Le chiffrement des fichiers stockés sur un disque local les empêche d’être lus si un attaquant les exfiltre de l’environnement réseau ou de l’appareil d’un utilisateur. Les données chiffrées au repos jouent un rôle important dans la cybersécurité, la protection des données et la conformité. Si un hacker compromet un système et vole des fichiers, il sera incapable de lire les fichiers chiffrés puisqu’ils sont stockés dans un format illisible sans la clé de chiffrement.
Qu’est-ce que le chiffrement au niveau des fichiers ?
Avec le chiffrement au niveau des fichiers, également appelé chiffrement au niveau des fichiers ou chiffrement au niveau du système de fichiers, les fichiers et dossiers individuels stockés sur un périphérique local ou un stockage réseau peuvent être chiffrés sans avoir à chiffrer l’ensemble du support de stockage lui-même. Les fichiers chiffrés ressemblent à une longue chaîne de caractères aléatoires, mais la clé utilisée pour chiffrer les fichiers les traduira dans leur état d’origine. Les administrateurs peuvent spécifier les fichiers et les données qui doivent être chiffrés, il est donc possible qu’un poste de travail utilisateur dispose de certains fichiers dans un état non chiffré. En général, les fichiers contenant des données d’entreprise sensibles, de la propriété intellectuelle, des secrets commerciaux ou des informations client sont chiffrés.
Un environnement réseau hospitalier est un bon exemple de cas d’utilisation du chiffrement au niveau des fichiers. Les hôpitaux stockent les données des patients, y compris les informations personnelles identifiables (PII), les informations de paiement et les dossiers médicaux électroniques sensibles. Tout organisme de santé aux États-Unis, y compris les hôpitaux, est tenu de respecter les réglementations HIPAA (Health Insurance Portability and Accountability Act). La loi HIPAA exige des prestataires de soins de santé qu’ils chiffrent les informations de santé protégées par voie électronique (ePHI). Grâce au chiffrement au niveau des fichiers, les hôpitaux restent en conformité avec les réglementations locales et évitent de divulguer des données sensibles à un tiers après une compromission.
>> Pure Storage offre un moyen simple et sécurisé de stocker des données médicales sans compromettre l’efficacité. Poursuivez votre lecture pour en savoir plus.
Comment fonctionne le chiffrement au niveau des fichiers ?
Les processus impliqués dans le chiffrement au niveau des fichiers sont invisibles pour l’utilisateur sur le poste de travail ou le périphérique local. Un utilisateur doit être authentifié dans l’environnement pour déchiffrer les fichiers, et le système chiffre automatiquement les fichiers lorsqu’ils sont stockés sur le disque de stockage local. Pour chaque demande d’accès aux fichiers, le système intercepte la demande et s’assure que l’utilisateur est authentifié dans l’environnement avant de la déchiffrer.
Pour chiffrer et déchiffrer un fichier, l’utilisateur doit avoir accès à une clé. Pour préserver les performances, la plupart des services de chiffrement au niveau des fichiers utilisent l’Advanced Encryption Standard (AES), un algorithme symétrique. Un algorithme symétrique utilise la même clé pour chiffrer et déchiffrer les données. Comme la clé peut être utilisée pour déchiffrer les fichiers, elle est souvent conservée dans un emplacement sécurisé sur le système et chiffrée par une clé privée uniquement disponible pour l’administrateur.
Technologies et services de chiffrement au niveau des fichiers
Microsoft et Apple ont leur propre forme de chiffrement au niveau des fichiers intégrée à leurs systèmes d’exploitation. Le système d’exploitation Microsoft Windows inclut BitLocker. Les utilisateurs peuvent activer ou désactiver BitLocker sur leurs périphériques locaux, et les administrateurs sur un réseau Windows peuvent forcer le chiffrement au niveau des fichiers à l’aide de politiques globales.
Apple inclut FileVault sur son système d’exploitation Mac. Tous les fichiers sont chiffrés sur le périphérique de stockage local, de sorte que les données ne peuvent pas être volées après le vol d’un ordinateur portable Mac. Seuls les utilisateurs disposant d’identifiants sur l’ordinateur portable local peuvent accéder aux fichiers chiffrés.
Le logiciel open source VeraCrypt est une troisième option de chiffrement au niveau des fichiers. Il s’agit d’une application de chiffrement de fichiers tierce gratuite pour Windows, Linux et macOS. Il s’agit d’une option tierce si vous ne souhaitez pas utiliser les outils de chiffrement courants disponibles dans les principaux systèmes d’exploitation, mais elle peut être plus difficile à gérer que les logiciels de système d’exploitation intégrés si vous n’avez pas d’expérience du chiffrement au niveau des fichiers.
Dans le datacenter, la sécurité du chiffrement au repos peut passer au niveau supérieur. Pure Storage® FlashArray™ déploie la norme AES-256 la plus performante du secteur pour le chiffrement des données au repos. FlashArray chiffre les données à l’aide de trois couches de clés internes dépendantes : une clé de baie, une clé SSD et une clé de chiffrement des données. La clé de baie est générée avec un secret aléatoire, puis distribuée sur plusieurs SSD, ce qui garantit que la moitié des disques de la baie, plus deux autres, sont nécessaires pour recréer les clés d’accès actuelles.
Avantages et inconvénients du chiffrement au niveau des fichiers
Les entreprises et les datacenters utilisent le chiffrement au niveau des fichiers pour préserver les données sensibles, même après une compromission. Lorsqu’un pirate ou un logiciel malveillant accède à un environnement, le réseau est analysé pour détecter les données sensibles. Les données sont généralement envoyées à un serveur contrôlé par un attaquant, où elles sont utilisées pour l’extorsion ou vendues sur les marchés darknet.
Lorsque les fichiers sont chiffrés, les fichiers exfiltrés sont illisibles et ne peuvent pas être vendus ou utilisés à des fins malveillantes. Seuls les utilisateurs disposant de la clé de chiffrement peuvent déchiffrer les fichiers, et les utilisateurs ont accès automatiquement aux fichiers lorsqu’ils s’authentifient dans l’environnement et reçoivent une autorisation. Les administrateurs peuvent contrôler l’accès aux fichiers à l’aide de politiques de groupe ou d’autorisations spécifiques sur le périphérique local. Certaines réglementations de conformité, y compris l’HIPAA, exigent un chiffrement au niveau des fichiers, de sorte que la mise en œuvre d’outils de chiffrement garantit la conformité des organisations.
Les administrateurs doivent conserver le système, car la perte de clés de chiffrement entraîne la perte de fichiers. Les clés de chiffrement ne doivent être disponibles que pour les personnes autorisées. Si un tiers a accès aux clés, les fichiers volés peuvent être décryptés. Une certaine complexité est ajoutée à l’environnement grâce au chiffrement au niveau des fichiers, mais une bonne application la rend pratique pour les administrateurs et invisible pour les utilisateurs.
Alternatives au chiffrement au niveau des fichiers
Le chiffrement au niveau des fichiers est distinct du chiffrement sur disque complet (FDE), où ce dernier chiffre l’ensemble du système de fichiers et toutes les données présentes sur le disque. Les administrateurs peuvent choisir des fichiers à chiffrer avec un chiffrement au niveau des fichiers, mais le chiffrement sur disque complet est souvent considéré comme un environnement plus sécurisé. Les organismes publics utilisent souvent la technologie FDE pour mieux protéger le système de fichiers local et les données sensibles.
Le chiffrement au niveau des applications est une autre option pour les administrateurs qui gèrent des logiciels critiques tels que les moteurs de bases de données. La plupart des principaux moteurs de bases de données intègrent un chiffrement au niveau des applications. Une fonctionnalité de chiffrement au niveau des applications chiffre un sous-ensemble de données, notamment des champs spécifiques dans des tables de base de données contenant des informations hautement sensibles. Par exemple, Microsoft SQL Server intègre un chiffrement au niveau des applications dans sa version professionnelle.
Conclusion
Pour renforcer la protection et la conformité des données, les datacenters et les entreprises qui fournissent des services dans le cloud doivent envisager d’utiliser le chiffrement au niveau des fichiers. Les fichiers volés après une compromission sont inutilisables pour l’attaquant, ce qui permet aux entreprises de mieux sécuriser leurs informations sensibles, même après une violation de données. Le logiciel utilisé pour le chiffrement des fichiers s’exécute en arrière-plan d’un serveur ou d’un périphérique utilisateur, de sorte qu’il n’interfère pas avec la productivité ou les autres opérations quotidiennes.