Selon une étude d’Arcadiz, le manque de préparation de nos entreprises pour NIS2 est manifeste. Et le chiffrement souvent oublié.
Trois quarts des entreprises ne seront pas prêtes pour la mise en œuvre de la directive NIS2 le 17 octobre 2024 ! On s’en doutait… Manque de ressources, manque de financement. Manque de compréhension, surtout. Seuls 18 % des répondants déclarent avoir une bonne compréhension de la directive NIS2. Et encore moins ont tenu compte du chiffrement, constate Arcadiz à l’issue d’une étude soutenue par la Belgian Digital Infrastructure Association (BDIA)
Le chiffrement ? L’article 21.2(h) de la directive NIS2 le mentionne spécifiquement comme une mesure de sécurité (politiques et procédures concernant l’utilisation de la cryptographie et, le cas échéant, le chiffrement). « Si plus de 80 % des répondants indiquent qu’ils utilisent le chiffrement dans leur organisation, c’est moins clair pour les données au repos, qui sont des données stockées sur un appareil ou dans un centre de données, constate Marcel Lücht, Director of Operations, Arcadiz. 28 % des répondants déclarent que leurs données sont entièrement chiffrées, tandis que 43 % déclarent que c’est partiellement fait. Cela laisse près de 30 % qui ne chiffrent pas du tout (10 %) ou déclarent que cela n’est pas applicable (19 %)… »
Données au repos et en transit, ces oubliées du chiffrement
Cette dernière affirmation est remarquable car le chiffrement des données au repos serait pertinent pour toutes les organisations, explique Marcel Lücht. Chaque organisation traite des données sensibles au GDPR, même s’il s’agit simplement d’informations sur les employés, leurs salaires, leurs congés ou leurs contacts clients. Cependant, il est possible que les répondants qui ont choisi l’option « non applicable » aient indiqué dans les questions précédentes qu’ils n’utilisent pas de chiffrement, ce qui signifie qu’environ 30 % des répondants n’utilisent aucun chiffrement pour les données au repos.
« Les données en transit sont les données qui circulent d’un emplacement à un autre, poursuit Marcel Lücht. Nous observons une répartition similaire ici, avec un pourcentage légèrement plus élevé de répondants déclarant qu’ils chiffrent entièrement ces données, soit environ 35 %. 40 % déclarent les chiffrer partiellement et, par analogie avec les hypothèses que nous avons formulées à la question précédente, environ 25 % des organisations choisissent de ne pas chiffrer leurs données en transit. »
Et vers les centres de données ?
Pourtant, la question demeure : quelles données sont chiffrées et sur quels liens ? Sur le terrain, Arcadiz remarque souvent que le trafic IP sortant de l’organisation sur l’Internet public est crypté sous une forme ou une autre. Toutefois, les données transférées sur des liaisons fibre optique vers les installations de stockage des centres de données ne sont souvent pas cryptées. Cela expliquerait le pourcentage élevé d’organisations déclarant qu’elles chiffrent partiellement les données en transit.
En examinant la technologie utilisée pour chiffrer ces liens, il est clair qu’une grande partie du chiffrement est gérée au niveau d’une couche applicative : plus de 60 % des répondants indiquent qu’ils utilisent ce chiffrement ; le reste utilise VPN / IPsec. Le fait qu’aucune partie n’utilise le chiffrement de couche 1 montre également que l’hypothèse précédente selon laquelle les connexions du centre de données ne sont pas chiffrées.
Un faux sentiment de sécurité
« L’idée fausse courante est que, puisque tout le trafic sur Internet est chiffré, la majorité des risques sont atténués, enchaîne Marcel Lücht. Cependant, les données en transit vers un centre de données n’étant pas chiffrées, une grave faille de sécurité apparaît. Si un hacker parvient à pénétrer l’environnement informatique, toutes les données allant vers le centre de données sont en danger. D’une manière générale, même si l’environnement informatique des entreprises n’est pas piraté, il existe un faux sentiment de sécurité selon lequel le câble à fibre optique est sécurisé. »
Comme l’ont prouvé des recherches il y a plus de dix ans, si l’on obtient un accès à la salle de réunion d’un centre de données ou à un puits traversé par la fibre, il est possible d’exploiter les données qui transitent par ces fibres, même sans interrompre la connexion. Il existe des moyens astucieux de détecter de telles tentatives d’altération, par exemple au moyen d’un module de surveillance automatique des lignes (ALM). Cependant, la plupart des opérateurs ne les implémentent pas dans leur réseau ou ne les proposent même pas dans le cadre de la solution à leurs clients.
Chiffrement, plus de secteurs en retard
« Alors que les cybermenaces continuent d’augmenter, l’importance du chiffrement des données au repos et en transit ne peut être surévaluée », conclut Marcel Lücht. Alors que des secteurs comme les services financiers sont en tête de l’adoption du chiffrement, d’autres secteurs comme la santé, l’énergie, la fabrication et des secteurs plus récents comme la gestion des déchets, la production alimentaire, la recherche, voire les services informatiques doivent accélérer leurs efforts pour se conformer à la directive NIS2 et protéger leurs données critiques.
Et d’avertir : mettre en place un chiffrement approprié ne se résume pas à acheter des appareils et à les brancher sur le réseau. « Si l’on veut le mettre en œuvre correctement, il faut commencer par une analyse d’impact sur l’entreprise, cartographier tous les flux de données, décider quel chiffrement est le mieux adapté à quelle situation/transporteur/flux de données, puis le mettre en œuvre et le configurer correctement… »