À la découverte des services de chiffrement des fournisseurs cloud

Introduction

Nous décrivons dans ce guide le fonctionnement de chacun de ces services, en pointant leurs avantages et leurs potentielles limites. Toutefois, il reste plusieurs points à aborder, afin d’obtenir une vision plus globale des services de chiffrement de données.

Nous nous sommes concentrés sur les offres des fournisseurs cloud, mais il ne faut pas oublier de mentionner les solutions transverses, gérées de manière externe au cloud, proposées par Fortanix, Thales, Atos ou encore Equinix. Le spécialiste Fortanix compte sur son offre Self Defending Key Management Service (SDKMS) proposée en marque blanche et adaptée sous l’appellation SmartKey chez Equinix. Cette solution KMS/HSM externe doit également permettre de protéger des données dans des infrastructures de cloud privé, infogérées ou non.

Thales propose de son côté un produit équivalent : CipherTrust Cloud Key Manager. Celui-ci permet de protéger les données dans la plupart des clouds du marché, même Saleforce. Ubound propose, lui, Unbound Key Control, utilisé et intégré dans de nombreux services cloud. Atos propose quant à lui Atos DataProtect KMS, qui offre cette gestion des clés unifiée multicloud et hybride, en plus de s’intégrer à de nombreux services et produits tiers. Enfin, Entrust (anciennement nCipher) propose nShield as a service, un HSM dans le cloud à la demande, managé ou non, mais ne mentionne pas d’approche multicloud.

Google Cloud Platform est le seul des acteurs étudiés à proposer ouvertement une offre permettant d’utiliser les services de Fortanix, Ionic, Thales, Equinix et Unbound Tech. On notera par ailleurs que les fournisseurs cloud emploient les modules de sécurité matériels (Hardware Security Module – HSM) d’un petit nombre de fabricants. Marvell, SafeNet (Thales) et nCipher (Entrust) sont souvent cités. IBM se différencie avec une offre basée sur des HSM certifiés FIPS 140-2 de niveau 4 et développés par ses soins. Depuis mars 2022, Big Blue s’appuie sur cette son service Hyper Crypto pour proposer une offre multicloud.

Si c’est la norme gouvernementale américaine FIPS 140-2 qui est principalement mise en avant, ces équipements respectent également les critères communs EAL 4 et la certification PCI DSS (pour le paiement sécurisé par carte). Elles définissent les exigences de sécurité pour ces modules de chiffrement. Les KMS eux-mêmes, qui sont des composants logiciels, doivent répondre à des critères similaires. Les acteurs français utilisent le même référentiel.

Ces exigences répondent à l’utilisation première des KMS, c’est-à-dire la protection des transactions et des contrats dans les secteurs bancaires et assurantiels. Depuis la mise en place d’exigences de protections des données personnelles, en provenance de différentes réglementations concernant les données de santé, de plus en plus de solutions KMS et HSM dans le cloud respectent les normes ISO/IEC 27000, HIPAA et sont conformes au RGPD. De plus, les législations concernant le secret des affaires, notamment en France, recommandent l’utilisation de ce type de solution.

En la matière, l’ANSSI propose une qualification que les fabricants et fournisseurs peuvent passer. L’autorité fournit un catalogue comprenant la liste des équipements et des prestataires qualifiés. Pour l’instant, un seul HSM dispose de l’agrément Qualité Renforcée (QR) : le Bull HSM Trustway Proteccio d’Atos. Selon l’autorité, il répond aux critères suivants : « confidentialité, intégrité des clés ; accès restreint, en fonction du rôle, aux services assignés au rôle ; détection d’attaque physique (état erreur si détection d’attaque) ; audit événements sécurité ».

Sans gestion fine des accès et des rôles, un KMS n’est d’aucune utilité

Cette certification soulève un point essentiel qui définit la pertinence des solutions KMS et HSM dans le cloud : la gestion des accès et des rôles. Tous les produits mentionnés nécessitent l’utilisation d’un IAM pour gérer les clés et l’accès aux coffres virtuels ou non. Seulement, sans le respect d’une stratégie fine de gestion des clés et des coffres, de leur génération à leur fin de vie, ces produits perdent leur fonction première : sécuriser.

En effet, si un IAM mal configuré est utilisé avec un service KMS ou HSM, un attaquant peut potentiellement avoir accès à l’intégralité des clés protégeant les mots de passe et les données d’une entreprise. C’est pourquoi tous les fournisseurs recommandent et parfois imposent une gestion des clés par rôle, par application, par coffre. Nous mentionnons le fait qu’Azure Key Vault ne propose pas de compartiment à l’intérieur d’un coffre. Il est donc nécessaire de multiplier les coffres, de modifier régulièrement les clés et de gérer les rôles pour restreindre les périmètres de sécurité.

À titre d’exemple, un développeur doit avoir, au mieux, accès à la paire de clés publiques qui protègent l’application qu’il développe. Les fournisseurs proposent les outils pour le faire, mais ce sont les administrateurs de sécurité qui doivent gérer cet aspect et surveiller les usages. Avant d’adopter un KMS ou un HSM, il y a donc toute une politique de gouvernance et d’analyse de risques à définir. Il convient d’adopter de bonnes pratiques basées – concernant la répartition des rôles, des accès – sur la gestion des autorisations, ainsi que des conditions d’accès. 

KMS et HSM, des produits réglementés

Outre ces réflexions techniques, il est important de mentionner plusieurs considérations légales. Nous évoquons le fait que les réglementations poussent les entreprises à utiliser ce type de service cloud. Les fournisseurs américains défendent un argument commun. Ils vantent les mérites des KMS et des HSM qu’ils considèrent comme la solution contre la menace que peuvent représenter les lois extraterritoriales comme le CLOUD Act et le Patriot Act.

Seulement, le droit américain conserve une forme de flou au regard du chiffrement. Si la demande émane du gouvernement américain lui-même dans le cadre d’une enquête pour terrorisme ou « crimes sérieux », il se peut que l’entreprise concernée ne soit pas notifiée, et que ledit gouvernement s’appuie sur les fournisseurs pour déchiffrer les données ou utilise les compétences de ses agents pour atteindre son but.

En France, l’utilisation d’une solution de chiffrement est libre, mais le fournisseur doit obtenir une autorisation de l’État (gérée par l’ANSSI) pour proposer ses services. Le document impose d’indiquer les principaux composants et l’architecture sous-jacente des services. Quand les clés et les algorithmes de chiffrement sont transférables ou stockés en dehors de l’Union européenne, ils entrent dans la catégorie « de biens à double usage » pour une utilisation civile et militaire, ce qui justifie ce besoin d’autorisation. Spécifiquement le droit français prévoit des obligations de protection des données dans le cadre des activités bancaires et les recommande pour le secret des affaires.

Dans le cadre d’une enquête judiciaire, un officier peut réclamer les clés de chiffrement ou les moyens de déchiffrer les données aux gestionnaires des informations, des clés, le propriétaire des données ou tout autre prestataire capable de le faire, sous peine de poursuite judiciaire (punie de 270 000 euros d’amende et trois ans d’emprisonnement, selon l’article 434-15-2 du Code pénal). En revanche, la CNIL et l’ANSSI, entre autres, sont contre le fait d’imposer des portes dérobées dans les services disponibles.

1Contexte-

Comprendre le chiffrement

2Chiffrer dans le cloud-

Les services de chiffrement des fournisseurs cloud