Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 5 : Choisir la bonne solution
Paru le 04 avril 2007
Pour choisir la combinaison appropriée de technologies de chiffrement, vous devez comprendre les risques auxquels sont confrontées les données à protéger. Vous pourrez alors attribuer une valeur à ces données (en vous assurant d'inclure à la fois les coûts directs et indirects) et choisir une solution qui offre le meilleur retour sur investissement, tout en fournissant un niveau de protection adéquat.
Le tableau suivant, intitulé Résumé de la réduction des risques, dresse une liste des risques auxquels sont exposées les données et indique si une (ou plusieurs) des technologies de chiffrement présentées dans ce guide réduit chacun de ces risques. Les risques réduits pour certaines options sont marqués de la lettre Y. Les tirets - indiquent des risques pour lesquels l'option offre peu ou aucune réduction.
Tableau 5.1. Résumé de la réduction des risques
.jpg)
Sur cette page
Utilisation du tableau Résumé de la réduction des risques
Conclusion
Utilisation du tableau Résumé de la réduction des risques
Vous pouvez utiliser le tableau pour choisir les technologies et les configurations appropriées que vous devez déployer afin de répondre aux besoins de votre entreprise en matière de sécurité. Étant donné que les technologies de chiffrement sont affectées par la configuration et les stratégies du système d'exploitation, le tableau et les risques permettent également de comprendre l'impact des autres stratégies de sécurité sur la solution de chiffrement.
Par exemple, le tableau révèle que les entreprises doivent accomplir une action pour configurer la fonctionnalité « quitter le mode veille » et ce, pour presque toutes les options. Objectif : atteindre un niveau de sécurité correct avec l'une des technologies Microsoft décrites dans ce guide. Le paramètre système Demander un mot de passe lorsque l'ordinateur quitte la mise en veille qui s'affiche dans l'interface utilisateur peut être configuré soit à l'aide d'une stratégie de groupe, soit par l'exécution de scripts qui modifient les paramètres du registre.
Renforcement de la sécurité dans des environnements à faible menace
Certaines entreprises ont des exigences relativement modestes en matière de sécurité mais désirent quand même bénéficier d'une protection supplémentaire sur leurs PC mobiles afin de renforcer la protection de leurs données. Pour ces entreprises, BitLocker doté d'un TPM et d'un code PIN offre une sécurité renforcée avec une surcharge opérationnelle minimale (à condition que les données protégées soient récupérables par les utilisateurs autorisés). Si votre entreprise ne peut pas déployer BitLocker, EFS réduira les risques d'accès aux données par des utilisateurs non autorisés, à la fois sous Microsoft Windows® XP et sous Windows Vista™. L'exécution d'EFS sous Windows Vista contribuera également à réduire les risques de fuite de données à partir du fichier d'échange du système. Néanmoins, il vous faudra des mesures de sécurité supplémentaires pour protéger le système contre d'autres attaques, notamment les attaques hors connexion visant le système d'exploitation ainsi que les tentatives de vol de données de clés.
Protection des informations d'identification personnelle
Votre entreprise a besoin de protéger les informations d'identification personnelle (PII) sur les ordinateurs portables de ses employés contre les menaces extérieures ??Votre analyse des risques indique qu'une protection contre des attaques de complexité moyenne est appropriée ? Vous pouvez donc choisir de déployer BitLocker avec un TPM et un code PIN. Avec cette solution, un ordinateur laissé en mode de veille non protégé constitue le principal risque d'attaques de la part d'individus malveillants : vous pouvez réduire ce risque grâce à une stratégie de groupe ou à des scripts qui modifient les paramètres du registre.
Dans les environnements où vous devez protéger les PII mais ne pouvez pas utiliser BitLocker avec un TPM, pensez à déployer EFS avec l'outil EFS Assistant (Encrypting File System Assistant) de Microsoft. Cette option contribue à protéger votre système contre un certain nombre d'attaques de complexité moyenne. Pour une sécurité renforcée, vous pouvez exiger l'utilisation d'EFS avec des cartes à puce afin d'ajouter un facteur d'authentification.
Cependant, lorsque vous déployez EFS avec le stockage de clé logicielle, n'oubliez pas que la sécurité des données protégées par EFS dépend de la capacité d'un utilisateur à se connecter. Les mots de passe de connexion faibles, les comptes informatiques partagés ou tout autre type de faille de sécurité peuvent diminuer la sécurité du déploiement d'EFS au sein de votre entreprise et doivent donc être réduits au minimum.
Protection des données extrêmement sensibles
Pour les entreprises nécessitant une protection de sécurité maximale à la fois contre les menaces internes (employés) et externes, il convient de privilégier une solution combinant BitLocker et EFS. Une telle solution permet d'empêcher les attaques allant d'une complexité moyenne à une complexité très forte, comme nous l'expliquons dans ce guide. Par exemple, si votre entreprise a des restrictions ou des exigences particulières pour les tailles d'espace de clé, vous pouvez combiner la longueur de clé modifiable d'EFS avec les capacités de chiffrement de volume complet de BitLocker. Vous réduirez ainsi efficacement un large éventail de menaces.
Conclusion
Les technologies BitLocker et EFS décrites dans ce guide fournissent des approches différentes mais complémentaires en matière de chiffrement de données. EFS assure une protection des données de fichiers ou de dossiers au niveau de chaque utilisateur alors que BitLocker garantit un chiffrement de volume complet pour l'intégralité du volume système sur les ordinateurs Windows Vista. BitLocker fournit un chiffrement et une vérification d'intégrité de préamorçage ainsi qu'une protection du volume système contre un large éventail d'attaques hors connexion. Par contre, il ne propose pas d'authentification de l'utilisateur. EFS complète l'action de BitLocker en limitant l'accès aux fichiers chiffrés aux utilisateurs authentifiés sur un ordinateur en cours de fonctionnement.
Ce guide Analyse de sécurité décrit comment utiliser BitLocker et EFS pour réduire la fréquence des risques de sécurité. Évaluez minutieusement les risques réels auxquels votre entreprise est confrontée ainsi que les réductions de risques décrites dans ce guide. Vous pourrez ainsi choisir la combinaison de technologies et d'options qui garantira la protection appropriée de vos données sensibles.
Télécharger
Obtenir les Outils pour le chiffrement des données pour PC mobiles
Participez
Inscrivez-vous pour participer au programme Data Encryption Toolkit version Bêta
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires