Chiffrement cloud : attention danger ?
Protéger et assurer la confidentialité des données : tel est le challenge que les entreprises tentent de relever chaque jour. Lorsqu'il s'agit de données conservées en local, sur postes de travail, des solutions sécurisant les volumes de stockage existent depuis longtemps pour répondre à ce besoin. En particulier celles spécialisées dans le chiffrement, validées par l'ANSSI, garanties sans backdoor et supportant a minima les clés de chiffrement 2048-bits à l'image par exemple de TrueCrypt, Security Box ou Cryhod. Mais attention toutefois car ce type de chiffrement implique une bonne dose de vigilance.
"Le chiffrement effectué au niveau du poste de travail nécessite une grande rigueur de la part des entreprises pour éviter de se retrouver dans la situation où un collaborateur quitte l'entreprise en conservant des données chiffrées sur son poste", indique Cédric Durand, directeur de l'offre Réseau & Sécurité chez Neurones-IT.
"Le chiffrement au niveau de l'opérateur cloud peut présenter des failles" (Edouard Jeanson - Sogeti)
Pour se prémunir de ce type de risque, mieux vaut dès lors mettre en place un système de management du chiffrement afin de garantir la possibilité de recouvrer les données même en cas de perte (volontaire ou non) des clés de chiffrement. Or, si elle ne veut (ou ne peut) pas mettre en place un tel système, l'entreprise n'aurait-elle donc pas plus intérêt à opter pour un stockage cloud chiffré de ses données ? Rien n'est moins sûr.
"Si le chiffrement est effectué directement au niveau de l'opérateur de cloud, il peut potentiellement exister une faille car rien ne dit que l'outil de chiffrement utilisé n'inclut pas une backdoor connue par des programmes de surveillance ou des tiers malintentionnés", explique Edouard Jeanson, directeur technique de la Security Global Line de Sogeti. Mais ce n'est pas la seule contrainte.
Clause d'auditabilité de son fournisseur cloud : un prérequis
Ainsi, certaines contraintes peuvent être liées à l'origine géographique du prestataire de cloud (Patriot Act aux Etats-Unis, Loi de programmation militaire actuellement en discussion à l'Assemblée Nationale en France...). D'autres pas. "Il est pour le moment impossible d'opérer des traitements sur des données chiffrées dans le cloud car tout traitement effectué par l'entreprise sur ses données sera nécessairement réalisé en clair ce qui représente également un risque", prévient Edouard Jeanson.
Passer par une connexion sécurisée de type VPN SSL ou IPsec constituera donc a minima un moyen limiter les risques mais en aucun cas de garantir que ses données confidentielles ou sensibles stockées dans le cloud soient à l'abri de tous les regards. Il sera toutefois possible de monter d'un cran le niveau de sécurité en mettant en place un garde-fou supplémentaire que, malheureusement, tous les fournisseurs de cloud n'autorisent pas.
"Lorsque l'on confie ses données chez un fournisseur de cloud qui en assure le chiffrement, il faut surtout s'assurer qu'une clause d'auditabilité des infrastructures de sécurité existe en plus de la certification ISO 27001", conclut Edouard Jeanson.