Le chiffrement au repos est impossible ? Guide du RSSI pour des mesures compensatoires robustes

Le constat d’audit est arrivé sur le bureau de Sarah Chen, RSSI, avec un bruit sourd désormais familier. Une base de données héritée critique, génératrice de revenus et cœur opérationnel de la ligne de production de l’entreprise, ne pouvait pas prendre en charge un chiffrement moderne des données au repos. Son architecture sous-jacente datait de dix ans, et le fournisseur avait cessé depuis longtemps de fournir des correctifs de sécurité. À juste titre, l’auditeur l’a qualifiée de risque majeur. Sa recommandation : « Chiffrer toutes les données sensibles au repos au moyen d’algorithmes conformes à l’état de l’art. »

Pour Sarah, il ne s’agissait pas seulement d’un problème technique ; c’était un risque pour la continuité d’activité. La mise à niveau du système aurait impliqué des mois d’indisponibilité et des coûts de plusieurs millions, une option inacceptable pour le conseil d’administration. Mais laisser un volume important de propriété intellectuelle sensible sans chiffrement constituait un risque inacceptable, ainsi qu’un écart manifeste par rapport à leur système de management de la sécurité de l’information (SMSI).

Ce scénario reflète la réalité de la cybersécurité : les solutions parfaites sont rares, et la conformité ne peut pas être suspendue. Cela se produit lorsque des fichiers de sauvegarde critiques sont stockés sur des systèmes hérités, lorsqu’un fournisseur SaaS essentiel invoque des « limitations techniques », ou lorsque des applications à haute performance ne supportent pas la surcharge liée au chiffrement. La réponse théorique, « il suffit de chiffrer », se heurte souvent à la complexité opérationnelle.

Alors, que faire lorsque la mesure principale prescrite n’est pas disponible ? Il ne suffit pas d’accepter le risque. Il faut construire une défense plus intelligente et plus résiliente au moyen de mesures compensatoires. Il ne s’agit pas de chercher des excuses ; il s’agit de démontrer une gestion de la sécurité mature, fondée sur les risques, capable de résister à un examen d’audit exigeant.

Pourquoi le chiffrement au repos est une exigence à fort enjeu

Le chiffrement au repos est une mesure fondamentale dans tous les référentiels de sécurité modernes, notamment ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA et NIST SP 800-53 SC-28. Son objectif est simple mais critique : rendre les données stockées illisibles si les défenses physiques ou logiques échouent. Une bande de sauvegarde perdue ou un serveur volé contenant des données non chiffrées ne constitue pas seulement une erreur technique ; il s’agit souvent d’une violation de données devant faire l’objet d’une notification réglementaire.

Les risques sont clairs et significatifs :

• Vol ou perte de supports portables, tels que des clés USB et des bandes de sauvegarde.
• Exposition de données depuis des équipements non gérés, oubliés ou hérités.
• Impossibilité d’appliquer un chiffrement natif du disque ou de la base de données dans certains contextes SaaS, cloud, OT ou hérités.
• Risques liés à la restauration des données si les clés de chiffrement sont perdues ou mal gérées.

Ces exigences ne sont pas seulement techniques ; elles relèvent aussi d’obligations légales. GDPR Article 32 et DORA Articles 5 et 10 reconnaissent explicitement le chiffrement comme une « mesure technique appropriée ». NIS2 en fait un socle pour garantir l’intégrité des systèmes et de l’information. Lorsque cette défense principale n’est pas réalisable, la charge de la preuve incombe à l’organisation, qui doit démontrer que ses mesures alternatives sont d’une efficacité équivalente.

Passer d’une case à cocher unique à une défense en couches

La réaction instinctive face à un constat d’audit comme celui de Sarah est souvent la panique. Pourtant, un SMSI bien structuré anticipe ce type de situation. La première action de Sarah n’a pas été d’appeler l’équipe infrastructure ; elle a ouvert la Politique de gestion des contrôles cryptographiques de son organisation, un document construit à partir des modèles d’entreprise de Clarysec. Elle s’est rendue directement à une clause qui fournissait le fondement de sa stratégie.

Selon la Politique de gestion des contrôles cryptographiques, la section 7.2.3 décrit explicitement le processus de définition des éléments suivants :

« Mesures compensatoires spécifiques à appliquer »

Cette clause est un appui essentiel pour un RSSI. Elle reconnaît qu’une approche uniforme de la sécurité est inadaptée et fournit une voie formellement approuvée pour traiter le risque. La politique ne fonctionne pas isolément. Comme indiqué à la clause 10.5, elle est directement articulée avec la politique de classification et d’étiquetage des données, qui « définit les niveaux de classification (par exemple, Confidentiel, Données réglementées) déclenchant des exigences de chiffrement spécifiques ».

Cette articulation est déterminante. Les données de la base héritée étaient classées « Confidentiel », ce qui expliquait le constat relatif à l’absence de chiffrement. La mission de Sarah était désormais claire : construire une défense constituée de mesures compensatoires suffisamment robuste pour ramener le risque d’exposition à un niveau acceptable.

Concevoir une stratégie défendable avec le Zenith Blueprint

Le chiffrement est une pierre angulaire de la sécurité moderne, mais comme l’explique le Zenith Blueprint : feuille de route en 30 étapes pour les auditeurs de Clarysec à l’étape 21, la mesure 8.24 Use of Cryptography ne consiste pas simplement à « activer le chiffrement ». Il s’agit plutôt « d’intégrer la cryptographie dans la conception, la politique et la gestion du cycle de vie de l’organisation ».

Lorsqu’une partie de la conception échoue (la base de données héritée), les volets politique et cycle de vie doivent compenser. L’équipe de Sarah a utilisé ce cadre pour concevoir une défense multicouche fondée sur un principe central : empêcher les données de quitter leur conteneur sécurisé, bien que non chiffré.

Mesure compensatoire 1 : prévention des fuites de données (DLP)

Si vous ne pouvez pas chiffrer les données là où elles résident, vous devez vous assurer qu’elles ne peuvent pas en sortir. L’équipe de Sarah a déployé une solution de prévention des fuites de données (DLP) agissant comme un garde-fou numérique. Il ne s’agissait pas d’une simple règle réseau, mais d’une mesure sophistiquée tenant compte du contenu.

À l’aide de Zenith Controls : guide de conformité croisée de Clarysec, l’équipe a configuré le système DLP sur la base des recommandations relatives au contrôle ISO/IEC 27001:2022 8.12 Prévention des fuites de données. Les règles étaient directement alimentées par 5.12 Classification of information. Toute donnée correspondant aux schémas des informations « Confidentiel » présentes dans la base héritée était automatiquement bloquée lors d’un transfert par courriel, téléversement web ou même copier-coller vers d’autres applications.

Comme l’explique Zenith Controls :

« La prévention des fuites de données (DLP) dépend fondamentalement d’une classification exacte des données. Le contrôle 5.12 garantit que les données sont étiquetées selon leur sensibilité… La DLP est une forme spécialisée de surveillance continue, ciblant les mouvements de données… 8.12 peut appliquer des politiques de chiffrement aux données quittant l’organisation, afin que même si des données sont exfiltrées, elles restent illisibles pour les parties non autorisées. »

Cette mesure est reconnue dans plusieurs référentiels et correspond à GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 et NIST SP 800-53 SI-4. En la mettant en œuvre, l’équipe de Sarah a créé une bulle de protection efficace garantissant que les données non chiffrées restent isolées.

Mesure compensatoire 2 : masquage des données pour les usages hors production

L’un des principaux risques associés aux données héritées tient à leur utilisation dans d’autres environnements. L’équipe de développement avait régulièrement besoin de données issues du système de production pour tester de nouvelles fonctionnalités applicatives. Leur transmettre simplement des données confidentielles non chiffrées était exclu.

Sarah s’est alors appuyée sur l’étape 20 du Zenith Blueprint, qui couvre 8.11 Data masking. Le guide précise que les auditeurs poseront directement la question suivante : « Utilisez-vous des données à caractère personnel réelles dans les systèmes de test ? Si oui, comment sont-elles protégées ? »

En suivant ces recommandations, l’équipe de Sarah a mis en œuvre une procédure stricte de masquage des données. Toute extraction demandée par l’équipe de développement devait passer par un processus automatisé pseudonymisant ou anonymisant les champs sensibles. Les noms des clients, les formules propriétaires et les indicateurs de production étaient remplacés par des données réalistes mais fictives. Cette seule mesure a supprimé une surface de risque considérable, en garantissant que les données sensibles ne quittent jamais leur environnement de production fortement contrôlé sous leur forme d’origine.

Mesure compensatoire 3 : contrôles physiques et logiques renforcés

Une fois la fuite de données et l’usage hors production traités, la dernière couche de défense s’est concentrée sur le système lui-même. En s’appuyant sur les principes de 7.10 Storage media issus de Zenith Controls, l’équipe de Sarah a traité le serveur physique comme un actif de haute sécurité. Bien que 7.10 soit souvent associé aux supports amovibles, ses principes de gestion du cycle de vie et de sécurité physique sont pleinement applicables.

Comme le note Zenith Controls sur ce sujet :

« ISO/IEC 27002:2022 fournit des recommandations complètes au titre de la clause 7.10 pour gérer les supports de stockage de manière sécurisée tout au long de leur cycle de vie. La norme recommande aux organisations de tenir un registre de tous les supports amovibles… »

En appliquant cette logique, le serveur a été déplacé dans une baie dédiée et verrouillée du centre de données, accessible uniquement à deux ingénieurs seniors nommément désignés. L’accès physique exigeait une inscription au registre et faisait l’objet d’une vidéosurveillance. Côté réseau, le serveur a été placé dans un VLAN « legacy » segmenté. Les règles de pare-feu ont été configurées pour refuser tout trafic par défaut, avec une seule règle explicite autorisant la communication uniquement depuis le serveur applicatif désigné sur un port spécifique. Cet isolement poussé a drastiquement réduit la surface d’attaque, rendant les données non chiffrées invisibles et inaccessibles.

Faire face à l’audit : présenter une stratégie défendable selon plusieurs angles

Lorsque l’auditeur est revenu pour le suivi, Sarah n’a pas présenté d’excuses. Elle a présenté un plan de traitement des risques complet, accompagné de documentation, de journaux et de démonstrations en direct des mesures compensatoires de son équipe. Un audit n’est pas un événement isolé ; c’est un échange examiné sous plusieurs angles, et un RSSI doit être prêt pour chacun d’eux.

Le point de vue de l’auditeur ISO/IEC 27001 : L’auditeur voulait constater l’efficacité opérationnelle. L’équipe de Sarah a démontré le blocage d’un courriel non autorisé par le système DLP, montré l’exécution du script de masquage des données et fourni des journaux d’accès physique rapprochés des tickets d’intervention.

Le point de vue GDPR et protection des données : L’auditeur a demandé comment la minimisation des données était appliquée. Sarah a présenté les scripts automatisés de suppression sécurisée des données en cache et le processus de pseudonymisation pour toute donnée quittant le système de production, en cohérence avec GDPR Article 25 (protection des données dès la conception et par défaut). La Politique de gestion des contrôles cryptographiques pour PME attribue explicitement au délégué à la protection des données (DPO) la responsabilité de « veiller à ce que les contrôles de chiffrement soient alignés sur les obligations de protection des données prévues par l’Article 32 du GDPR ».

Le point de vue NIS2/DORA : Cette perspective se concentre sur la résilience opérationnelle. Sarah a présenté les résultats des tests de sauvegarde et de restauration du système isolé ainsi que les annexes de sécurité fournisseur relatives au logiciel hérité, démontrant une gestion proactive des risques conforme aux exigences de NIS2 Article 21 et DORA Article 9.

Le point de vue NIST/COBIT : Un auditeur utilisant ces référentiels recherche la gouvernance et les indicateurs. Sarah a présenté le registre des risques mis à jour, montrant l’acceptation formelle du risque résiduel (COBIT APO13). Elle a fait correspondre la DLP à NIST SP 800-53 SI-4 (System Monitoring), la segmentation réseau à SC-7 (Boundary Protection), et les contrôles d’accès à AC-3 et AC-4, démontrant que, même si SC-28 (Protection of Information at Rest) n’était pas satisfait directement, un ensemble de contrôles équivalent était en place.

Éléments probants clés pour les auditeurs concernant les mesures compensatoires

Pour communiquer efficacement leur stratégie, l’équipe de Sarah a préparé des éléments probants adaptés aux attentes des auditeurs.

En anticipant ces différentes perspectives, Sarah a transformé une non-conformité potentielle en démonstration de maturité de la sécurité.

Synthèse pratique pour votre prochain audit

Pour rendre la stratégie claire et défendable, l’équipe de Sarah a créé un tableau de synthèse dans son plan de traitement des risques. Toute organisation peut adopter cette approche.

Aperçu de la conformité croisée

Une stratégie solide de mesures compensatoires est défendable dans l’ensemble des principaux référentiels. Zenith Controls de Clarysec fournit la cartographie croisée nécessaire pour que vos défenses soient comprises et acceptées de manière cohérente.

Conclusion : transformer votre maillon faible en atout

L’histoire de cette base de données héritée impossible à chiffrer n’est pas une histoire d’échec. C’est une illustration d’une gestion des risques mature et intelligente. En refusant de se satisfaire d’un simple « impossible », l’équipe de Sarah a transformé une vulnérabilité significative en démonstration de ses capacités de défense en profondeur. Elle a prouvé que la sécurité ne consiste pas à cocher une case unique intitulée « chiffrement ». Elle consiste à comprendre le risque et à construire une défense réfléchie, multicouche et vérifiable en audit pour l’atténuer.

Votre organisation aura inévitablement sa propre version de cette base de données héritée. Lorsque vous l’identifierez, ne la considérez pas comme un obstacle. Voyez-y l’occasion de bâtir un programme de sécurité plus résilient et plus défendable.

Prêt à construire votre propre cadre de contrôle robuste et compatible avec les exigences d’audit ? Commencez par les bons fondements.

• Revoyez votre corpus de politiques avec les boîtes à outils complètes de Clarysec.
• Explorez The Zenith Blueprint : feuille de route en 30 étapes pour les auditeurs afin de guider votre mise en œuvre.
• Appuyez-vous sur Zenith Controls : guide de conformité croisée pour garantir que vos défenses résistent à l’examen, quel que soit l’angle retenu.

Contactez Clarysec pour un atelier sur mesure ou une évaluation complète de conformité croisée. Dans le paysage réglementaire actuel, la préparation est le seul contrôle qui compte.

Références :

• Politique de gestion des contrôles cryptographiques
• Politique de gestion des contrôles cryptographiques pour PME
• Politique de classification et d’étiquetage des données
• Zenith Blueprint : feuille de route en 30 étapes pour les auditeurs
• Zenith Controls : guide de conformité croisée