Si vous avez une méthode d’identification de la clé, vous pouvez changer la clé de cryptage, l’application peut commencer à l’utiliser, puis vous pouvez exécuter un job d’arrière plan pour décrypter et recrypter les enregistrements avec la nouvelle clé. Si vous n’avez pas de méthode permettant de suivre la
Les bonnes pratiques évoluent
clé, vous n’avez plus qu’à décrypter tous les fichiers puis à les recrypter avec la nouvelle clé. Une opération délicate car la mise à jour doit se faire au moment où aucun processus applicatif n’utilise le fichier. Si les processus utilisent le fichier ou si une application commence à utiliser le fichier avant que le changement de clés ne soit terminé, l’application risque de ne pas pouvoir accéder à certaines informations parce que les données n’auront pas encore été décryptées puis recryptées.
Quand le cryptage en était à ses débuts, cette tâche n’était pas énorme. Les bonnes pratiques recommandaient alors de changer la clé tous les ans ou tous les deux ans. Cette règle souffrait une exception : quand on estimait qu’il y avait plus de risque pour les données en décryptant et en recryptant qu’en les laissant cryptées avec l’ancienne clé. Mais les bonnes pratiques évoluent et les auditeurs exigent souvent que les clés soient changées annuellement. Attendez-vous bientôt à d’autres directives de la part du PCI à ce sujet, ainsi qu’à de nouvelles règles exigeant un changement plus fréquent des clés. Mais une chose est sûre : en cas de brèche ou d’intrusion, ou si vous apprenez que la clé de cryptage a été compromise, il faut la changer immédiatement. Que vous changiez ou non vos clés régulièrement, vous devez établir et documenter une stratégie énonçant vos pratiques en matière de changement de gestion des clés. L’obligation de changer la clé conduit à la question suivante : « Dois-je prendre mon média de sauvegarde et décrypter et recrypter ces données ? » La réponse est que, à l’heure actuelle, aucune loi ou règlementation ne vous y oblige.
Les données sont la ressource la plus importante d’une entreprise. Vous devez suivre ces conseils en matière de gestion des clés, pour deux raisons : pour être mieux armés face à un auditeur et pour ajouter une couche de protection à vos données vitales.
Téléchargez cette ressource
Plan de sécurité Microsoft 365
Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Activer la mise en veille prolongée dans Windows 10
- Afficher les icônes cachées dans la barre de notification
Les plus consultés sur iTPro.fr
- Baromètre channel IT : fin du cuivre, essor de UCaaS et premiers pas vers l’IA
- Fraude par identité synthétique : comment l’IA peut redonner confiance aux entreprises et à leurs clients
- VirtualBrowser protège la navigation web à la source
- Innovation et performance : le rôle clé du consulting dans la transformation numérique
Articles les + lus
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
À la une de la chaîne Tech
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
- DevX Summit EMEA : les développeurs au cœur de la révolution de l’IA
