Passer au contenu

Jouer la complémentarité pour optimiser le cryptage

Du réseau au disque dur en passant par les bases de données, les sauvegardes et les flux applicatifs, le chiffrement peut être réalisé à différents niveaux. Les choix se révèlent, en fait, plus complémentaires que redondants.

La confidentialité des données passe par leur chiffrement. Soit, mais à quel niveau le réaliser ? Au niveau des flux applicatifs, des protocoles réseaux, des fichiers, ou même, des bases de données ou des sauvegardes ? Ces différentes options sont tantôt concurrentes, tantôt complémentaires. Ainsi, lorsqu’il s’agit de sécuriser l’accès à des applications, on a le choix entre le chiffrement des flux générés par chacune d’entre elles et le chiffrement des trames sur le réseau. La première solution nécessite des protocoles spécifiques à chaque type d’application : SSL, pour le Web (HTTPS) ; et S/Mime, pour la messagerie. Certains éditeurs adaptent toutefois SSL, afin de sécuriser le transfert de fichiers FTP ou les requêtes entre un serveur d’applications et un SGBD. En revanche, si l’on chiffre systématiquement les trames réseaux – typiquement, via IPSec -, la question d’un protocole au niveau application ne se pose plus.En outre, “avec le chiffrement des flux applicatifs, des informations utiles aux pirates, comme le type d’application et les adresses des systèmes qui dialoguent, restent en clair”, explique Thierry Karsenti, directeur technique de Check Point Software. Le chiffrement via IPSec nécessite toutefois le déploiement de passerelles et de clients VPN.

Chiffrer les données stockées

Dans le cas d’échanges B to B ou B to C, une telle démarche est d’autant plus complexe que les solutions VPN ne sont pas encore parfaitement interopérables. De plus, certains algorithmes comme le triple DES sont fort gourmands en puissance de calcul.Pour certaines applications, le chiffrement préalable des fichiers peut être une solution. La mise en ?”uvre est d’autant plus simple que les outils savent généralement générer des fichiers autoextractibles, ce qui évite l’installation d’un module de déchiffrement chez les destinataires occasionnels. En revanche, le chiffrement des fichiers est complémentaire de celui des flux, lorsqu’il s’agit de se prémunir contre un individu indélicat qui accède physiquement aux postes clients. On peut chiffrer les données stockées au niveau des SGBD ou des copies de sauvegarde.Dans le cas des bases de données, cette fonctionnalité, disponible depuis peu en France, pénalise les performances et présente un intérêt limité. En contrepartie, la protection des sauvegardes est pertinente lorsque des cartouches à bande sont transportées vers un site distant, procédure indispensable quand on veut se prémunir contre un sinistre.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thierry Lévy-Abégnoli