Les ministères belges chiffrent leurs archives
Afin d'assurer une sécurité accrue des données critiques du gouvernement, le service public belge des TIC les chiffre avant de les archiver.
01net.
le 26/12/06 à 07h00
Ceinture et bretelles, le gouvernement belge aime être rassuré. Le Fedict (Service public fédéral de technologie de l'information et de la communication belge) s'y emploie. Outre un réseau sécurisé standard, le directeur informatique
Yves Vander Auwera a intercalé la solution de chiffrement de Decru (société acquise par Netapp en juin 2005) dans le flux des données ?" confidentielles ou non ?" issues des ministères, et notamment celles en provenance des
conseils des ministres.
Le DSI a opté pour un déploiement en deux étapes. Dans un premier temps, il a mis en place une architecture classique, bâtie sur trois niveaux : un équipement de stockage primaire FAS (Fabric Attached
Storage) de Netapp, une baie de disques Nearstore du même constructeur pour le stockage secondaire, et enfin une bandothèque LTO-3 Scalar i2000 d'Adic Quantum. ' Nous disposons d'une infrastructure standard pour la
sécurité extérieure. Mais nous devions aussi régler les problématiques de sécurité interne. Comment nous assurer, en effet, qu'une personne ne parte pas avec une bande, par exemple ', souligne Yves Vander Auwera. Dans un
second temps, le Fedict a donc placé un boîtier de chiffrement de Decru entre la librairie de disques Nearstore et la librairie de bandes. Sans connexion directe avec le monde extérieur, bien entendu.
Un faible impact sur la production
En pratique, les données sont chiffrées avant d'être archivées. Les bandes ne sont donc lisibles qu'avec la clé de chiffrement. ' Et dans un souci de sécurité supplémentaire, nous ne confions pas le coffre et la
clé du coffre à la même personne ', ajoute le DSI. Quelque peu inquiet avant l'installation, le Fedict s'est vite réjoui du faible impact du chiffrement sur la production. ' Avec le boîtier, la
sauvegarde nécessite, au pire, de 5 à 10 minutes supplémentaires, ce qui est négligeable ', précise le DSI. Cependant, la configuration initiale a requis entre deux et trois mois de travail, afin de rôder l'ensemble des
mécanismes.
Reste le problème de la restauration des données archivées dans le temps, très contraignante pour le service fédéral. ' Lorsque nous changeons de clé, nous devons relire toutes les bandes puis les rechiffrer
avec la nouvelle clé. Cette contrainte a toutefois un avantage : elle nous oblige à relire les bandes de temps en temps et à vérifier que les données sont bien là ! ', se résigne Yves Vander Auwera.
A terme, le service compte accroître le niveau de sécurité d'un cran en plaçant le boîtier de Decru entre le stockage primaire et le stockage secondaire. Une sauvegarde miroir des données sera effectuée sur un site distant.
' La sécurité absolue n'existe pas, et ce serait une erreur de le croire ', conclut le DSI.
Un cran de sûreté en plus
Le boîtier Datafort E520 SAN se connecte directement ?" donc sans commutateur ?" par un lien Fibre Channel à la baie de disques Nearstore R200, d'un côté, et à la robotique de bandes LTO-3, de l'autre. Le
boîtier chiffre les données avec un algorithme AES-256 bits.
Service public fédéral de technologie de l'information et de la communication belge (Fedict)
Activité : gestion de l'informatique pour différents services gouvernementaux de l'Etat belge.
Siège : Bruxelles.
Nombre d'utilisateurs desservis : un millier.
Stockage : 24 To.
Budget sécurité : 50 % du budget informatique.
Equipement de stockage primaire FAS 3050, de Netapp.
Baie de disques Nearstore R200, de Netapp.
Bandothèque LTO-3 Scalar i2000, d'Adic Quantum.
Boîtier de chiffrement Datafort E520 SAN, de Decru (Netapp).
Sécurité sur la donnée elle-même limitant les risques de vol de bandes en interne.
Pas d'impact significatif sur la production.
nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à SVM mac : 4 €/mois
Abonnez-vous à 01 Informatique : 19 €/mois
