Le cryptage des données constitue un dernier point essentiel pour la protection des informations compromises. Cependant, des stratégies mal mises en œuvre peuvent en réalité créer des vulnérabilités supplémentaires. Pour assurer une protection adéquate, nous vous recommandons de respecter ces sept critères pour le cryptage des données:

1. Connaissez vos options de cryptage

Les options de base pour le cryptage des données sont FTPS, SFTP et HTTPS. FTPS est le plus rapide, cependant, il est plus complexe avec des modes à la fois implicites et explicites et des exigences élevées en matière de disponibilité des ports de données. Par ailleurs, SFTP ne nécessite qu'un seul port pour le cryptage. Le protocole HTTPS est souvent utilisé pour sécuriser les transferts humains interactifs à partir d'interfaces Web. Bien que les trois méthodes soient systématiquement déployées pour chiffrer les données et les protéger contre les coupures de sécurité lors de leur navigation sur Internet, il est important de choisir la méthode qui répond le mieux à vos besoins spécifiques..

2. Cryptez toujours les données au repos

La plupart des gens se concentrent sur la sécurisation des données pendant un transfert. Cependant, il est essentiel que les données inactives soient également cryptées. Les fichiers d'échange de données sont particulièrement vulnérables car ils sont stockés dans un format facilement analysable et consommable. De plus, les serveurs de transfert de fichiers basés sur le Web sont plus attaqués que leurs plus sûrs, sur des serveurs homologues sur site.

3.… en particulier avec des données accessibles ou partagées avec des tiers

Lorsqu'une entreprise partage un fichier avec une autre entreprise, elle canalise généralement un fournisseur de stockage qui le chiffre automatiquement et authentifie le destinataire avant d'accorder l'accès. Cependant, il peut arriver qu'une partie non authentifiée ait besoin d'un fichier. Les entreprises ont besoin d'une stratégie pour gérer ces "exceptions" pendant que les données sont en mouvement et au repos.

4. Pretty Good Privacy (PGP) n’est pas suffisant pour gérer la sécurité des fichiers

La plupart des organisations ont mis en place une stratégie PGP pour garantir que les fichiers téléchargés sont cryptés de manière à ce que le destinataire n’ait pas besoin d’un diplôme supérieur pour l’ouvrir. Dès le premier signe de difficulté, ces personnes ont tendance à partager leurs informations de connexion afin d'obtenir l'aide d'un "ami" plus au fait des technologies. Il est également possible que le système tombe en panne et laisse les fichiers non chiffrés et exposés. Les stratégies PGP sont un début, mais pas une solution globale.

5. Le type de cryptage est moins important que la manière dont il est exécuté.

Indépendamment de la méthodologie de cryptage, les entreprises doivent veiller à ce que les protocoles de cryptage et de sécurité soient mis en œuvre de manière transparente à tous les niveaux. S'ils sont trop difficiles et qu'ils laissent trop d'exceptions, il y a plus de chance qu'un fichier non crypté devienne disponible dans un domaine public ou moins sécurisé. Des flux de travail clairement définis et une gestion des clés stricte, ainsi que des outils permettant de simplifier le processus, contribueront grandement à garantir la conformité quotidienne de tous les employés, clients, partenaires et fournisseurs..

6. Établir et protéger l'intégrité des données

La validation d'une chaîne de commande ininterrompue pour tous les transferts protégera davantage les données importantes. Il existe diverses méthodes (sommes de contrôle manuelles, vérification de la signature PGP, fonctions de hachage SHA-1) et des outils permettant de déterminer si les données ont été consultées ou corrompues au cours du processus. La tenue de journaux d’activités complets pour les utilisateurs aidera les administrateurs à vérifier avec précision les systèmes en cas d’incertitude..

7. Renforcer le contrôle d'accès

Dans la plupart des implémentations FTP, une fois que la première couche de sécurité est dépassée, les utilisateurs ont accès à tous les fichiers de ce serveur. Par conséquent, les administrateurs doivent aller au-delà du contrôle d'accès rudimentaire et de l'authentification pour contrôler qui peut accéder à quoi. La première étape consiste à valider que le processus d'authentification est robuste. La mise en œuvre de protocoles de verrouillage et de gestion des mots de passe forts est également essentielle..

Le respect de ces recommandations de meilleures pratiques aidera à garantir que les données confidentielles ont une chance de rester confidentielles même si elles se retrouvent entre de mauvaises mains..

  • Aaron Kelly est vice-président de la gestion des produits chez Ipswitch. Randy Franklin Smith utilise Ultimate WindowsSecurity, un site Web dédié à l'audit et à la conformité informatiques..