Denis Demontes

Sécurité des clés de chiffrement dans le Cloud

La protection des données, et en particulier celles dans le cloud, est capitale aujourd’hui, d’une part à cause des attaques récurrentes sur lesdites données (cf. l’affaire EquiFax) et d’autre part car de nouvelles régulations telles que le GDPR sont apparues et obligent les entreprises à garantir la confidentialité des données sensibles. Pour en assurer la protection, les entreprises s’orientent vers l’utilisation de la cryptographie et du chiffrement dans (presque) toutes leurs applications. Le cloud n’étant pas une exception.

Clé de chiffrement: Une clé est un paramètre utilisé en entrée d’une opération cryptographique, qui permet de rendre illisibles les données (chiffrement) ou de les rendre lisibles à nouveau (déchiffrement).

En effet, la présence toujours possible de vulnérabilités potentielles dans les systèmes d’information et la sophistication toujours grandissante des cyber-attaques font que la sécurité des clés de chiffrement, point d’entrée vers les données sensibles, est devenue vitale. Les algorithmes cryptographiques modernes deviennent de plus en plus résistants aux attaques mais, malgré tout, une vulnérabilité majeure reste présente: les clés de chiffrement.

C’est ainsi que les clés de chiffrement deviennent les valeurs les plus précieuses de l’entreprise, leur valeur étant équivalente à celle de l’information qu’elle protège : aussi il est indispensable de s’assurer de leur protection par différents moyens

La protection physique des clés cryptographiques

Le HSM (Hardware Security Module) ou BNT (Boîte Noire Transactionnelle) est un dispositif très fortement sécurisé avec des fonctions cryptographiques. Il permet de générer, stocker et protéger des clés de chiffrement.

Mais pour être fiables, ces dispositifs doivent être conformes à des standards de sécurité tel le Le FIPS 140-2 Level 3. Le Federal Information Processing Standard (FIPS), publication 140-2, est un standard de sécurité informatique du gouvernement américain utilisé pour approuver des modules cryptographiques. Ce standard inclut des exigences matérielles et logicielles qui doivent être respectées par le module. Le Level 3 ou niveau 3 ajoute des défenses contre les tentatives d’intrusion physique, telles que la destruction des clés de chiffrement et informations d’identification au module (le niveau 1 contient des exigences de base et le niveau 2 fournit une protection contre des tentatives d’intrusion physique dans le module).

Les solutions de protection dans le cloud

Désormais, les opérateurs Cloud du marché offrent des solutions de gestion des clés cryptographiques (HSM). Ces solutions apportent la flexibilité suffisante pour s’intégrer aux applications à travers les bibliothèques de développement, elles peuvent aussi être gérées à partir du CLI (Command Line Interface), interface de ligne de commande.

AWS CloudHSM, Google Cloud HSM et Microsoft Azure Dedicated HSM sont des modules HSM ou BNT disponibles sur le marché cloud.

Comme il est habituel dans les services cloud, le module HSM est un service géré par le fournisseur mais avec des mises à jour automatiques, une haute disponibilité et des sauvegardes. Le fournisseur cloud n’a pas d’accès ou visibilité des clés de chiffrement qui sont stockées dans le module par le client.

Cependant l’utilisation des HSMs permet aussi d’être conforme à certaines exigences de sécurité telles que la certification PCI HSM qui devient une exigence fondamentale dans les process de paiement, par exemple le traitement des PINs, la production et la vérification de cartes bancaires et la recharge de carte bancaires prépayées.

En conclusion, les clés de chiffrement protègent les informations sensibles de l’entreprise et des clients, et il est indispensable de mettre en place les politiques, procédures et outils nécessaires pour les sécuriser. Les HSMs s’intègrent dans la stratégie de défense de l’information et permettent de mettre en place une défense efficace contre les cyber menaces d’aujourd’hui.

iDNA vous apporte l’expertise en matière d’architecture cloud et sécurité nécessaires à la protection de votre infrastructure et vos données, n’hésitez pas à nous contacter pour une analyse plus approfondie de votre situation.

Articles associés

Sécurité des clés de chiffrement dans le Cloud

22 juillet 2019
La protection des données, et en particulier celles dans le cloud, est capitale aujourd'hui, d'une part à cause des attaques récurrentes sur lesdites données (cf. l'affaire EquiFax) et d'autre part car de nouvelles régulations telles que le GDPR sont apparues et obligent les entreprises à garantir la confidentialité des données sensibles.

Le Cloud et la sécurité orientée événements (Event Driven Security)

4 juin 2018
D’après le Rapport Mandiant 2018, un attaquant passe en…
Partager cet article
Derniers articles

Réseau et Sécurité, amalgame pour un échec

Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]

La Gestion des mots de passe : Complexité vs Mémorisation

  Pour se connecter à votre téléphone portable, à votre ordinateur, à votre compte bancaire, à votre compte professionnel ou personnel, aux différentes plateformes de votre entreprise ou faire des achats en ligne, le mot de passe est devenu incontournable pour protéger l’accès aux données, aux systèmes d’informations et plus généralement à sécuriser les différentes […]

La reconnaissance faciale est-elle le nouveau Big Brother?

Il n’y a pas si longtemps, pouvoir identifier de manière automatique les personnes qui transitaient par une rue, les suivre, tracer leurs mouvements et dépenses à travers leurs achats, connaître leurs états d’âme, leurs origines, leur genre, relevait de la science fiction. Cette technologie qui permet tout cela aux autorités, et pas uniquement, est parmi […]