Chaque ressource doit être protégée selon la bonne méthode
Selon les risques courus et le trajet emprunté par les données, le chiffrement sera appliqué à des fichiers, à une base de données, à des flux applicatifs ou entre des points du réseau.
Que l’on désire sécuriser des données stockées ou en mouvement, le chiffrement peut être réalisé sur les flux empruntant les trames IP du réseau, sur un flux applicatif, sur un fichier ou un SGBD. Si l’on veut supprimer toutes les failles, il faut mixer ces formules, tout en évitant certains pièges. Par exemple, une passerelle antivirale ne sait pas analyser un contenu chiffré ! Une infrastructure à clé publique peut éventuellement jouer le rôle de chef d’orchestre.
Une confidentialité de bout en bout
Le chiffrement d’un flux de données, véhiculé par Internet ou par un réseau privé, est réalisé entre deux points distants – deux PC, deux routeurs, deux passerelles de RPV, un PC et un routeur, ou encore un serveur applicatif et un PC client. Le flux peut être chiffré au niveau des protocoles applicatif ou réseau. Dans le premier cas, on ne chiffre que les sessions entre un client et un serveur applicatif, avec une efficacité de bout en bout. Dans le second cas, en fait celui d’un réseau privé virtuel, les performances représentent un facteur critique, même s’il peut être accéléré par des matériels dédiés. Toutes les applications sont concernées, mais seulement sur un segment. Ainsi, lorsque le chiffrement s’arrête à l’entrée d’un réseau local, tous ses utilisateurs pourront lire les données. Check Point, Network Associates ou 3Com proposent toutefois des logiciels clients qui permettent d’associer le PC à un RPV.Une fois arrivées sur le PC, les données sont déchiffrées. L’utilisateur peut protéger celles qu’il stocke, avec un outil destiné au chiffrement des fichiers du disque dur ou transmis sous forme de pièces jointes. Quant au chiffrement des enregistrements d’une base de données, il n’est pas encore beaucoup utilisé ayant été intégré depuis peu aux SGBD (en juillet dernier, pour Oracle). Sa mise en ?”uvre permettrait d’éviter toute tentative d’accès direct à la base, ou le vol d’une cartouche à bande. Toutefois, certains outils de sauvegarde savent appliquer eux-mêmes un chiffrement.