Le chiffrement des messages sortants est rarement à l’ordre du jour des entreprises. Et lorsque c’est le cas, elles ont alors recours à des infrastructures à clé publique (PKI) et à des certificats. Toutefois, dans la pratique, ces méthodes demeurent le plus souvent cantonnées à des projets pilotes ou concernent de très grands comptes. Sur le terrain, les directions opérationnelles préfèrent en général recourir à des produits simples à déployer, sans contraintes d’administration et ayant déjà fait leurs preuves. Cela correspond souvent à des logiciels de chiffrement symétrique.
Un choix propre à chaque entreprise
Le choix de ces solutions peut se faire selon plusieurs scénarios adaptés aux besoins de l’entreprise : “Nous n’avions pas les compétences en interne pour décider quel produit utiliser. Nous avons donc commandé une étude comparative à Ernst & Young. Ces derniers ont validé une dizaine d’offres du marché, dont quelques PKI. Il s’est trouvé que c’est un outil de chiffrement symétrique, Security BOX Mail de MSI, qui correspondait le mieux à nos besoins. Nous l’avons testé et adopté, tout simplement “, relate Charles Baixeras, chef de projet à la Chambre nationale des huissiers de justice (CNHJ).De son côté, la Société Générale a choisi elle-même différentes solutions : “Nous avons testé en interne une dizaine de produits de chiffrement du marché au moment du choix et nous continuons à évaluer tous ceux qui sortent aujourd’hui “, explique Michel Dubar, responsable des études techniques sécurité à la division Stratégie Technologie Architecture de la Société Générale. La banque dispose d’un laboratoire et d’ingénieurs qualifiés pour évaluer un produit de sécurité. “Les critères sont simples, poursuit-il. Nous voulions des produits qui ont fait leurs preuves et qui mettent en ?”uvre des algorithmes récents, jugés forts (Cast, IDEA, Blowfish, etc.). Nous refusons en outre des clés inférieures à 128 bits pour le chiffrement symétrique.” À l’issue de ces tests, la banque a validé plusieurs produits, tous de chiffrement symétrique (ceux de MSI, F-Secure et Utimaco, entre autres). Chaque employé ayant besoin de chiffrer une pièce jointe peut ainsi utiliser, au choix, l’un des logiciels validés. Ces deux entreprises ont donc fait le choix pragmatique de rester hors des sentiers aventureux de la PKI, tout comme la société IMTEC, spécialiste de l’injection plastique et utilisatrice du logiciel de PGP. Avantage d’une solution symétrique ? Un déploiement et une administration jugés à l’unanimité incroyablement simples. “PGP est une solution très simple. Nous avons créé un “custom installer” qui se charge de tout. Livré avec le logiciel, il est vraiment facile à configurer “, s’enthousiasme Jean-Yves Beugin, président d’IMTEC. Il a suffi ensuite à la société de mettre un serveur de clés sur le réseau. “C’est un vieux Pentium II recyclé qui ne consomme absolument aucune ressource. Le tout peut être effectué sans soucis par un administrateur système “, précise le président. Même son de cloche à la Chambre nationale des huissiers de justice, laquelle estime n’avoir rencontré aucune difficulté lors de l’installation de Security BOX Mail. “Le déploiement prend moins d’une demi-journée à quelqu’un qui ne connaît pas le produit “, explique Charles Baixeras. La CNHJ a, elle aussi, utilisé un installateur automatique afin de déployer le logiciel. “Nous diffusons notre propre solution d’installation que nous avons réalisée en collaboration avec MSI. Elle contient le produit préconfiguré selon nos besoins, les manuels et nos clés. Le tout, prêt à être installé sans soucis “, conclut-il. “Et c’est là tout l’avantage des produits de chiffrement symétrique, ils ne nécessitent pas de vrai déploiement. Il suffit de placer les logiciels sur un serveur de distribution. Ensuite, les utilisateurs les installent librement selon leur besoin “, ajoute Michel Dubar.Cette simplicité se retrouve très logiquement dans l’administration des produits qui, bien souvent, est réduite à sa plus simple expression. “Nous gérons tout simplement un annuaire LDAP central. Et encore, cela ne concerne que les certificats pour le chiffrement EDI. Pour les courriers traditionnels, chaque utilisateur génère ses propres certificats “, explique Charles Baixeras, avant d’ajouter que le système ravit ses utilisateurs, très attachés à leur autonomie. Chez IMTEC, on reconnaît également que le cryptage n’est pas une charge pour l’administrateur. “Chacun gère son chiffrement et il n’y a aucun problème. Les clés sont générées par notre serveur sur le réseau. Nous avons simplement créé une clé maîtresse capable de tout déchiffrer. Pour des raisons éthiques évidentes, elle est partagée en deux, entre le directeur général et le directeur informatique, et déposée chez un notaire “, explique Jean-Yves Beugin.
Une solution d’avenir
Fiables, simples à déployer et à utiliser, et sans soucis pour l’administrateur, les logiciels de chiffrement symétrique sont les vrais gagnants du cryptage des e-mails de l’entreprise. Que reste-t-il alors à la PKI ? La rationalisation, l’interopérabilité et la montée en charge, répondent en ch?”ur les directeurs informatiques, qui reconnaissent garder un ?”il sur cette technologie. “Nous avons demandé une nouvelle étude à Ernst & Young afin de savoir comment être interopérables à partir de nos certificats maison “, explique Charles Baixeras. À la Société Générale, l’analyse est plus tranchée : “Nous avons une PKI pilote pour chiffrer les e-mails. Elle fonctionne bien. Il est évident que si le besoin se généralise, c’est la solution vers laquelle nous pencherons. Il est hors de question de simplement ajouter une couche de gestion des clés aux logiciels de chiffrement symétrique existants “, reconnaît Michel Dubar. Seul Jean-Yves Beugin pense rester fidèle à PGP : “La PKI ? Pour quoi faire ? Nous maîtrisons PGP, nous maîtrisons nos clés, nous sommes en confiance. C’est important.”
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.