Si les données chiffrées sont aléatoires, leur envoi vers le cloud devrait permettre d’éviter le débat sur la souveraineté des données. Mais le coût nécessaire pour tout chiffrer a tout simplement rendu cette solution hors de portée.
Il existe un argument de longue date selon lequel le chiffrement de toutes les données envoyées vers le cloud pourrait rendre le le débat sur la souveraineté des données n’est pas pertinent, permettant aux entreprises australiennes d’utiliser des cloud offshore moins chers.
L’argument repose sur le fait que les données, une fois cryptées, sont aléatoires et ne peuvent pas être lues. est déplacé vers la question de la gestion des clés – qui peut être résolue en garantissant que les clés restent à terre.
Mais les fournisseurs de sécurité Trend Micro et Sophos, ainsi que l'intégrateur de systèmes CSC, ont fait valoir que le chiffrement tout n'est pas nécessairement la réponse pour tout le monde, et cela reviendrait à un prix trop élevé coût.
Lors d'une conférence de presse, Bill McGee, vice-président de Trend Micro pour la sécurité des centres de données et du cloud, a déclaré que le chiffrement apporte sur les défis supplémentaires qui ont des effets d'entraînement en termes de mise à l'échelle d'une solution cloud, et les implications financières qui en découlent. apporte.
« À un moment donné, la déduplication ne fonctionne pas sur les données chiffrées, vous allez donc payer des frais de stockage », a-t-il déclaré. Il a ajouté que cela pourrait exploser considérablement pour des ensembles de données plus volumineux, et ne prend même pas en compte les coûts de réseau supplémentaires.
Gordon Archibald, directeur technique de CSC Global Security Solutions, a déclaré que le rôle de son entreprise, en tant qu'intégrateur de systèmes, est de garantir que le niveau de sécurité correspond au profil de risque des entreprises. Cela implique de couvrir un niveau de risque minimum, mais également de ne pas sur-couvrir l'entreprise, afin qu'ils ne paient pas pour ce dont ils n'ont pas besoin.
"S'ils payaient pour cela, nous les aiderions à comprendre [des choses comme leur] profil de risque: où sont vos données, comment est-il chiffré, où est-il utilisé, où se trouve la clé – et nous leur créerions un profil de risque adapté à leur entreprise. Ce qui est bon pour [le ministère de la] Défense est légèrement différent de ce qui est bon pour un fonds de santé [ou] pour le secteur manufacturier. »
Archibald a déclaré qu'il serait rare de voir quelqu'un dont l'activité présente un risque si élevé qu'il nécessite un cryptage complet.
"En fonction de votre profil de menace, vous souhaiterez peut-être emprunter la voie du cryptage complet, mais pour le moment, ce que nous vendons dans nos centres de données, nous ne chiffrons pas complètement les données", a-t-il déclaré.
En fait, Stuart Fisher, directeur général de Sophos pour l'Asie-Pacifique, a déclaré à ZDNet qu'il n'avait jamais vu personne envisager cette idée.
"Je ne pense pas que chaque élément d'information d'une entreprise doive être chiffré en aucune circonstance. Ce n’est pas l’intention, et je ne pense pas qu’il existe une organisation, gouvernementale ou autre, qui envisagerait de chiffrer chaque élément de données. »
Pour rendre les choses encore plus compliquées, McGee a déclaré que même si une entreprise était suffisamment sérieuse pour prendre de telles mesures, la technologie évolue de manière significative. rapidement que des centres de données entiers pourraient devoir être mis à jour, car la puissance de traitement pourrait augmenter à un point tel que le chiffrement deviendrait facile à réaliser. casser.
"C'est un argument un peu plus ésotérique, mais il est juste que les données puissent exister pendant des années et des années... quand il s'agit d'un lecteur de disque. Il y a donc la question: « Est-ce que c’est fort aujourd’hui, est-ce que ça va être fort dans 10 ans? »
Les trois organisations ont convenu que même si le chiffrement constitue un outil important dans le secteur de la sécurité, son véritable pouvoir réside dans la protection des données qui ne sont pas inactifs.
« Devez-vous chiffrer chaque élément de données du centre de données? Non, je ne pense pas que ce soit le cas, mais il n'est pas nécessaire qu'il y ait une violation physique d'un centre de données physique pour subir une perte. Ce n'est pas le risque. Le risque est celui d'un utilisateur mobile qui laisse son ordinateur portable dans une chambre d'hôtel non sécurisé, [ou] d'un e-mail mal interprété ou intercepté", a déclaré Fisher.