Protection des données personnelles et sensibles : comment les entreprises peuvent-elles mieux les contrôler ?
Si le Cloud offre de nombreux avantages, la confidentialité des données qu'on y utilise reste une question centrale pour favoriser son adoption. Leur chiffrement est indispensable, mais pas suffisant.
Pour disposer d’un contrôle total de leurs données, les entreprises doivent apprendre à gérer elles-mêmes leurs clés cryptographiques. Ce contrôle représente la réponse la plus pertinente pour les entreprises à la problématique de sécurité des données.
Les données représentent un enjeu majeur pour les entreprises. Elles sont devenues le principal carburant de toute activité et constituent souvent un avantage compétitif pour celles qui savent les exploiter. Mais certaines données nécessitent une attention particulière : celles à caractère personnel et celles qui sont sensibles. Afin d’être en conformité avec les réglementations et minimiser les risques de vol ou de fuite de données, les organisations doivent mettre en place différents processus organisationnels et techniques.
Un défi de plus en plus difficile à relever. Trois dates ont complexifié la gouvernance des données. En mai 2018, le RGPD devient exécutoire. En octobre 2015 et juillet 2020, la Cour de Justice de l’Union européenne (CUJE) rend deux arrêts majeurs, respectivement Schrems 1 et 2, qui viennent rebattre les cartes en matière de cadre légal permettant d’exporter des données personnelles. Ils ont mis fin au Safe Harbour et au Privacy Shield, deux accords passés entre les États-Unis et l’Europe pour simplifier les échanges de données personnelles transatlantiques, même si les clauses contractuelles types de l'UE (EU SCCs) restent un mécanisme valable pour transférer des données personnelles en dehors de l'Europe, comme le reconnaît la Commission européenne.
Une question d’envergure
La réglementation sur la confidentialité des données exige que les organisations qui collectent les données restent responsables de leur confidentialité et de leur protection, indépendamment de tout accord contractuel ou d'externalisation. Comment les entreprises peuvent-elles répondre à ce dilemme : profiter des performances du Cloud tout en assurant la sécurité de ses informations ?
Une solution consiste à chiffrer ses données à caractère personnel et critiques. Mais au-delà du chiffrement (une pratique loin d’être généralisée*), c’est la gestion sécurisée des clés cryptographiques qui est cruciale.
Il existe différentes méthodes de gestion des clés : le « Bring your own Key », (BYOK) le « Hold Your Own Key » (HYOK) et le « Bring Your Own Encryption » (BYOE). Avec les deux premières solutions, toutes les données sont chiffrées par des services Cloud natifs. Par défaut, les fournisseurs de Cloud génèrent des clés de chiffrement et gèrent ensuite le cycle de vie de ces clés pour leurs clients.
Un contrôle total de ses données
Lorsque l’on souhaite accéder à ses données, avec le BYOK et le HYOK, le fournisseur demande à votre serveur de clé de lui fournir la clé de déchiffrement. Lorsque l’opération est terminée, vous pouvez la retirer. Mais durant les opérations sur ces données, le fournisseur dispose de votre clé et peut l’utiliser par la suite. C’est le point faible de ces solutions qui ne permettent que d’assurer la gouvernance des clés mais pas le chiffrement qui est assuré par des techniques natives.
Pour les organisations qui hébergent des données sensibles dans le Cloud, cette situation n'est pas acceptable, car elles doivent conserver le contrôle et la propriété exclusifs de leurs clés pour rester en conformité avec leurs exigences de sécurité internes ainsi qu’avec les règlementations de type RGPD.
D'où la nécessité de mettre en place des stratégies permettant aux entreprises de conserver un contrôle total sur le moment où leurs clés sont utilisées et la manière dont elles le sont pour accéder à leurs données chiffrées et les protéger.
Des solutions existent sur le marché qui consistent à se dissocier complètement du fournisseur en s’appuyant sur un contrôle propriétaire et le « Bring Your Own Encryption » (BYOE). Il s’agit d’un système de gestion des clés de chiffrement qui permet aux entreprises de chiffrer leurs données et de conserver le contrôle et la gestion de leurs clés de chiffrement.
L’une d’entre elles, issue d’un partenariat, se présente sous la forme d’une plateforme de chiffrement conforme aux recommandations de l’ANSSI, qui empêche le fournisseur d’accéder à la clé de chiffrement et à la méthode de chiffrement utilisée. Les entreprises conservent ainsi un contrôle total sur leurs données stockées dans le Cloud, mais aussi sur le service de chiffrement fourni par cette plateforme.
Cette solution permet de répondre précisément à la problématique de la sécurité des données mais demande une grande rigueur de mise en œuvre, le principal risque étant la perte de clé.
En conclusion, le chiffrement des données est crucial pour la sécurité du Cloud. Mais cela n’est pas suffisant. Les entreprises doivent pouvoir gérer elles-mêmes leurs propres clés. Avec le BYOE et une plateforme de contrôle souveraine, les organisations n’ont plus à se soucier de la localisation de leurs données.
*Une étude Thales publiée en juin 2021 constatait que seules 17 % des entreprises chiffrent au moins la moitié de leurs données sensibles dans le Cloud.