ink drop - stock.adobe.com

Le « Bring Your Own Key » de Workday trouve doucement son public

L’éditeur de SIRH et de Core Finance, Workday, permet à ses clients de gérer eux-mêmes leurs clés de chiffrement depuis 2023. Plusieurs secteurs montreraient un intérêt marqué pour cette option qui, pour la majorité des clients, est vue aujourd’hui comme « une assurance tous risques ou de dernier recours ».

Les informations RH font partie des données les plus sensibles d’une entreprise. Les mettre dans des outils SaaS et les confier à des prestataires extraeuropéens peut poser question dans des secteurs critiques (public, défense, etc.). L’Américain Workday, en pleine croissance en France, l’a compris très tôt.

Pour anticiper cette possible inquiétude, l’éditeur avait en tête, depuis plusieurs années, de laisser les clés de chiffrement (BYOK ou Bring Your Own Key) à ses clients avec un Key Management System (KMS) tiers.

Cinq ans de travail pour cette option

L’idée avait été évoquée pour la première fois en 2018. Dans un échange avec LeMagIT, son SVP Development Technology de l’époque, Daniel Clark, avait confié que cette possibilité pourrait arriver « dans [la] feuille de route. Pas dans un futur proche… mais on y pense ».

Quatre ans plus tard, en 2022, le VP Presales EMEA de l’éditeur, Pierre Gousset confiait à son tour que Workday faisait désormais plus que d’y penser, même si cette option n’était toujours pas concrétisée.

Entre-temps, Workday avait signé de grands groupes, dont MBDA, le « Airbus des Missiles » – sans KMS donc – faisant planer un doute sur le besoin réel du marché pour ce type d’options ultrasécurisées.

C’est finalement en toute discrétion, en octobre 2023, que l’offre s’est matérialisée.

Révoquer l’accès des données à Workday

« Le produit fait l’objet d’une souscription additionnelle, mais dont le tarif est extrêmement réduit », souligne aujourd’hui Pierre Gousset. « Pour être plus précis, dans notre plateforme Workday, nous avons un KMS embarqué. Mais ce que l’offre BYOK ajoute, en plus de ce KMS, c’est la possibilité donnée au client de gérer leurs propres clés de chiffrement et d’en assurer le cycle de vie de bout en bout », continue-t-il.

En résumé, le produit permet « de révoquer tout droit à Workday d’avoir un quelconque accès à ses données ». Le porte-parole insiste : BYOK et KMS assurent « un chiffrement de bout en bout » qui répondraient aux craintes d’intrusions légales dans les données des clients – intrusions rendues possibles par certains droits extraterritoriaux.

KMS et BYOK n’empêchent pas l’IA

Mieux, le KMS et le BYOK n’empêcheraient pas d’appliquer l’intelligence artificielle infusée dans la suite de Workday.

Dans ce cas, « nous désidentifions complètement les données (de manière à ce que les données ne puissent plus être reliées – directement ou même indirectement – à un client, à une entité légale, ou à une personne) avant de désencrypter/réencrypter dans l’espace d’entraînement des modèles », explique Pierre Gousset.

Deux ans après sa sortie, et dans un contexte où la souveraineté progresse, « le Bring Your Own Key » aurait trouvé son public et serait « très utilisée par les entreprises françaises », assurait Pierre Gousset lors d’une conférence de presse, en juin, dans le cadre des 20 ans de l’éditeur, célébrés au Carrousel du Louvre. Mais sans donner plus de chiffres.

Une assurance de derniers recours, au cas où

« La très grande majorité [de nos clients] se satisfait du niveau de sécurité et de contrôle des données que nous offrons hors pierre. »
Pierre GoussetV-P Presales EMEA, Workday

Dans une discussion avec LeMagIT à la suite de cet anniversaire, Pierre Gousset précise cependant que « à ce stade, peu [d’organisations] y voient une absolue nécessité ».

« La très grande majorité [de nos clients] se satisfait du niveau de sécurité et de contrôle des données que nous offrons hors BYOK », constate-t-il.

À peine sorti, le BYOK serait-il donc déjà caduc ? Non, répond-il. « Il y a un intérêt marqué dans les secteurs sensibles, plus attentifs que d’autres au contrôle de leurs données de bout en bout : secteur public, pharma, secteur bancaire, ou encore la défense », nuance le responsable.

Finalement, « les clients sont contents et rassurés d’avoir cette option à leur disposition. Ils la voient comme une assurance tous risques ou de dernier recours ». Comme c’est le cas chez MBDA.

Une assurance pas encore souscrite et que l’on regarde « au cas où », en quelque sorte.

Un seul KMS, et sur AWS

Seul bémol, l’unique KMS tiers compatible avec l’offre de BYOK de Workday aujourd’hui est… américain (sur AWS). Mais le mouvement est lancé. En attendant un pas de plus vers la sécurisation avec un KMS européen ?

« Nous y réfléchissons, mais nous n’avons pas de roadmap publiquement partageable à ce stade », conclut Pierre Gousset.

Pour approfondir sur ERP (PGI)