Les ministères belges chiffrent leurs archives

Ceinture et bretelles, le gouvernement belge aime être rassuré. Le Fedict (Service public fédéral de technologie de l'information et de la communication belge) s'y emploie. Outre un réseau sécurisé standard, le directeur informatique Yves Vander Auwera a intercalé la solution de chiffrement de Decru (société acquise par Netapp en juin 2005) dans le flux des données - confidentielles ou non - issues des ministères, et notamment celles en provenance des conseils des ministres.Le DSI a opté pour un déploiement en deux étapes. Dans un premier temps, il a mis en place une architecture classique, bâtie sur trois niveaux : un équipement de stockage primaire FAS (Fabric Attached Storage) de Netapp, une baie de disques Nearstore du même constructeur pour le stockage secondaire, et enfin une bandothèque LTO-3 Scalar i2000 d'Adic Quantum. ' Nous disposons d'une infrastructure standard pour la sécurité extérieure. Mais nous devions aussi régler les problématiques de sécurité interne. Comment nous assurer, en effet, qu'une personne ne parte pas avec une bande, par exemple ', souligne Yves Vander Auwera. Dans un second temps, le Fedict a donc placé un boîtier de chiffrement de Decru entre la librairie de disques Nearstore et la librairie de bandes. Sans connexion directe avec le monde extérieur, bien entendu.

Un faible impact sur la production

En pratique, les données sont chiffrées avant d'être archivées. Les bandes ne sont donc lisibles qu'avec la clé de chiffrement. ' Et dans un souci de sécurité supplémentaire, nous ne confions pas le coffre et la clé du coffre à la même personne ', ajoute le DSI. Quelque peu inquiet avant l'installation, le Fedict s'est vite réjoui du faible impact du chiffrement sur la production. ' Avec le boîtier, la sauvegarde nécessite, au pire, de 5 à 10 minutes supplémentaires, ce qui est négligeable ', précise le DSI. Cependant, la configuration initiale a requis entre deux et trois mois de travail, afin de rôder l'ensemble des mécanismes.Reste le problème de la restauration des données archivées dans le temps, très contraignante pour le service fédéral. ' Lorsque nous changeons de clé, nous devons relire toutes les bandes puis les rechiffrer avec la nouvelle clé. Cette contrainte a toutefois un avantage : elle nous oblige à relire les bandes de temps en temps et à vérifier que les données sont bien là ! ', se résigne Yves Vander Auwera.A terme, le service compte accroître le niveau de sécurité d'un cran en plaçant le boîtier de Decru entre le stockage primaire et le stockage secondaire. Une sauvegarde miroir des données sera effectuée sur un site distant. ' La sécurité absolue n'existe pas, et ce serait une erreur de le croire ', conclut le DSI.k.frascaria@01informatique.presse.fr