Salesforce permet à ses clients de gérer leurs clés de chiffrement

Finie la confiance aveugle dans la promesse de Salesforce de ne jamais accéder aux données qui lui sont confiées. A l’occasion de la mise à jour de l’été 2016 de son service, l’application de gestion de la relation client (CRM) en mode SaaS s’ouvre à la gestion du chiffrement par l’entreprise cliente.

C’est en juillet 2015 que Salesforce a présenté Shield, un ensemble de services intégrés à sa plateforme permettant de superviser les activités des utilisateurs au sein de leurs applications, d’obtenir une trace d’audit, et mais également d’assurer le chiffrement de leurs données au repos, au niveau des métadonnées, pour assurer le maintien des fonctionnalités applicatives telles que la recherche, les workflows ou encore les règles de validation.

Mais jusque ici, ces capacités étaient limitées à Salesforce Lightning, lancé à la fin du mois d’août dernier. Ce n’est plus cas aujourd’hui : elles sont accessibles à Salesforce Classic et à Salesforce1. Et il est même possible d’effectuer des tris sur des champs chiffrés pour les rapports et les tableaux de bord, ce qui ne l’était pas jusqu’alors.

Surtout, avec cette mise à jour estivale, Salesforce permet aux entreprises de gérer elles-mêmes leurs clés, avec leur infrastructure existante de gestion du chiffrement. Les index de recherche peuvent également être chiffrés.  

Pour cela, Salesforce explique qu’il faut autoriser Shield à accéder à ces clés, qu’il est possible de chiffrer avec la clé publique d’un certificat signé par une autorité ou directement par l’entreprise utilisatrice. « Cet accès peut être révoqué à la demande via les outils de gestion de clés ou via l’API ».

Box avait, début 2014, lancé Box EKM, une solution permettant aux entreprises de gérer elles-mêmes les clés servant au chiffrement de leurs données stockées sur son service Cloud. La concrétisation d’une promesse formulée en septembre 2013. A l’époque, quelques mois après le début du scandale Prism, Aaron Levie, Pdg et cofondateur de Box indiquait chercher à permettre aux entreprises de gérer elles-mêmes leurs clés : « nous étudions la manière dont, à l’avenir, nous pourrions permettre aux clients d’être responsables de leurs clés ; c’est quelque chose que nous pourrions proposer aux plus grandes entreprises », expliquait-il alors.

En début d’année, Box est allé un cran plus loin, cherchant à simplifier la gestion des clés de chiffrement : il a étendu son offre EKM en ajoutant le support du service Key Management Service d’Amazon Web Services, lancé en novembre 2014 en complément de son service Cloud HSM. Il s’agit d’une version logicielle, virtualisée, d’un module de sécurité matériel signé SafeNet. Au passage, Box a rebaptisé son service KeySafe.

Avec ce nouvel effort d’ouverture, Salesforce apporte sa réponse à des services tels que celui de CipherCloud, créé en 2011 par l’ancien co-fondateur d’ArcSight. Celui-ci permet de chiffrer de bout en bout les données gérées avec des services Cloud, et cela avec un niveau de granularité élevé, tout en gardant le contrôle de ses clés.

Ce support du Bring Your Own Keys par Salesforce est aujourd’hui lancé en phase pilote. Pour y participer, il est nécessaire de solliciter son représentant commercial. La date de sa disponibilité générale n’a pas été précisée.