> Tech > Les bonnes pratiques évoluent

Les bonnes pratiques évoluent

Tech - Par iTPro - Publié le 16 février 2011
email

Si vous avez une méthode d’identification de la clé, vous pouvez changer la clé de cryptage, l’application peut commencer à l’utiliser, puis vous pouvez exécuter un job d’arrière plan pour décrypter et recrypter les enregistrements avec la nouvelle clé. Si vous n’avez pas de méthode permettant de suivre la

Les bonnes pratiques évoluent

clé, vous n’avez plus qu’à décrypter tous les fichiers puis à les recrypter avec la nouvelle clé. Une opération délicate car la mise à jour doit se faire au moment où aucun processus applicatif n’utilise le fichier. Si les processus utilisent le fichier ou si une application commence à utiliser le fichier avant que le changement de clés ne soit terminé, l’application risque de ne pas pouvoir accéder à certaines informations parce que les données n’auront pas encore été décryptées puis recryptées.

Quand le cryptage en était à ses débuts, cette tâche n’était pas énorme. Les bonnes pratiques recommandaient alors de changer la clé tous les ans ou tous les deux ans. Cette règle souffrait une exception : quand on estimait qu’il y avait plus de risque pour les données en décryptant et en recryptant qu’en les laissant cryptées avec l’ancienne clé. Mais les bonnes pratiques évoluent et les auditeurs exigent souvent que les clés soient changées annuellement. Attendez-vous bientôt à d’autres directives de la part du PCI à ce sujet, ainsi qu’à de nouvelles règles exigeant un changement plus fréquent des clés. Mais une chose est sûre : en cas de brèche ou d’intrusion, ou si vous apprenez que la clé de cryptage a été compromise, il faut la changer immédiatement. Que vous changiez ou non vos clés régulièrement, vous devez établir et documenter une stratégie énonçant vos pratiques en matière de changement de gestion des clés. L’obligation de changer la clé conduit à la question suivante : « Dois-je prendre mon média de sauvegarde et décrypter et recrypter ces données ? » La réponse est que, à l’heure actuelle, aucune loi ou règlementation ne vous y oblige.

Les données sont la ressource la plus importante d’une entreprise. Vous devez suivre ces conseils en matière de gestion des clés, pour deux raisons : pour être mieux armés face à un auditeur et pour ajouter une couche de protection à vos données vitales.
 

Téléchargez gratuitement cette ressource

Endpoint Security : Etude IDC Enjeux & Perspectives

Endpoint Security : Etude IDC Enjeux & Perspectives

Quel est l'état de l'art des solutions de Endpoint Security et les perspectives associées à leur utilisation ? Comment garantir la sécurité des environnements sensibles en bloquant au plus tôt les cyber attaques sophistiquées, avant qu’elles n'impactent durablement vos environnements de travail ?

Tech - Par iTPro - Publié le 16 février 2011