Saint-Gobain restreint l'usage du chiffrement à cause de limites technologiques
Le groupe Saint-Gobain a déployé une solution de chiffrement à l'échelle du groupe. Mais le projet s'est heurté à des difficultés organisationnelles et surtout techniques. Il a finalement été restreint aux PC portables, faute d'avoir trouver une solution suffisamment polyvalente et transparente pour être étendue aux clés USB et à l'email. Dans le cadre d'une conférence sur le chiffrement des données locales organisée le 7 avril dernier par le Clusif, le groupe Saint-Gobain a relaté son expérience. Le projet a démarré par la mise en oeuvre d'une méthodologie consistant à identifier les facteurs de risque puis à déterminer quel type d'informations il fallait protéger. Cette enquête a été réalisée auprès des quelque 350 sociétés du groupe. « Il est vite apparu que les machines nomades et les clés USB représentaient les risques les plus importants », affirme Cyril Moneron, RSSI du groupe Saint-Gobain. En revanche, il a été plus difficile de déterminer quelles informations devaient être chiffrées, tant les différences culturelles sont grandes. Chaque société a dû les identifier elle-même. « La direction générale a quand même donné une consigne globale - celle de protéger la totalité des postes de R&D », précise Cyril Moneron. Une solution mal adaptée à la protection des clés USB L'enquête a débouché sur la mise en oeuvre d'une solution d'origine Safeboot, sur un tiers des PC portables, identifiés comme critiques, dont les disques durs sont intégralement chiffrés. En revanche, elle n'a pas été déployée sur les clés USB. « Le support des systèmes de stockage amovibles n'était pas satisfaisant car Safeboot impose la création de volumes virtuels, seulement possible si l'on est administrateur du poste, ce qui n'est pas acceptable », affirme Cyril Moneron, actuellement à la recherche d'un produit alternatif. De réelles difficultés organisationnelles Le déploiement s'est accompagné de la mise en place d'une organisation spécifique. « Il fallait imaginer tous les cas de figure que le support aurait à traiter et lui fournir des solutions. D'autant que la plupart des PC protégés sont des postes VIP », détaille Cyril Moneron. Ces informations ont été diffusées, difficilement, auprès des nombreux help desks. « Il faut compter trois à six mois pour que le support soit vraiment opérationnel », estime Cyril Moneron. Les help desks s'appuient pourtant sur un super held desk centralisé, opérationnel 24 heures sur 24. « En cas de besoin, cette cellule est en mesure d'accorder aux administrateurs locaux, des clés de déverrouillage à accès unique, avec un traçage systématique des demandes », ajoute Cyril Moneron. L'adhésion des utilisateurs se conjugue avec la transparence de la solution « La solution déployée sur les portables est 100 % transparente pour les utilisateurs, ce qui était une condition essentielle au succès », estime Cyril Moneron. Il s'agit d'ailleurs d'un autre point qui bloque le déploiement sur les clés USB. « Il faudrait convaincre et impliquer davantage les utilisateurs, ce qui ne sera possible qu'avec un outil plus ergonomique, qui reste à trouver », précise Cyril Moneron. Saint Gobain a également renoncé au chiffrement des emails, faute d'avoir identifié un produit adéquat. « Nous n'avons pas trouvé de solution suffisamment transparente, qui couvre tous les types d'échanges entre utilisateurs internes et vers l'extérieur. L'alternative aurait consisté à demander à ces utilisateurs de mettre en oeuvre tel ou tel outil en fonction du contexte, ce dont il n'était pas question. »