Publicité en cours de chargement...
Faut-il chiffrer les données de son DPI – Volet1
Pour traiter ce sujet, nous sommes obligés d’en revenir à quelques fondamentaux, et pour commencer celui de la différence essentielle entre le moyen et le besoin. Une maîtrise d’ouvrage (MOA) a tout loisir d’exprimer le besoin, mais en aucun cas n’a son mot à dire sur le moyen qui est du seul ressort de la maîtrise d’œuvre (MOE) : si la MOA déborde sur le moyen, alors l’échec du projet lui est entièrement imputable, la MOE pouvant toujours dire qu’elle n’aurait pas utilisé ce moyen, justement. Inversement, la MOE est un « exécutant » et n’a aucune légitimité à intervenir sur la définition du besoin (et même le cas du devoir de conseil est délicat et dépasse le cadre de cet article). Pour prendre un exemple pragmatique, si mon chef me demande d’aller le plus vite possible d’un point A à un point B, que j’y aille à cloche-pied, en courant à reculons ou sur les mains, ce n’est pas son problème et cela ne le regarde pas : seul le résultat compte. Si par contre il m’impose le moyen (courir sur les mains) alors il n’y a aucune garantie que j’y arrive et l’échec éventuel sera de sa seule responsabilité. Au passage et au risque d’en étonner certains, je signale que, dans le choix d’un DPI, le corps médical devrait se contenter d’exprimer strictement des besoins fonctionnels « dans l’absolu », charge à la MOE (la DSI) de choisir le progiciel (marque, version) qui colle le mieux à cette expression des besoins. Cela éviterait certains travers couramment rencontrés tels l’effet « démo-paillette », et pour ceux qui pensent que ce mode de fonctionnement est impossible sachez que le BTP fonctionne comme cela depuis 3000 ans et que les pyramides sont toujours debout, elles ! Mais je m’égare.
À la question « faut-il chiffrer les données de son DPI », la réponse est donc : « chiffrer est un moyen et non pas un besoin, quel est le besoin ? ». Une fois que l’on aura définit précisément le besoin (ce qui est un exercice pas du tout naturel, nous avons tous tendance – moi le premier – à penser « gadget » et non besoin fonctionnel), alors on aura répondu à moitié à la question. Mais avant cela, il est primordial de décrire un peu ce que signifie le mot « chiffrement », non pas dans son sens mathématiques (pour les articles sur Bob et Alice et le chiffrement asymétrique, voir ici [1]) mais plutôt en termes de conséquences opérationnelles sur l’exploitation informatique et le métier : certes la technique n’est pas du ressort de la MOA, mais il faut tout de même qu’elle comprenne ce que la technique permet ou pas car cela peut orienter l’expression du besoin.
Quand on dit « chiffrer une donnée » (c’est-à-dire la rendre illisible pour qui n’en possède pas la clé), il faut surtout dire qui – ou plutôt quoi – va réaliser cette opération de chiffrement. Fondamentalement, un ordinateur (à entendre au sens large du terme, cela peut être un PC, un MAC, un serveur, une baie de disque, un photocopieur multifonctions, etc.) est architecturé autour de couches techniques empilées les unes sur les autres, chaque couche utilisant les services de celle du dessous et fournissant des services à celle du dessus (les puristes me pardonneront cette représentation simplifiée mais qui suffit amplement pour le propos de cet article). En partant du bas, cela donne : le matériel (disque dur, mémoire flash), le firmware, le système d’exploitation (OS : Windows, OSX, Linux), le middleware (base de données ou DB) et le logiciel final. Quand on chiffre une donnée, c’est bien la couche matérielle (le disque dur ou HD) qui va être chiffrée, mais cette opération de chiffrement peut être réalisée par n’importe laquelle des 4 couches du dessus. Sur votre PC, vous pouvez activer le chiffrement « bas niveau » de votre HD : dans ce cas vous allez rentrer dans le BIOS (le firmware) et activer l’option de chiffrement en rentrant un mot de passe qu’il faudra saisir à chaque démarrage de la machine. Vous pouvez aussi chiffrer le disque en activant une fonction de la couche du dessus (l’OS), Microsoft proposant des produits tels Bitlocker : dans ce cas, la saisie du mot de passe d’ouverture de session servira à ouvrir (déchiffrement à la volée) vos données sur le disque. Vous pouvez encore utiliser un logiciel tiers (Truecrypt par exemple), qui se positionne au-dessus de l’OS et pour lequel il faudra gérer un mot de passe. Vous pouvez enfin utiliser les fonctions de chiffrement du logiciel métier que vous utilisez, par exemple Open Office (OO), et chiffrer directement le document dans OO.
Il existe donc quatre façons différentes de « chiffrer les données », et si j’ai utilisé l’exemple de l’informatique domestique, on retrouve peu ou prou les mêmes mécanismes pour l’informatique en entreprise. Et c’est là où le débat commence : ces 4 mécanismes ont tous des avantages et des inconvénients, et surtout ne servent pas à la même chose. Comprendre par-là : ne sont pas une réponse aux mêmes besoins, ou une contre-mesure aux mêmes risques. Ce qui ramène à la question d’origine reformuler : chiffrer pour quel besoin ?
A suivre…
[1] https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique
Avez-vous apprécié ce contenu ?
A lire également.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...