L’enquête, réalisée auprès de plus de 4 800 entreprises et responsables informatiques aux Etats-Unis, au Royaume-Uni, en Allemagne, en France, en Australie, au Japon, au Brésil et, pour la première fois, en Russie, a pour objectif d’examiner les tendances mondiales en matière de cryptage et les différences entre les régions. En Russie, les résultats montrent que le taux d’adoption du cryptage correspond de très près à celui des autres pays étudiés. Menée pour la première fois en 2005, cette étude en est aujourd’hui à sa neuvième édition.

 ? Les éléments nouveaux :

• Augmentation régulière de l’utilisation du cryptage, 35 % des sociétés interrogées ayant mis en place une stratégie de cryptage à l’échelle de l’entreprise

• La plupart des entreprises déploient une stratégie de cryptage dans le but de réduire l’impact des intrusions dans les données

• Plutôt que les attaques externes, ce sont les erreurs des employés qui sont perçues comme la menace n°1 pour les données sensibles

• Les entreprises mettant en œuvre une politique de cryptage des données se heurtent à deux enjeux majeurs : savoir identifier les données sensibles et savoir gérer la technologie proprement dite

• Plus de la moitié des réponses montrent que la gestion des clés reste un problème majeur

• Les entreprises dont la posture de sécurité est la meilleure sont désormais trois fois plus susceptibles d’avoir une stratégie formelle de cryptage que celles dont la posture de sécurité est la plus faible

Les résultats de l’étude montrent qu’il y a eu une augmentation régulière dans le déploiement des solutions de cryptage sur les neuf dernières années, 35 % des sociétés interrogées appliquant désormais une stratégie de cryptage cohérente à l’échelle de l’entreprise (contre 29 % l’an passé). L’étude indique également que seulement 14 % des entreprises sondées ne disposent d’aucune stratégie de cryptage, alors qu’elles étaient 22 % l’année précédente.

Pour la première fois, la principale raison qui pousse la plupart des entreprises à déployer des solutions de cryptage est de réduire l’impact des intrusions dans les données, tandis que les années précédentes, la motivation première était de préserver la notoriété de la marque. Parmi les entreprises qui estiment qu’il est de leur obligation de signaler les intrusions, près de la moitié pensent que le cryptage de leurs données crée une sphère de sécurité qui les dispense de signaler les intrusions qui se produisent. La motivation qui connaît la progression la plus forte est celle de répondre aux engagements de confidentialité vis-à-vis des clients : 42 % des entreprises accordent en effet plus d’importance aux intérêts de leurs clients qu’à leurs propres intérêts, soit une augmentation de 5 % par rapport à la dernière étude.

Pour 27 % des sondés, ce sont les erreurs des employés qui sont perçues comme la menace n°1 pour les données sensibles ou confidentielles. Lorsqu’à ces erreurs s’ajoutent des dysfonctionnements du système ou des anomalies dans le processus, la crainte d’une exposition accidentelle des données est plus forte (à plus de 2 contre 1) que celle d’attaques malveillantes. Par ailleurs, les divulgations forcées occasionnées par les demandes de preuve électronique sont maintenant perçues comme le deuxième risque le plus important en termes de perte de données sensibles.

Lorsqu’on leur demande où est-ce qu’elles appliquent le cryptage, les entreprises citent en priorité les bandes de sauvegarde et les bases de données, suivies du réseau et des ordinateurs portables. Ne figurant pas dans le Top 10, le cryptage dans le cloud apparaît relativement mal classé comparé aux autres cas d’utilisation.

Les deux enjeux majeurs auxquels sont confrontées les entreprises qui mettent en œuvre une politique de cryptage des données sont l’identification des données sensibles (61 % des sondés) et la capacité à utiliser la technologie de cryptage efficacement (50 % des entreprises interrogées). Obtenant une note de 7 sur une échelle de 1 à 10 (10 correspondant au facteur d’enjeu le plus important), la gestion des clés ou des certificats a été citée comme étant un enjeu majeur dans plus de la moitié des entreprises, 30 % des sondés lui ayant même attribué une note de 9 ou 10. Bien que les trois quarts des sondés identifient la gestion des clés comme une discipline formelle au sein de leur entreprise, plus de 70 % d’entre eux disent ne pas allouer de personnel ou d’outils spécifiques à cette tâche.

Le protocole KMIP (Key Management Interoperability Protocol), qui permet aux entreprises de déployer des systèmes centralisés de gestion des clés de chiffrement compatibles avec une multitude d’applications et de matériels, affiche d’ores et déjà un taux relativement élevé de reconnaissance parmi le personnel IT et celui chargé de la sécurité informatique. Revêtant une importance croissante, le standard KMIP devrait jouer un rôle majeur dans les stratégies de cryptage et de gestion des clés, notamment au niveau du cloud, du stockage et des applications. Plus de la moitié des personnes sondées estiment que le protocole KMIP joue un rôle important dans le cryptage du cloud, alors qu’elles n’étaient que 42 % à le penser l’an passé.

Les modules matériels de sécurité (HSM ) sont de plus en plus considérés comme un élément crucial de la stratégie de gestion des clés. Ces équipements servent à sécuriser le traitement des données critiques et les clés de chiffrement.Ils garantissent une mise en œuvre renforcée des politiques de sécurité et des contrôles d’accès.

« Alors que l’usage du cryptage continue d’être révélateur d’une posture de sécurité forte, force est de constater que l’enjeu que représente la gestion des clés pose un obstacle à une adoption plus grande de cette pratique. C’est la première fois depuis que nous réalisons cette étude que nous creusons vraiment la question de la gestion des clés et il en ressort que celle-ci représente aujourd’hui un énorme enjeu opérationnel. Toutefois, des questions méritent d’être posées sur des aspects plus vastes de la politique de cryptage, notamment sur le choix des algorithmes de chiffrement, en particulier à la lumière des préoccupations actuelles : portes dérobées, mauvaise mise en œuvre des systèmes de cryptage et failles dans les systèmes de gestion des clés. »
Larry Ponemon, président et fondateur de l’institut Ponemon

« Même si elle apparaît aujourd’hui comme un obstacle au déploiement du cryptage, la gestion des clés est une problématique qui n’a rien de nouveau. Les enjeux associés ont déjà été appréhendés dans des secteurs fortement réglementés, comme celui du traitement des paiements, où d’excellentes pratiques ont fait leurs preuves et pourraient être aisément transposées à divers autres secteurs.
Avec plus de 40 années d’expérience dans les solutions de gestion des clés, Thales est idéalement positionné pour aider les entreprises à réévaluer leurs infrastructures cryptographiques de sécurité et de gestion des clés et leur proposer des solutions garantissant l’intégrité et la fiabilité de ces infrastructures. »
Richard Moulds, vice-président Stratégie chez Thales e-Security

A propos du Ponemon Institute

Le Ponemon Institute© a pour mission de promouvoir des pratiques responsables de gestion de l’information et de la confidentialité dans les entreprises et le secteur public. A cette fin, l’institut effectue des recherches indépendantes, forme les responsables des secteurs public et privé, et vérifie les pratiques des entreprises de divers secteurs d’activité en matière de confidentialité et de protection des données.