Les bonnes pratiques évoluent

clé, vous n’avez plus qu’à décrypter tous les fichiers puis à les recrypter avec la nouvelle clé. Une opération délicate car la mise à jour doit se faire au moment où aucun processus applicatif n’utilise le fichier. Si les processus utilisent le fichier ou si une application commence à utiliser le fichier avant que le changement de clés ne soit terminé, l’application risque de ne pas pouvoir accéder à certaines informations parce que les données n’auront pas encore été décryptées puis recryptées.

Quand le cryptage en était à ses débuts, cette tâche n’était pas énorme. Les bonnes pratiques recommandaient alors de changer la clé tous les ans ou tous les deux ans. Cette règle souffrait une exception : quand on estimait qu’il y avait plus de risque pour les données en décryptant et en recryptant qu’en les laissant cryptées avec l’ancienne clé. Mais les bonnes pratiques évoluent et les auditeurs exigent souvent que les clés soient changées annuellement. Attendez-vous bientôt à d’autres directives de la part du PCI à ce sujet, ainsi qu’à de nouvelles règles exigeant un changement plus fréquent des clés. Mais une chose est sûre : en cas de brèche ou d’intrusion, ou si vous apprenez que la clé de cryptage a été compromise, il faut la changer immédiatement. Que vous changiez ou non vos clés régulièrement, vous devez établir et documenter une stratégie énonçant vos pratiques en matière de changement de gestion des clés. L’obligation de changer la clé conduit à la question suivante : « Dois-je prendre mon média de sauvegarde et décrypter et recrypter ces données ? » La réponse est que, à l’heure actuelle, aucune loi ou règlementation ne vous y oblige.

Les données sont la ressource la plus importante d’une entreprise. Vous devez suivre ces conseils en matière de gestion des clés, pour deux raisons : pour être mieux armés face à un auditeur et pour ajouter une couche de protection à vos données vitales.