Inscrivez-vous gratuitement à la Newsletter BFM Business
Afin d'assurer une sécurité accrue des données critiques du gouvernement, le service public belge des TIC les chiffre avant de les archiver.
Ceinture et bretelles, le gouvernement belge aime être rassuré. Le Fedict (Service public fédéral de technologie de l'information et de la communication belge) s'y emploie. Outre un réseau sécurisé standard, le directeur informatique
Yves Vander Auwera a intercalé la solution de chiffrement de Decru (société acquise par Netapp en juin 2005) dans le flux des données - confidentielles ou non - issues des ministères, et notamment celles en provenance des conseils des
ministres.Le DSI a opté pour un déploiement en deux étapes. Dans un premier temps, il a mis en place une architecture classique, bâtie sur trois niveaux : un équipement de stockage primaire FAS (Fabric Attached Storage) de Netapp, une baie
de disques Nearstore du même constructeur pour le stockage secondaire, et enfin une bandothèque LTO-3 Scalar i2000 d'Adic Quantum. ' Nous disposons d'une infrastructure standard pour la sécurité extérieure. Mais nous devions
aussi régler les problématiques de sécurité interne. Comment nous assurer, en effet, qu'une personne ne parte pas avec une bande, par exemple ', souligne Yves Vander Auwera. Dans un second temps, le Fedict a donc placé un
boîtier de chiffrement de Decru entre la librairie de disques Nearstore et la librairie de bandes. Sans connexion directe avec le monde extérieur, bien entendu.
Un faible impact sur la production
En pratique, les données sont chiffrées avant d'être archivées. Les bandes ne sont donc lisibles qu'avec la clé de chiffrement. ' Et dans un souci de sécurité supplémentaire, nous ne confions pas le coffre et la
clé du coffre à la même personne ', ajoute le DSI. Quelque peu inquiet avant l'installation, le Fedict s'est vite réjoui du faible impact du chiffrement sur la production. ' Avec le boîtier, la
sauvegarde nécessite, au pire, de 5 à 10 minutes supplémentaires, ce qui est négligeable ', précise le DSI. Cependant, la configuration initiale a requis entre deux et trois mois de travail, afin de rôder l'ensemble des
mécanismes.Reste le problème de la restauration des données archivées dans le temps, très contraignante pour le service fédéral. ' Lorsque nous changeons de clé, nous devons relire toutes les bandes puis les rechiffrer
avec la nouvelle clé. Cette contrainte a toutefois un avantage : elle nous oblige à relire les bandes de temps en temps et à vérifier que les données sont bien là ! ', se résigne Yves Vander Auwera.A terme, le service compte accroître le niveau de sécurité d'un cran en plaçant le boîtier de Decru entre le stockage primaire et le stockage secondaire. Une sauvegarde miroir des données sera effectuée sur un site distant.
' La sécurité absolue n'existe pas, et ce serait une erreur de le croire ', conclut le DSI.k.frascaria@01informatique.presse.fr
