Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Disques durs chiffrants : la solution contre les pertes de données

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Une étude du Ponemon Institute s’intéresse au TCO du chiffrement intégral. Sa lecture est instructive, mais elle ne différencie malheureusement pas l’usage des SEDs de celui des logiciels de chiffrement intégral. Et hélas le sur-coût principal observé par le Ponemon Institute concerne le temps perdu par les utilisateurs à accéder à leur disque après le chiffrement logiciel, un délai qui n’existe pas avec une solution matérielle. Ce temps perdu compte pour 71% des 300 à 400$ de TCO observés. Le chiffrement matériel des disques n’est pas concerné par cette portion de la facture.

Enfin, outre la sécurité offerte par le chiffrement des données du disque, l’autre atout d’une telle solution matérielle réside dans la facilité de recyclage des disques : il suffit d’en changer la clé de chiffrement avant de les remiser pour rendre leurs données inaccessibles.

En dépit de tous leurs attraits, les disques chiffrants présentent toutefois quelques limitations qu’il convient de prendre en compte. En premier lieu, ils ne protègent les données que lorsque l’ordinateur est éteint. Une fois le système en fonctionnement, un code malveillant aura le même accès aux données que l’utilisateur, et de manière aussi transparente ! De même, lorsque l’appareil est laissé en veille (au lieu d’être éteint), une attaque de type cold boot permettra d’accéder aux informations qu’il contient. Il ne s’agit donc pas d’une panacée et les utilisateurs devront être sensibilisés afin d’éteindre leur appareil plutôt que de le laisser en veille.

Par ailleurs ces disques n’autorisent pas l’usage de clés de chiffrement différentes (hormis la clé-maître de l’administrateur, définie lors de la mise en route), ce qui peut s’avérer dans certains cas un problème sur un poste de travail mutualisé où chaque utilisateur ouvre une session avec son propre mot de passe.

Si l’usage d’un disque chiffrant est évidemment un atout crucial dans une politique de mise en conformité (notamment pour la protection des données à caractère personnel), il n’est pas suffisant à lui seul : en cas de perte ou de vol de l’appareil il faudra être en mesure de prouver que le portable était effectivement éteint au moment du vol et que les clés de chiffrement sont gérées correctement par l’entreprise.

Enfin, réaliser une analyse forensique sur un disque chiffrant peut s’avérer problématique, voire impossible si la puce chiffrante est endommagée.

Malgré ces contraintes, il demeure que l’usage des disques chiffrants constitue une arme considérable  pour la SSI. Peu chers, désormais dotés d’outils d’administration centralisés, et parfaitement efficaces, il faudrait vraiment avoir une bonne raison pour s’en priver (raison qui pourrait être la difficulté à faire migrer un parc important…).

D’autant plus qu’il existe désormais une spécification commune pour les disques chiffrants : le Trusted Computing Group a publié la spécification Opal SSC, qui propose d’harmoniser le Storage Device controller des disques, afin d’unifier notamment l’administration de ces supports. Des disques compatibles Opal commencent à être disponibles, notamment chez Hitachi, Samsung, Seagate et Toshiba.

A lire sur le même sujet : « Le souci du chiffrement intégral sous Mac« .

(*) L’étude CNRS a été menée par François Morris (RSSI du siège, Président du groupe de travail sur la protection des données sensibles) et Thierry Mouthuy (Chargé de Mission SSI de l’IN2P3, responsable de l’expérience pilote à l’IN2P3)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à Disques durs chiffrants : la solution contre les pertes de données

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.