamais leurs téléphones sécurisés estampillés Thales.
Enfin se pose la question de la confiance dans les outils de chiffrement. L’ANSSI, qui assure la sécurité des administrations et des opérateurs d’importance vitale, verrait d’un mauvais oeil les routeurs Cisco ou les autres outils américains de protection – une crainte ravivée par l’affaire Snowden. « Il y a beaucoup d’échanges sur la souveraineté des données », résume Jérôme Chappe. Son entreprise, TheGreenBow, qui propose un VPN (réseau sécurisé) et un outil de mails chiffrés, vient de recevoir une certification ANSSI qui lui ouvre de nouveaux marchés publics.