Alexandra - stock.adobe.com
Oracle et Thales renforcent leur interopérabilité
Partenaires de longue date notamment sur l’infogérance de systèmes critiques pour le secteur bancaire ou la Santé, Oracle et Thales renforcent leur partenariat technologique. Objectif : embarquer la crypto Thales dans les offres de l’américain pour garantir la souveraineté des données.
Le champion français des technologies de défense et Oracle unissent leurs forces afin de proposer aux entreprises françaises des solutions « souveraines » mettant en œuvre les bases de données de l’américain et ses services Cloud.
L’idée est de mettre en œuvre les solutions de chiffrement et de gestion de clés du français afin de sécuriser les données traitées par le second soit en mode on-premise, notamment sur les équipements Exadata, mais aussi sur les systèmes cloud OCI. Les partenaires travaillent déjà ensemble depuis un moment sur ces questions et ont bien évidemment des clients communs. C’est le cas du groupe Ramsay Santé qui met en œuvre des bases de données Oracle, mais opérées par Thales.
« Nous assurons l’infogérance de ces systèmes critiques depuis plus de dix ans et qui sont hébergés dans nos datacenters HDS », explique Julien Giraud, Global Head of Cloud Services chez Thales Critical Information System : « dans le cadre de l'évolution de ce contrat, nous avons travaillé ensemble pour accroître la résilience de l’infrastructure et offrir plus de fonctionnalités ».
Le groupe de santé souhaitait à la fois assurer la résilience de son infrastructure sur plusieurs zones et différents sites, mais garder la possibilité de se déconnecter du cloud à tout moment : « nous avons travaillé avec Oracle sur les dernières versions d’Exadata et d’Oracle on-premise pour fournir la solution. Toutes les fonctionnalités d’Oracle Cloud sont disponibles sur l’Exadata en mode déconnecté. Tout est opéré par Thales qui a accès à la console OCI hébergée à Marseille et qui lui permet de provisionner des services Cloud ayant accès aux données stockées dans l’Exadata du client et qui sont exposées à Oracle OCI ».
Le BYOK, un moyen d’accroître la souveraineté des services cloud
Pour assurer la souveraineté des données, Thales assure la gestion des clés de chiffrement : « c'est un concept qui est connu et reconnu, mais c’est une force de Thales, et peu d’acteurs dans le monde savent le faire. Le vrai enjeu n'est pas de chiffrer la donnée froide, mais de chiffrer la donnée à chaud, lorsqu’elle est en transit et qu’elle est traitée. Grâce à ce produit, nous sommes capables de chiffrer la donnée et de la gérer dans toute sa phase de traitement et pas seulement quand elle est stockée. Elle reste chiffrée quand elle est opérée jusqu'au cache du CPU ».
Oracle explique que cette solution External Key Management System a été choisie par une grande banque française. Cette approche BYOK (Bring Your Own Key) doit lui permettre de garder un contrôle total sur la gestion de ses clés de chiffrement et se conformer à la régulation bancaire tout en mettant en œuvre des services cloud publics.
Damien Rilliard, EMEA Sovereignty Lead chez Oracle précise : « Thales fait du chiffrement avec tous les fournisseurs Cloud, mais il y a plusieurs points particuliers dans ce partenariat qui sont complètement uniques. Avec l’External Key Manager, le client a une infrastructure de gestion de clés de Thales qui n’est pas hébergée par Oracle. A aucun moment, les clés maîtresses de chiffrement ne sont exposées au cloud Oracle. Le déchiffrement des données n’est assuré qu’avec la dérivation de clés sur des clés à durée de vie courte ». Il évoque notamment la capacité pour l’administrateur de clé de couper instantanément l’accès à toutes les données en cas d’attaque informatique, par exemple, et ce même sans même avoir accès au Cloud.
Sébastien Dijoux, ingénieur avant-vente sur les produits de chiffrement de Thales ajoute : « la sécurité d’une clé dépend de sa durée de vie et de l'endroit où elle est consommée. Le cloud ayant besoin des clés issues de notre Key Manager, si la clé n’est plus disponible, le cloud n’a plus accès aux données ».
Et de souligner que l’importance du rôle du Key manager est critique, car il gère les clés de chiffrement : « nous avons l’habitude de mettre en place des quorums d’utilisateurs. Cela permet d’avoir la garantie qu’un opérateur ne va pas avoir les pleins pouvoirs sur le Key Manager et casser la clé, l’attribuer à un tiers à l’extérieur, extraire l’objet cryptographique en dehors de l’environnement sécurisé ».
Selon Sébastien Dijoux, cette bonne pratique permet de rester souverain sur les données qui sont placées chez un fournisseur de services Cloud. Damien Rilliard assure que l’architecture créée avec Thales n’affecte pas les performances de la base de données.
Se préparer à entrer dans l’ère post-quantique
Outre la sécurisation des données placées sur des cloud plus ou moins souverains, Thales travaille beaucoup sur la protection des données contre le risque quantique.
Sébastien Dijoux résume ce risque : « avec la progression de la puissance des calculateurs quantiques, la problématique va être que les clés de chiffrement asymétrique seront cassées par ces ordinateurs lorsqu’ils auront la puissance adéquate. Il faut pouvoir apporter de la confiance sur la sécurité numérique qui est mise en place actuellement ». Selon lui, des personnes et des entités enregistrent actuellement les communications chiffrées et lorsque les ordinateurs quantiques pourront leur révéler la clé de chiffrement, un simple rejeu de l’échange suffira pour en connaître le contenu…
Thales travaille sur l’intégration de briques post-quantique sur son gestionnaire de clés et sur son HSM pour déployer les algorithmes post-quantique lorsque ses clients le souhaiteront : « nous voulons proposer à nos clients une stratégie pour déployer une cryptographie prête à contrer la puissance des calculs des ordinateurs quantiques. Cela permet de garantir l'intégrité et la confidentialité des données dans le futur. Nous avons mené des tests avec Banque de France, par exemple, et créé le consortium Resque sur la mise au point d’une solution de chiffrement post-quantique ».
Alors que le NIST américain a publié ses premiers standards sur les algorithmes post-quantiques l’an dernier, Thales fait valoir son expertise dans le domaine en tant que co-créateur de l’algorithme Falcon.
Le géant français veut offrir une stratégie de migration vers le post-quantique à ses clients. Sébastien Dijoux révèle que Thales a commencé à mettre en place cette stratégie quantique dans ses solutions en fin d'année dernière : « cette année, nous avons étendu cette capacité avec notre librairie cryptographique, qui peut la mettre en œuvre en REST-API et sous forme de librairies pour certains développeurs. Lorsqu'il doit injecter une donnée sensible, le développeur va simplement faire appel à la fonction Protect et l'envoyer dans la base de données avant de faire Reveal pour la récupérer. Cela va alors afficher la donnée en fonction de l’utilisateur ».
Toute la stratégie de chiffrement, les versions d’algorithmes de chiffrement et les différents paramètres sont gérés au sein de l’équipement. Il suffira d’indiquer le changement d’algorithme au niveau des briques Thales pour basculer dans l’ère post-quantique sans devoir toucher au code source des applications.
L’algorithme Falcon arrivera dans une deuxième étape, mais Sébastien Dijoux affirme que Thales travaille déjà avec une PKI française pour que celle-ci puisse proposer une PKI « Future Proof ».
Pour approfondir sur Sécurité du Cloud, SASE
-
![]()
L’IA et le chiffrement post-quantique guident l’avenir de Java
Par: Gaétan Raoul
-
![]()
Chiffrement post-quantique : Google Cloud commence par la signature numérique
Par: Gaétan Raoul
-
![]()
Quantique : Thales Alenia Space et Hispasat distribueront des clés par satellite
Par: Alain Clapaud
-
![]()
Eviden lance un service HSMaaS « souverain »
Par: Gaétan Raoul
