Chiffrement dans le Cloud : la Cnil fait un gros point sécu

L’an passé Thales publiait une étude mentionnant une augmentation d’année en année de 26 % du transfert de données stockées dans le cloud. Surtout, 75 % des entreprises y déclaraient que plus de 40 % des données stockées dans le cloud étaient des données sensibles. Mais seules 45 % d’entre elles étaient chiffrées.

Pour répondre à cette problématique des plus brûlantes, une fiche pratique fort bien troussée sur « Les pratiques de chiffrement dans l’informatique en nuage (cloud) public » vient d’être publiée ce jour par la Cnil.

La Commission assure que le chiffrement reste aujourd’hui « l’un des mécanismes les plus efficaces pour protéger la confidentialité des données ». Mais le sous-jacent de cette efficacité repose sur la bonne gestion et la protection des clés cryptographiques.

Le cloud change la donne en matière de chiffrement

Un exercice d’autant plus complexe que l’utilisation de plus en plus importante en entreprise de l’informatique dématérialisée (cloud computing), c’est à dire un scenario où vos données sont confiées à des fournisseurs tiers dans des environnements de stockage, de calcul et de réseaux hors de la maîtrise directe des clients, modifie la donne.

Car cette approche « renforce l’intérêt de recourir au chiffrement » mentionne la Cnil dans un contexte de protection « non seulement vis-à-vis de tiers malveillants mais aussi des fournisseurs eux-mêmes ».

Le document détaille donc les différentes approches possibles en la matière. Mais surtout, elle permet de relativiser les promesses des offreurs et de mesurer le niveau de compétence nécessaire en interne de la DSI, ou à rechercher chez les ESN pour garantir un niveau de sécurité adéquat.

3 points clés à approfondir

Elle insiste de ce point de vue sur trois points clés :

  • Selon l’état de la donnée (au repos, en transit, en traitement), différentes approches sont possibles soit côté serveur, soit côté client.
  • Certaines techniques de chiffrement peuvent être complexes à mettre en place : il est donc important de connaître les différentes approches pour appliquer celle qui sera la plus adaptée au traitement de données.
  • Enfin, le chiffrement de bout-en-bout n’est pas applicable dans toutes les situations, mais constitue la solution la plus protectrice de la vie privée.

Ultime conseil, face à des techniques de chiffrement dans le cloud « pour l’instant, limitées à des fonctions de base », la Cnil recommande « de s’assurer que le fournisseur (de cloud) ne peut pas avoir accès aux données en clair traitées ou aux clés cryptographiques, ni (de savoir quelles) opérations ont été effectuées sur ces données.