Les entreprises stockent de plus en plus de données dans le Cloud public. Le chiffrement permet de sécuriser cette donnée mais l’approche n’est bien évidemment pas anodine en termes de protection des données et de souveraineté.
Le Cloud public s’est imposé ces dernières années dans la palette de solutions qui s’offre aux DSI pour stocker leurs données, qu’il s’agisse de données de sauvegarde ou de production. Outre une surface d’attaque plus grande, le Cloud public expose l’entreprise au risque de voir ses données accédées par un tiers, qu’il s’agisse des administrateurs du Cloud Provider ou éventuellement d’agents du renseignement du pays dont dépend ce fournisseur. Le chiffrement reste une condition sine qua non à cette externalisation.
Tous les fournisseurs de services Cloud proposent désormais à la fois des connexions sécurisées avec leurs services via SSL ou TLS, ainsi qu’un chiffrement on-Rest, c’est-à-dire “à froid” des données sur disques. Encore faut-il que cette protection soit bien activée comme l’explique Candid Wüest, vice-président de la Recherche sur la Cyberprotection chez Acronis : « Beaucoup de vols de données sont causés par des données insuffisamment sécurisées dans le Cloud public, avec des données accessibles à tous du fait d’une mauvaise configuration de la part des administrateurs. » Pour sécuriser les données, Acronis donne la possibilité de les chiffrer avec les algorithmes AES-256, AES-192 et AES-128, selon les besoins de l’entreprise. « Nous préconisons l’AES 256 avec la possibilité de générer automatiquement des clés via notre solution, mais aussi d’utiliser des clés locales pour chaque machine. Par ce moyen, même si un attaquant accède aux données sur le Cloud public, celui-ci ne pourra pas les exploiter car les clés ne lui seront pas accessibles. » Mais si AES-256 est l’état de l’art actuel, ce chiffrement “on-Rest” ne protège pas du prestataire Cloud lui-même. François-Xavier Vincent, CISO et DPO d’Oodrive, précise :
« L’important est de savoir qui possède réellement les clés de chiffrement. Si elles sont gérées par le Cloud provider, celui-ci a la possibilité de déchiffrer des données. Si ces clés sont stockées dans un HSM (Hardware Security Module), elles seront mieux protégées, et enfin, le client peut choisir de conserver lui-même ses clés. C’est une alternative que nous proposons à nos clients. »
Le chiffrement de bout en bout, des contraintes fortes
Une autre approche permet de protéger les éventuelles fuites de données sur les serveurs, c’est le chiffrement de bout en bout (appelé E2EE pour End-to-End Encryption). La donnée est chiffrée avant d’être envoyée dans le Cloud et n’est déchiffrée que par son utilisateur. A aucun moment celle-ci n’est manipulée en clair sur le Cloud. Nicolas Bachelier, directeur général de Prim’X, explique l’importance de ce choix d’architecture : « Nous implémentons dans nos solutions Cloud une approche End-to-End avec ce que l’on appelle du Client-Side Encryption car c’est le seul moyen possible de cloisonner l’information. Si le chiffrement s’effectue sur le serveur, cela implique que les clés sont accessibles au serveur, donc toutes les personnes qui ont accès au serveur peuvent avoir accès aux données. Ce chiffrement est indispensable si on veut mettre en place un véritable cloisonnement de la donnée entre utilisateurs, entre services et surtout inaccessible pour le fournisseur Cloud. » Seald, une startup française propose cette approche pour le chiffrement des emails, mais aussi sous forme d’un SDK. « Notre SDK permet d’implémenter un chiffrement end-to-end dans les applications mobiles ou desktop » explique Timothée Rebours, CEO et co-fondateur de Seald. « Avec ce chiffrement côté client, le serveur n’a pas accès aux clés de déchiffrement ni à l’exécution, ni à froid (on-Rest). » L’approche est pertinente, notamment en télémédecine, pour l’échange de données ou les applications bancaires de type KYC, mais présente des inconvénients techniques : le serveur n’a plus aucune visibilité sur les données. Les services collaboratifs de type G Suite ou Office 365 ne peuvent fonctionner dans ce mode, il faut de nouvelles applications conçues pour fonctionner en mode end-to-end.
Le défi de marier sécurité et collaboration
Sécuriser les données tout en permettant la collaboration, c’est la vocation d’une autre start-up française, Cosmian. Après plusieurs années de développement, le jeune éditeur co-fondé par Sandrine Murcia propose une solution technique pour permettre un calcul collaboratif entre différentes entités sans que les participants au calcul n’aient à donner accès à leurs propres données en clair. En outre, la technologie développée par la startup permet aux organisations de protéger leurs données vis-à-vis de l’environnement, notamment du Cloud public. « Nous nous sommes rendus compte que dans beaucoup de cas, les entreprises ne souhaitent pas que la donnée puisse sortir de l’endroit où elle est stockée pour des raisons de sécurité et de confidentialité » explique Sandrine Murcia. « Nous proposons des technologies de protection de l’environnement de calcul lui-même, en proposant un calcul multipartite sécurisé (Secure Multi-Party Computation). » La startup utilise notamment les enclaves sécurisées SGX des processeurs Intel, ainsi que des algorithmes de chiffrement homomorphique qui permettent de travailler sur les données sans devoir les déchiffrer. Concilier sécurité, ergonomie et outils de collaboration avancés est certainement le grand défi à relever pour les éditeurs dans ces prochaines années.
« Le chiffrement est un outil de souveraineté de l’entreprise sur ses données »
Nicolas Bachelier,
directeur général de Prim’X
« Notre cœur de métier est de protéger la donnée stockée on-Rest dans l’entreprise et c’est la vocation de notre offre Zone Central. Le chiffrement est un outil de souveraineté de l’entreprise sur ses données, avec la possibilité de gérer le droit d’en connaître au niveau de l’organisation, avec des déploiements portant jusqu’à 50 000 postes. Dans la continuité de cette approche, nous accompagnons nos clients vers le Cloud public avec des solutions comme ZonePoint pour sécuriser les espaces partagés dans SharePoint et Orizon pour les espaces de stockage OneDrive. Ces solutions redonnent aux entreprises la souveraineté sur leurs données tout en étant transparentes pour les utilisateurs. Ceux-ci travaillent comme ils ont l’habitude de le faire. C’est la condition nécessaire du succès dans la mise en place d’une solution de chiffrement. »