Guides Essentiels

À la découverte des services de chiffrement des fournisseurs cloud

Introduction

Nous décrivons dans ce guide le fonctionnement de chacun de ces services, en pointant leurs avantages et leurs potentielles limites. Toutefois il reste plusieurs points à aborder, afin d’obtenir une vision plus globale des services de chiffrement de données.

Nous nous sommes concentrés sur les offres des fournisseurs cloud, mais il ne faut pas oublier de mentionner les solutions transverses, gérées de manière externe au cloud, proposées par Fortanix, Thales, Atos ou encore Equinix. Le spécialiste Fortanix compte sur son offre Self Defending Key Management Service (SDKMS) proposée en marque blanche et adaptée sous l’appellation SmartKey chez Equinix. Cette solution KMS/HSM externe doit également permettre de protéger des données dans des infrastructures de cloud privé, infogérées ou non.

Thales propose de son côté un produit équivalent : CipherTrust Cloud Key Manager. Celui-ci permet de protéger les données dans la plupart des clouds du marché, même Saleforce. Ubound propose, lui, Unbound Key Control, utilisé et intégré dans de nombreux services cloud. Atos propose quant à lui Atos DataProtect KMS, qui offre cette gestion des clés unifiée multicloud et hybride, en plus de s’intégrer à de nombreux services et produits tiers. Enfin, Entrust (anciennement nCipher) propose nShield as a service, un HSM dans le cloud à la demande, managé ou non, mais ne mentionne pas d’approche multicloud.

Google Cloud Platform est le seul des acteurs étudiés à proposer ouvertement une offre permettant d’utiliser les services de Fortanix, Ionic, Thales, Equinix et Unbound Tech. On notera par ailleurs que les fournisseurs cloud emploient les modules de sécurité matériels (Hardware Security Module – HSM) d’un petit nombre de fabricants. Marvell, SafeNet et nCipher sont souvent cités. IBM se différencie avec une offre basée sur des HSM certifiés FIPS 140-2 de niveau 4 et développés par ses soins.

Si c’est la norme gouvernementale américaine FIPS 140-2 qui est principalement mise en avant, ces équipements respectent également les critères communs EAL 4 et la certification PCI DSS (pour le paiement sécurisé par carte). Elles définissent les exigences de sécurité pour ces modules de chiffrement. Les KMS eux-mêmes, qui sont des composants logiciels doivent répondre à des critères similaires. Les acteurs français utilisent le même référentiel.

Ces exigences répondent à l’utilisation première des KMS, c’est-à-dire la protection des transactions et des contrats dans les secteurs bancaires et assurantiels. Depuis la mise en place d’exigences de protections des données personnelles, en provenance de différentes réglementations concernant les données de santé, de plus en plus de solutions KMS et HSM dans le cloud respectent les normes ISO/IEC 27000, HIPAA et sont conformes au RGPD. De plus, les législations concernant le secret des affaires, notamment en France, recommandent l’utilisation de ce type de solution.

En la matière, l’ANSSI propose une qualification que les fabricants et fournisseurs peuvent passer. L’autorité fournit un catalogue comprenant la liste des équipements et des prestataires qualifiés. Pour l’instant, un seul HSM dispose de l’agrément Qualité Renforcée (QR) : le Bull HSM Trustway Proteccio d’Atos. Selon l’autorité, il répond aux critères suivants : « confidentialité, intégrité des clés ; accès restreint, en fonction du rôle, aux services assignés au rôle ; détection d’attaque physique (état erreur si détection d’attaque) ; audit événements sécurité ».

Sans gestion fine des accès et des rôles, un KMS n’est d’aucune utilité

Cette certification soulève un point essentiel qui définit la pertinence des solutions KMS et HSM dans le cloud : la gestion des accès et des rôles. Tous les produits mentionnés nécessitent l’utilisation d’un IAM pour gérer les clés et l’accès aux coffres virtuels ou non. Seulement, sans le respect d’une stratégie fine de gestion des clés et des coffres, de leur génération à leur fin de vie, ces produits perdent leur fonction première : sécuriser.

En effet, si un IAM mal configuré est utilisé avec un service KMS ou HSM, un attaquant peut potentiellement avoir accès à l’intégralité des clés protégeant les mots de passe et les données d’une entreprise. C’est pourquoi tous les fournisseurs recommandent et parfois imposent une gestion des clés par rôle, par application, par coffre. Nous mentionnons le fait qu’Azure Key Vault ne propose pas de compartiment à l’intérieur d’un coffre. Il est donc nécessaire de multiplier les coffres, de modifier régulièrement les clés et de gérer les rôles pour restreindre les périmètres de sécurité.

À titre d’exemple, un développeur doit avoir au mieux, accès à la paire de clés publiques qui protègent l’application qu’il développe. Les fournisseurs proposent les outils pour le faire, mais ce sont les administrateurs de sécurité qui doivent gérer cet aspect et surveiller les usages. Avant d’adopter un KMS ou un HSM, il y a donc toute une politique de gouvernance et d’analyse de risques à définir. Il convient d’adopter de bonnes pratiques basées – concernant la répartition des rôles, des accès – sur la gestion des autorisations, ainsi que des conditions d’accès. 

KMS et HSM, des produits réglementés

Outre ces réflexions techniques, il est important de mentionner plusieurs considérations légales. Nous évoquons le fait que les réglementations poussent les entreprises à utiliser ce type de service cloud. Les fournisseurs américains défendent un argument commun. Ils vantent les mérites des KMS et des HSM qu’ils considèrent comme la solution contre la menace que peuvent représenter les lois extraterritoriales comme le CLOUD Act et le Patriot Act.

Seulement, le droit américain conserve une forme de flou au regard du chiffrement. Si la demande émane du gouvernement américain lui-même dans le cadre d’une enquête pour terrorisme ou « crimes sérieux », il se peut que l’entreprise concernée ne soit pas notifiée, et que ledit gouvernement s’appuie sur les fournisseurs pour déchiffrer les données ou utilise les compétences de ses agents pour atteindre son but.

En France, l’utilisation d’une solution de chiffrement est libre, mais le fournisseur doit obtenir une autorisation de l’État (gérée par l’ANSSI) pour proposer ses services. Le document impose d’indiquer les principaux composants et l’architecture sous-jacente des services. Quand les clés et les algorithmes de chiffrement sont transférables ou stockés en dehors de l’Union européenne, ils entrent dans la catégorie « de biens à double usage » pour une utilisation civile et militaire, ce qui justifie ce besoin d’autorisation. Spécifiquement le droit français prévoit des obligations de protection des données dans le cadre des activités bancaires et les recommande pour le secret des affaires.

Dans le cadre d’une enquête judiciaire, un officier peut réclamer les clés de chiffrement ou les moyens de déchiffrer les données aux gestionnaires des informations, des clés, le propriétaire des données ou tout autre prestataire capable de le faire, sous peine de poursuite judiciaire (punie de 270 000 euros d’amende et trois ans d’emprisonnement, selon l’article 434-15-2 du Code pénal). En revanche, la CNIL et l’ANSSI, entre autres, sont contre le fait d’imposer des portes dérobées dans les services disponibles.

Télécharger gratuitement ce dossier au format PDF

1Contexte-

Comprendre le chiffrement

Définition

Chiffrement

Le chiffrement (également désigné par l'anglicisme "cryptographie") est la conversion de données électroniques dans un autre format difficilement compréhensible par quiconque en dehors des parties autorisées. Lire la suite

Conseils IT

Key Management System (KMS) : une pierre angulaire du chiffrement

Dans cet article, nous explorons les capacités d’un Key Management System, ou en bon français, un système logiciel de gestion de clés de chiffrement. Lire la suite

Conseils IT

Les bénéfices de l’IAM peuvent en contrebalancer les coûts

La gestion des identités et des accès est une brique critique de la sécurité de l’information en entreprise. Mais les bénéfices de l’IAM ne s’arrêtent pas juste à la mise en lumière de qui/quoi utilise les ressources du SI. Lire la suite

Conseils IT

Quelles différences entre CLOUD Act et PATRIOT Act (et quels impacts sur les entreprises françaises)

Les deux lois sont bien distinctes. Mais elles s'appliquent aux entreprises françaises dès qu'elles mettent leurs données chez un prestataire d'origine américaine - ou localisé aux Etats-Unis. Voici tous les éléments pour expliquer ces « Acts » à son COMEX. Et deux pistes pour se protéger de « l'extraterritorialité » du droit américain. Lire la suite

Actualités

Les Five Eyes lancent une nouvelle charge contre le chiffrement

Les gouvernements de l’Australie, du Canada, des États-Unis, de la Nouvelle-Zélande et du Royaume-Uni renouvellent leur appel en faveur de l’interception des communications chiffrées. Ils embarquent l’Inde et le Japon avec eux. Lire la suite

2Chiffrer dans le cloud-

Les services de chiffrement des fournisseurs cloud

Conseils IT

Les services de chiffrement de Microsoft : Azure Key Vault

Comment chiffrer ses données et ses identifiants applicatifs quand on est client de Microsoft Azure ? Le géant du cloud a lancé en 2015 un service dédié à ce type d’opérations. Voici ses fonctions, ses qualités et les défauts les plus visibles. Lire la suite

Conseils IT

Les services de chiffrement de GCP : Cloud KMS, Cloud HSM et Cloud EKM

Que valent les services de chiffrement de Google Cloud Platform ? Cet article tente de brosser le portrait de trois produits du géant du cloud. Attention aux subtilités. Lire la suite

Conseils IT

Les services de chiffrement d’AWS : KMS et CloudHSM

AWS KMS et CloudHSM sont deux services proposés par le géant du cloud pour aider ses clients à chiffrer les données. Découvrez leurs spécificités, leurs qualités et leurs limites. Lire la suite

Conseils IT

Les services de chiffrement d’IBM : Key Protect, Cloud HSM 7.0 et Hyper Crypto Services

Après avoir exploré les offres de chiffrement d’AWS, Microsoft et Google, nous explorons le catalogue d’IBM. Le fournisseur propose trois services. Le premier repose sur une architecture multitenant, le deuxième sur des partitions virtuelles isolées sur des HSM maison mutualisés et le troisième sur des HSM monolocataires. Lire la suite

Conseils IT

Le service de chiffrement d’Oracle Cloud : Infrastructure Vault

Tout comme ses concurrents sur le marché du cloud, Oracle propose un service de chiffrement de données. Celui-ci se nomme désormais Oracle Infrastructure Vault. Voici ses principales caractéristiques. Lire la suite

Conseils IT

Les services de chiffrement des fournisseurs cloud français

Après avoir fait le tour des services de chiffrement KMS et HSM des fournisseurs cloud américains, voici ce que proposent les acteurs français 3DS Outscale et Orange Business Services. OVHcloud, lui, fait bande à part. Lire la suite

Close