Eviter l'inflation des coûts de stockage lors de la mise en œuvre du chiffrement de bout-en-bout

Voilà 12 mois que les DSI et RSSI vivent des moments difficiles, avec un nombre record de cas de compromission de données largement médiatisés avec des ruptures de contrat à la clé. Et les choses n’ont pas l'air de vouloir s'améliorer. Voici les deux grandes tendances actuelles de l’industrie en matière de sécurité des données :

1) L’intensification des obligations réglementaires édictées dans le monde entier.

2) La sophistication croissante des attaques de cybercriminels.

Pour protéger les données personnelles qu’une entreprise détient, il faut une approche globale plutôt qu’un périmètre de défense. Cette approche globale doit être sécurisée par défaut dès la conception, elle doit protéger contre les menaces de l’intérieur de collaborateurs se rendant involontairement complices d’une compromission de données et être alignée sur la trajectoire des priorités de sécurité des données à présent et à l’avenir.

Ce qui est inquiétant c’est que la plupart des sociétés pourtant expertes en matière de sécurité focalisent leurs efforts de chiffrement au mauvais endroit.

Chiffrement de bout-en-bout ou End-to-End Encryption (E2EE) : la solution miracle ?

Le chiffrement des données peut s’opérer à de nombreux niveaux de la pile du datacentre, depuis l’intérieur de la baie de stockage jusqu’à l’application elle-même.

​

A Hacker's View of your DATA / Attack Surface

Chiffrer les données au niveau de la couche de stockage (au repos) a toujours été l’option privilégiée, étant donné que les baies de stockage peuvent chiffrer les données instantanément sans ralentir la performance. Le DSI est donc satisfait car il peut cocher la case « chiffrement » en ayant l’impression que la totale sécurité des données est garantie. Mais c’est rarement le cas, car la surface d’attaque pour les entreprises est plus étendue que pour une attaque directe du stockage des données et du chiffrement, cette couche ne permettant pas de protéger les données à la volée.

Le chiffrement doit s’appliquer à toute la pile pour protéger l’information toutes couches confondues, y compris en transit sur le réseau, afin de la prémunir du risque d’une compromission des données et de ses conséquences (voir, à titre d’exemple, RGPD Article 34 Paragraphe 3). Les DSI qui négligeraient de procéder de la sorte pour protéger les données des clients se demanderont à coup sûr, une fois victimes d’une compromission de données, pourquoi ils ne l’ont pas fait avant.

La collision avec le stockage des données moderne

Si la mise en œuvre du chiffrement au niveau applicatif s’avère déterminante pour lutter contre les menaces de sécurité, elle peut poser un gros problème face aux réalités du stockage de données moderne. De plus, l’usage courant de baies tout-Flash (AFA) dans les datacentres, dont beaucoup disent qu’elles sont l’avenir, entre en collision frontale avec la possibilité de mise en œuvre du chiffrement E2EE, là où c’est le plus utile et nécessaire. Le chiffrement E2EE désactive la capacité des baies AFA à réduire les coûts, empêchant les entreprises de concilier économies et protection des données privées de leurs clients.

Si le ratio de réduction des données d’une entreprise tombe de 4:1 à 1:1 suite au chiffrement, par exemple, le coût déjà élevé de la technologie tout-Flash est multiplié par quatre, soit une proposition tout simplement intenable.

En opposition directe aux baies tout-Flash AFA avec support matériel, les solutions de stockage selon l’approche définie par logiciel, comme c’est le cas de la solution primée Infinibox d’INFINIDAT, créent les conditions nécessaires pour atteindre le niveau de sécurité des données qu’exigent les actuels environnements réglementaires et les cybermenaces de demain.

Lisez ce livre blanc pour mieux comprendre l'impact d'une sécurité complète des données sur les coûts de stockage de données d'entreprise.