Les nouvelles armes cryptographiques des RSSI pour répondre aux défis du cloud

En quête de flexibilité pour accompagner leur transformation digitale, les entreprises se tournent vers le cloud. Les RSSI ne peuvent s'opposer à ce qui constitue une orientation stratégique. En revanche, il leur appartient toujours de garantir la sécurité de données qui ne se trouvent désormais plus dans des systèmes appartenant à l'entreprise.

En matière de sécurité des données, le passage dans le cloud pose deux difficultés majeures. La première est qu’il faut parvenir à assurer la sécurité sur des infrastructures dont l’administration est réalisée par des tiers, hors du périmètre de l’entreprise. La seconde est d’ordre légal : les principaux opérateurs de cloud AWS, Microsoft et Google étant américains, ils sont soumis au Cloud Act, qui autorise les autorités américaines à leur demander de leur communiquer les données qu’ils hébergent, où qu’elles se trouvent dans le monde.

À ces deux défis répond une même solution : la cryptographie. En chiffrant les données, on les met à l’abri de tout regard indiscret et l’on contrôle précisément qui peut voir quoi et à quelles conditions. On peut alors distinguer deux cas : celui des données enregistrées, figées (« at rest »), que l’on ne souhaite que consulter, et celui des données applicatives, sur lesquelles il faut pouvoir travailler.

En matière de chiffrement, les premières ne posent guère de difficultés et bénéficient de solutions matures et performantes, comme le chiffrement hybride. Le principe est d’appliquer sur les données un algorithme de chiffrement symétrique, rapide et qui n’entraîne pas d’inflation du volume, mais dont la robustesse n’est qu’empirique, et d’utiliser pour cela une clé aléatoire qui, elle, est chiffrée de façon asymétrique. Dans ce domaine, l’un des principaux enjeux est la performance car il faut pouvoir réaliser le chiffrement à la volée, de manière à ce qu’il soir transparent et ne perturbe pas l’expérience utilisateur. 

Ce sont sur les secondes, les données dynamiques, que porte aujourd’hui l’essentiel des efforts. Toute la difficulté est de parvenir à réaliser une opération sur une donnée sans jamais la dévoiler, y compris dans la mémoire de l’application. Par exemple, même appliqué à des documents chiffrés, un moteur de recherche textuel peut générer en clair l’index des réponses avant de les présenter à l’utilisateur, ce qui expose cette information capitale au risque d’être interceptée. Deux voies sont aujourd’hui explorées pour relever ce défi : la voie hardware, qui consiste à créer dans le matériel lui-même une zone de confidentialité (« secure enclave ») où seront exécutés les calculs ; et la voie software, où l’on va chercher, par des solutions mathématiques telles que le chiffrement homomorphe ou le chiffrement fonctionnel, à travailler directement sur les données chiffrées. Alors que l’approche hardware reste vulnérable à l’analyse du comportement physique des composants, les approches software, parfaitement sécurisées, permettent, par exemple, de produire des cartes de chaleur ou de réaliser des jointures de bases de données sans décrypter à aucun moment les données.

Conscients du rôle incontournable de la cryptographie dans toute politique de sécurité, les opérateurs de cloud proposent des outils intégrés à leurs plateformes. Néanmoins, en toute rigueur, le RSSI ne peut se satisfaire d’une situation où celui qui conserve les données est aussi celui qui les chiffre. Ce qu’il faut parvenir à mettre en œuvre, ce sont des solutions de cryptographie qui permettent de séparer clairement les responsabilités et qui donnent le contrôle au propriétaire des données. Des travaux sont actuellement en cours avec certains hébergeurs de cloud pour que leurs clients puissent déployer sur leurs plateformes des outils de cryptographie dont ils seraient les seuls maîtres.

Sous pression pour sécuriser les données dans des environnements où le cloud occupe une place grandissante, les RSSI, mais aussi les ESN à qui les entreprises confient leur production informatique, doivent s’emparer des dernières avancées en matière de cryptographie. Face à la multiplication des attaques et des fuites de données, c’est une urgence autant qu’une nécessité.