Deux cas particuliers
Pour ne rien omettre, il faut citer des cas où, bien que le chiffrement soit indispensable, il n’est pas possible de l’utiliser.
Dans certains pays, et on pense souvent immédiatement à la Chine, chiffrer est un délit. Rappelons à cet effet qu’il n’a pas toujours été facile d’être autorisé à chiffrer, en France, avec des clés de longueur suffisante, mais cette histoire appartient au passé. En Chine, et dans quelques autres pays, l’interdiction est par contre très actuelle. Si vous travaillez dans une filiale française d’une entreprise basée à Hong Kong et dont les informations sont dans un Cloud hébergé principalement à Pékin, ne suivez pas à la lettre tout ce qu’on a dit jusqu’ici, même si les idées émises vous semblent pertinentes et leur mise en application nécessaire. Entre une nécessaire sécurité de l’Information et une menace d’inculpation d’espionnage ou d’atteinte à la sécurité de l’état, entre ne pas chiffrer et la prison ou l’expulsion, il faut choisir…
Un autre cas où il ne convient pas de chiffrer est celui où les performances, suite au chiffrement, ne sont pas celles que l’on est en droit d’espérer. Certains éditeurs de bases de données, par exemple, déconseillent de chiffrer les enregistrements à mettre dans leur base. Ce n’est pas que la fonction chiffrement est lente, avec les ordinateurs d’aujourd’hui, mais s’il faut, suite à une requête, déchiffrer un nombre incroyable d’enregistrements inutiles pour parvenir au résultat que l’on cherche, il est sûr qu’il vaut mieux éviter de chiffrer, qu’on soit d’ailleurs dans un Cloud on qu’on reste chez soi.
En conclusion
Nous l’avons souligné, la question est très bonne et on ne peut y répondre par oui ou par non. Ce qui se dégage est que le chiffrement des informations confidentielles ou nominatives, dans un Cloud mutualisé, semi public ou public est indispensable s’il est possible. Mais il ne dispense pas l’utilisateur de la responsabilité de protéger ses informations. La gestion des clés de chiffrement se pose. Nous avons vu également que le canal entre le prestataire du Cloud et l’utilisateur doit être chiffré, et que moins vous gardez la gouvernance sur vos données, plus vous avez intérêt à les signer.