tostphoto - stock.adobe.com

SaaS : Google donne les clefs de chiffrement aux clients

Avec un partenaire comme Thalès, les clients de Workspace de Google pourront bientôt gérer leurs clefs de chiffrement en toute indépendance. Airbus est bêta-testeur. Reste la question des fonctionnalités que cette option additionnelle de sécurisation altérera.

La nouvelle n’a pas fait l’objet d’une grande annonce. Et pourtant, elle a son importance. Enfin – diront certains RSSI – le SaaS semble s’ouvrir à la gestion des clefs de chiffrement par les clients eux-mêmes pour mieux sécuriser leurs données et se prémunir de l’extraterritorialité du droit américain. C’est en tout cas ce que laisse entrapercevoir l’initiative de Google Cloud, qui va permettre ce type de protections dans ses principales applications collaboratives (Workspace).

Dans un billet en réaction aux recommandations du Comité européen de la Protection des Données, Google rappelle que les clients de feu G-Suite peuvent déjà choisir de stocker leurs documents strictement en Europe (ce qui ne change rien aux problématiques légales), mais – ajoutent Marc Crandall, Director and Global Head of Privacy de Google Cloud et Nathaly Rey, Head of EMEA Data Governance – « nous allons un pas plus loin dans le chiffrement de Workspace en laissant la gestion des clefs aux clients ».

« Grâce au chiffrement géré côté client, les données sont indéchiffrables par Google », explicitent les deux responsables.

Obligatoirement avec un partenaire de Google (pour l’instant)

La fonctionnalité est actuellement disponible dans la version bêta publique de Google Drive, Docs, Sheets et Slides. Il est prévu de l’étendre à d’autres services Workspace.

En juin, Google en avait dit un peu plus – en toute discrétion – sur cette possibilité, sous la plume de deux responsables produits : Karthik Lakshminarayanan et Erika Trautman.

« Nous nous engageons sur une feuille de route qui étendent le chiffrement côté client à tout Workspace, y compris Gmail, Meet et Agenda. »
Karthik Lakshminarayanan et Erika TrautmanGoogle Cloud

 

« En lançant ce chiffrement côté client, nous aidons les clients à renforcer la confidentialité de leurs données tout en répondant à un large éventail d’exigences en matière de souveraineté des données et de conformité », resituent-ils. « Il est particulièrement avantageux pour les organisations qui stockent des données sensibles ou réglementées, comme la propriété intellectuelle, les dossiers médicaux ou les données financières. Il peut aider à répondre aux exigences de souveraineté des données et aux exigences de conformité pour ITAR, CJIS, TISAX, IRS 1075 et EAR ».

Afin de maintenir la séparation des tâches, l’activation du chiffrement côté client implique cependant de choisir un des quatre partenaires de Google pour la gestion des clefs : Flowcrypt, Futurex, Thales ou Virtru.

« Chacun de ces partenaires a conçu des outils conformes aux spécifications de Google et fournit à la fois des capacités de gestion des clefs et de contrôle d’accès », justifient Karthik Lakshminarayanan et Erika Trautman.

Google promet néanmoins de publier un peu plus tard dans l’année les spécifications de l’API du service d’accès aux clefs pour construire (ou intégrer) son propre KMS.

La gestion des clefs de chiffrement en bêta est disponible pour les éditions Enterprise Plus et Education Plus de Workspace.

Dans un premier temps elle supporte les documents Office et les PDF.

« Nous nous sommes engagés à mettre en place une feuille de route qui étende le chiffrement côté client à l’ensemble de Google Workspace, y compris Gmail, Meet et Agenda », assurent les deux responsables du développement produit.

La prise en charge de Meet – concurrent maison de Teams, Zoom ou Tixeo – est prévue pour l’automne.

Airbus bêta-testeur

Parmi les bêta-testeurs, Airbus utilise déjà le service « pour protéger les données les plus critiques », révèle Andrew Plunkett, Head of Digital Workplace, chez l’avionneur européen. Airbus vient par ailleurs de signer un contrat de cinq ans avec Capgemini pour l’accompagner dans la transformation de ses outils collaboratifs.

Lors du Google Cloud Summit 2018 de Paris, Airbus avait expliqué par la voix d’Alan Zaccardelle, son Program Manager for Security, que les données les plus confidentielles (propriété industrielle, données commerciales liées à des intérêts économiques et la partie militaire) resteraient en interne. Et que si ces données confidentielles devaient tout de même transiter par le cloud, elles seraient alors chiffrées en amont par Airbus…, mais en rendant caduques les fonctionnalités collaboratives.

Un service qui altère les fonctionnalités ?

Dans ses deux billets, Google ne précise pas si la gestion des clefs par le client continuera à altérer des fonctionnalités comme, par exemple, la modification simultanée à plusieurs des documents. Ou s’il a trouvé des solutions pour préserver la totalité du potentiel de sa G Suite/Workspace.

« Les utilisateurs peuvent continuer à profiter de la collaboration native de Google sur le Web, accéder au contenu sur des appareils mobiles et partager des fichiers cryptés en externe », se contentent d’écrire Marc Crandall et Nathaly Rey, en restant volontairement vagues sur ce point.

Le dilemme entre la gestion des clefs et l’accès à toutes les fonctionnalités d’une solution se pose à tous les éditeurs SaaS qui brassent des données sensibles, de l’ERP au HCM en passant, donc, par la gestion des documents. Il était même jusqu’à présent une des justifications pour ne pas proposer cette option. Mais chez Google, certainement sous l’influence de Thomas Kurian, le blocage a sauté.

Pour approfondir sur Outils collaboratifs (messagerie, visio, communication unifiée)

Close