Chadi Hantouche (Solucom) "Le chiffrement homomorphique est prometteur pour sécuriser ses données cloud"

A l'heure où Google annonce vouloir publier le nombre des requêtes des services de renseignements US lui réclamant des données, les données des entreprises françaises, elles, ne sont pas à l'abri dans les clouds américains. Le point sur les risques, enjeux et moyens de se protéger de PRISM.

1
Chadi Hantouche est manager de la practice Sécurité et risk management chez Solucom. © Solucom

JDN Tech. Dans quelle mesure les données des entreprises françaises peuvent-elles être exploitées par les fournisseurs de cloud et le gouvernement américains ?

Chadi Hantouche. On le sait depuis des années, les géants américains ont accès aux données des entreprises. C'est même quasiment une évidence, car ils sont administrateurs des systèmes techniques qui manipulent ces données. Plusieurs exemples assez connus l'ont prouvé avant l'affaire PRISM. Microsoft l'avait ainsi confirmé lors du lancement d'Office 365 tandis que Blackberry suscite aussi depuis longtemps de multiples interrogations, comme récemment en Inde.

La question qui se pose est surtout celle de l'accès aux données par le gouvernement américain. Et cet accès est légal et se base sur des textes bien connus : le Patriot Act, qui, depuis une décennie permet aux autorités de demander à toute entreprise américaine l'accès aux données pour des cas de terrorisme. Ce texte a été complété par le FISA, qui, mis à jour en 2008, permet un accès simplifié aux données des personnes n'étant pas de nationalité américaine ou ne résidant pas aux US.

En quoi PRISM constitue-t-il une menace à la confidentialité des données ?

La nouveauté avec PRISM réside dans le fait que la NSA pourrait, en théorie, accéder simplement aux données sur les serveurs des géants du cloud. Les premiers échos faisaient état d'un accès direct, mais les médias se sont depuis rétractés sur ce point. Il convient plutôt de parler d'un accès simplifié, par des processus bien rodés comme l'e-mail ou un serveur FTP plutôt que d'un portail web d'accès.

Le gouvernement américain a beau assurer que ces données ne sont utilisées que dans le cadre d'enquêtes spécifiques touchant à la sécurité de l'Etat, on peut légitimement craindre des dérives pour les données personnelles, et pour les données des entreprises.

Des garde-fous existent-ils pour garantir la sécurité de l'accès aux données, leur confidentialité et la préservation de leur intégrité ?

"Tous les hébergeurs cloud ne se valent pas, et des outils existent pour évaluer les niveaux de sécurité"

D'un point de vue juridique, peu de mesures semblent réellement efficaces. Une clause avec l'hébergeur américain lui interdisant de transmettre des données n'arrêterait certainement pas une procédure de ce type. Pire, l'existence d'un gag order, c'est-à-dire une obligation de silence, peut interdire l'hébergeur d'en informer l'entreprise concernée. Une attention particulière de la part de juristes compétents reste pour autant indispensable lors de la phase de contractualisation. 

Et quels sont les moyens plus techniques pour protéger ses données ?

Techniquement, la seule solution permettant de protéger ses données est la cryptographie. En chiffrant les données transmises et stockées avec un algorithme sûr, par exemple de conception française et qualifié par l'ANSSI, les entreprises de l'Hexagone peuvent en assurer à la fois la confidentialité et l'intégrité. Des solutions commencent à apparaître sur le marché, comme CipherCloud, PerspecSys ou Vormetric. Mais leur portée fonctionnelle reste limitée, notamment car le cloud ne sait pas traiter des données chiffrées. Au mieux, les systèmes peuvent donc assurer le stockage de ces données dans le cloud.

Il n'y donc aucun espoir de mettre à l'abri des regards ses données cloud ?

Le futur nous réserve peut-être de bonnes surprises avec le chiffrement homomorphique, qui permet le traitement des données chiffrées sans devoir les déchiffrer. Bien qu'à l'état de projet de recherche, cette technologie, déjà opérationnelle, est prometteuse pour la sécurité du cloud.

Les entreprises françaises doivent-elles s'inquiéter au sujet de leurs données stockées dans les grands clouds américains ?

Une démarche classique d'analyse de risque permettra d'évaluer les risques liés au cloud, qui ne sont pas forcément plus élevés qu'un hébergement interne, mais certainement différents.

Dans ce cas particulier, c'est le risque d'écoute étatique qui devra être pris en compte. Or, pour bien des projets, l'impact de ce risque est très faible. Quoi qu'il en soit, tous les hébergeurs cloud ne se valent pas, et des outils existent pour évaluer leurs niveaux de sécurité. Citons la Cloud Controls Matrix, le guide de l'Anssi, ou celui de l'Enisa.

Ont-elles intérêt à recourir plutôt à des clouds français dans ce cas ?

Les hébergeurs français ne sont, a priori, pas soumis aux mêmes obligations que les entreprises américaines, mais ils doivent respecter les lois françaises qui permettent aussi aux forces de l'ordre d'accéder à des données. La nationalité française d'un hébergeur n'assure donc pas automatiquement le non accès aux données des entreprises, même si elles sont hébergées dans l'Hexagone. En outre, les lois américaines s'appliquent également aux filiales des sociétés américaines. Et des lois équivalentes existent aussi en fait dans la plupart des pays du monde. Ainsi, un accès depuis l'étranger à des données pourtant hébergées en France pourrait être possible.

En synthèse : avant de stocker ses données dans le cloud, une entreprise doit s'assurer que leur niveau de sensibilité le permet, ou alors opter pour une solution technique radicale mais encore peu déployée, le chiffrement cloud.

Chadi Hantouche est manager chez Solucom, practice Sécurité & risk management.